2019-03-28
Agencja ds. Cyberbezpieczeństwa i Zabezpieczenia Infrastruktury (CISA) amerykańskiego Departamentu Bezpieczeństwa Narodowego wydała pilne zawiadomienie dotyczące defibrylatorów serca firmy Medtronic.
Agencja ds. Cyberbezpieczeństwa i Zabezpieczenia Infrastruktury (CISA) amerykańskiego Departamentu Bezpieczeństwa Narodowego wydała pilne zawiadomienie dotyczące defibrylatorów serca firmy Medtronic. Analitycy wykryli w warstwie sprzętowej urządzenia krytyczne luki, które, w przypadku wykorzystania, mogły zagrozić życiu pacjenta.
O ile dawniej wprowadzenie modyfikacji w defibrylatorze wymagało otwarcia ciała pacjenta, to współczesne – bardziej zaawansowane – urządzenia mogą być obsługiwane zdalnie. Stwarza to jednak ogromne problemy w przypadku, gdy sprzęt jest wadliwy.
Urządzenie, o którym mowa, daje możliwość bezprzewodowego programowania, kalibrowania i nadzorowania. Według analityków, zastrzeżony protokół komunikacyjny firmy Medtronic, wykorzystywany w komunikacji z wszczepionymi urządzeniami, nie jest szyfrowany, co pozwala na ataki typu man-in-the-middle (podsłuchiwanie, filtrowanie danych). Protokół nie zawiera również uwierzytelniania, co oznacza, że zmotywowany napastnik może próbować włamać się do implantu za pomocą specjalnie przystosowanego sterownika.
Z porad CISA:
„Pomyślne wykorzystanie tych luk może pozwolić atakującemu, w którego pobliżu znajduje się pacjent z wszczepionym urządzeniem, na zakłócanie, generowanie, modyfikowanie lub przechwytywanie ruchu odbywającego się przez kanał radiowy z wykorzystaniem zastrzeżonego systemu telemetrycznego Conexux firmy Medtronic, potencjalnie wpływając na funkcjonowanie urządzenia i/lub uzyskując dostęp do przesyłanych wrażliwych danych... Skutkiem udanego wykorzystania tych luk może być odczyt i zapis dowolnego obszaru pamięci wewnętrznej implantowanego aparatu, a tym samym celowy wpływ na realizację wybranej funkcji”.
Ponieważ zadaniem defibrylatora jest zapewnienie prawidłowej akcji serca, więc każda ingerencja w jego zachowanie może zagrażać życiu pacjenta. CISA przedstawiła pacjentom, w których klatkach piersiowych znajdują się urządzenia Medtronic.
Marken Systemy Antywirusowe - przedstawiciel marki Bitdefender w Polsce (https://bitdefender.pl) , daje użytkownikom następującą listę koniecznych do przestrzegania środków ostrożności:
⦁ Nie podłączaj nieuwierzytelnionych urządzeń do monitorów domowych i programatorów przez porty USB lub inne łącza fizyczne.
⦁ Korzystaj wyłącznie z programatorów dedykowanych dla wszczepionego urządzenia i zezwalaj na interakcję z nimi jedynie w pozostających pod fizyczną kontrolą szpitalach i klinikach.
⦁ Używaj monitorów domowych jedynie w środowisku prywatnym, takim jak dom, mieszkanie lub inna kontrolowana fizycznie przestrzeń.
⦁ Utrzymuj stałą kontrolę fizyczną nad monitorami domowymi i programatorami.
⦁ Używaj wyłącznie monitorów domowych, programatorów i implantów pochodzących bezpośrednio od swojej jednostki opieki zdrowotnej lub przedstawiciela firmy Medtronic, co zapewni integralność systemu.
⦁ Wszelkie spostrzeżenia dotyczące zachowania tych urządzeń zgłaszaj swojemu lekarzowi lub przedstawicielowi firmy Medtronic.
W oświadczeniu dla Ars Technica, Medtronic zbagatelizował zarzuty, że luki w jego sprzęcie są poważne, ale też im nie zaprzeczał.
Przedstawiciel firmy, Ryan Mathre, informuje media, że ryzyko wykorzystania luk w zabezpieczeniach jest niskie, ponieważ „nieautoryzowany użytkownik potrzebowałby kompleksowej i specjalistycznej wiedzy na temat urządzeń medycznych, telemetrii bezprzewodowej i elektrofizjologii, aby wykorzystać te luki i zaszkodzić pacjentowi”.
W każdym razie, powiedział Mathre, Medtronic pracuje nad aktualizacją sprzętu, którą planuje wprowadzić jeszcze w tym roku.