12:04
8/8/2011

Zdalne, bezprzewodowe ataki na ludzi to nie fikcja. Na konferencji BlackHat zaprezentowano jak włamać się na wszczepione ludziom implanty medyczne (np. pompy insulinowe). Zmiana dawki leku przez atakującego może spowodować śmierć ofiary.

Ataki na implanty medyczne

Przejmowanie kontroli nad implantami medycznymi to żadna nowość — wspominałem o tym już 2 lata temu. Implantami zazwyczaj steruje się bezprzewodowo (np. podczerwień). Urządzenia te występują w dwóch odmianach:

  • pasywnych; monitorujących stan zdrowia pacjenta
  • aktywnych; mających możliwośc dawkowania leków i pobudzania narządów wewnętrznych człowieka

Aby zaatakować implant, wystarczy kupić odpowiedni pilot (w sklepie medycznym) i przeczytać instrukcję obsługi (dostępną w internecie). Dzięki temu dowiemy się jaki “kod” należy wysłać do implantu, aby odczytać zebrane przez niego dane lub wydać mu konkretne polecenie (por. ataki bezprzewodowe na implanty).

Atak na rozrusznik serca

Atak na rozrusznik serca także jest możliwy

Efektem nieautoryzowanego igrania z implantami może być nawet śmierć “nosiciela” implantu, będąca wynikiem przedawkowania leku, np. insuliny. Jak zauważa Jerome Radcliffe, który na konferencji BlackHat zaprezentował analizę pompy insulinowej, z której sam korzysta na codzień, człowiek z implantem to chodzący system SCADA.

Ochrona przed atakami na implanty jest ciężka

Dlatego tak ważne jest, aby producenci wszelkich urządzeń mających wpływ na zdrowie i życie ludzi poddawali je nie tylko odpowiednim testom funkcjonalnym, ale i penetracyjnym. Część z nich zdaje sobie z tego sprawę i niektóre modele implantów wymagają sparowania z pilotem (konieczna znajomość numeru seryjnego), zanim pozwolą się przeprogramować. Z kolei inne implanty pozwalają na sterowanie jedynie z kilku centymterów. Ale i te zabezpieczenie czasem można ominąć; albo atakami bruteforce (numer seryjny) lub dostatecznie silną anteną…

Atak na pompę insulinową

inne ryzyko ataku na pompę insulinową ;-)

Problem, który występuje w implantach (brak uwierzytelnienia, szyfrowania komunikacji) jest wśród urządzeń elektromechanicznych bardzo powszechny. Wystarczy porównać niedawno opisywany przez nas przypadek zatrzymywania pociągów PKP sygnałem “radio stop” lub historię nastolatka, który wykolejał tramwaje przestawiając zwrotnice za pomoca pilota na podczerwień własnej konkstrukcji.

Jest jeszcze jeden, kluczowy problem — brak możliwości łatania, czyli aktualizacji firmware’u w większości implantów. One po prostu nie zostały do tego zaprojektowane…

Przeczytaj także:



22 komentarzy

Dodaj komentarz
  1. A w pompie insulinowej amerykańskiej firmy zaczynającej się na M modelu 722 jest opcja zdalnego sterowania można włączyć i wyłączyć więc czuję się bezpiecznie :) (pewnie także trzeba sparować pilota i pompę ale nie mogę sprawdzić gdyż nie mam pilota)

  2. Proponuję sprostowanie – pisanie o pompie insulinowej jako implancie jest trochę na wyrost :) Pompy insulinowe wymienione w artykule nie są w żaden sposób wszczepiane pacjentom :)
    Tak więc tytuł powinien być “Ataki na urządzenia medyczne ;-)”. Co więcej – dostępne na polskim rynku pompy insulinowe komunikują się w miarę standardowo – łączność jest przez IrDA (starsze modele) lub Bluetooth (nowsze) – tej informacji zabrakło w artykule.
    Z tego co wiem to nie ma jakiegoś standardowego protokołu wykorzystywanego przy transmisji/pobieraniu danych – każdy z producentów (a jest ich na świecie może z 5?) ma własny. Co do łatania firmware – producenci pomyśleli i o tym – pompa ma “licznik
    życia”. Nowy firmware == nowa pompa ;>

    • @nickname, oczywiście masz rację – pompy insulinowe ciężko nazwać implantami, ale już rozruszniki serca, o których artykuł również traktuje, możemy potraktować jako implanty ;)
      Ciekawe spojrzenie na sprawę firmware’u ;) Możesz zdradzić ile kosztuje taka pompa na polskim rynku? AFAIR samo leczenie miesięcznie 500PLN z refundacją 300PLN — zakładam że sama pompa to też wydatek kilkuset złotych i pewnie wiele osób ucieszyłoby się z możliwości zmiany firmware’u a nie zmiany urządzenia na nowy model.

    • Zależy jakiej firmy… Ametykańskie M to od 7 do 12 tyś (ok. 5 lat temu, bo tyle ją użytkuje), zależy czy wybierzemy model 722 czy 715 i czy chcemy mieć monitorowany poziom glukozy przez kolejny czujnik..

      Pompy (chyba) nie są refundowane, dla dzieci pozostaje WOŚP który w samym Gdańsku co jakiś czas rzuca kilkadziesiąt pomp rocznie lub inne fundacje typu Polsat czy Tvn (wbrew opinii społeczności dość hojnie dofinansowują od 50 do 80% zakupu).

  3. A wie ktoś, jak to jest z neurostymulatorami firmy Medtronic?

  4. Jak użytkownik takiego rozrusznika serca ma się zabezpieczyć?
    Ołowiana kamizelka?

  5. AVE…

    Kilka lat temu wszyscy używali przy rozrusznikach serca tylko pętli indukcyjnej, i jedynym sposobem włamania się było przyklejenie cewki do gołego ciała “ofiary”. Ale to był za duży problem dla leniwych amerykanów, którzy nie potrafią dotrzeć do sklepiku osiedlowego bez samochodu, a co dopiero jechać do lekarza na badania i odczytanie danych o pracy rozrusznika. Dlatego wymyślono wstawianie modułów Bluetooth, by taki leń mógł przesłać wyniki do lekarza za pomocą laptopa lub komórki. Teraz za to płacą. I dobrze im tak…

  6. Kill people! Who killed them? No one, the computer failed.

  7. Niedługo będzie pewnie możliwe:
    cracker$ emacs /dev/mikrofala | sendmail jan.kowalski@marszalkowska.warszawa.pl
    mikrofala$ su
    mikrofala# set frequency = XYZ MHz
    mikrofala# send 1100010101010101 | /dev/aerial &
    mikrofala# ping rozrusznik
    64 bytes from rozrusznik (10.0.0.2): icmp_req=1 ttl=250 time=3.1ms
    64 bytes from rozrusznik (10.0.0.2): icmp_req=1 ttl=250 time=3.1ms

    Error: destination unreachable
    mikrofala# dmesg
    [207450.617201] rozrusznik: no response from rozrusznik; user died

    • @ex: kolejny komentarz, kolejna bzdura, parafrazując Ciebie… ;)
      Czy zauważyłeś, że blog do którego linkujesz:
      a) jest autorstwa jednej z osób tworzącej oprogramowanie do pomp insulinowych, a zatem bez czytania łatwo można przewidzieć, jaka będzie jego wymowa.
      b) na końcu (w końcu!) owy autor wkleił koresponencję z autorem prelekcji na BlackHat — przeczytaj ją proszę i powiedz co z niej wynika ;) Był atak, czy nie było? Mógł sterować parametrami pompy i zakłucać jej pracę, czy nie mógł? Podpowiem Ci — odpowiedź na oba pytania to TAK, źródło sam autor, a świadkowie to uczestnicy jego prelekcji (“I *can* hack an insulin pump. I can suspend it, change all the settings remotely. I did that on stage.”).

      Abstrahując już od tematu pomp, w swoim artykule skupiam się ogólnie na urządzeniach medycznych (implantach) i ryzyku jakie mogą one stanowić dla ludzkiego życia, jeśli technologia w nich użyta nie została przetestowana pod kątem “bezpieczeństwa”. Pokazuję też inne badania, “naśmiewając” się niejako z tegorocznego blackhatowego prelegenta, że Ameryki, to on nie odkrył, bo problem jest znany od kilku lat i niektórzy potrafią się już zabezpieczyć — w artykule podaję przykłady takich zabezpieczeń. Ale OK, rozumiem, że bezrefleksyjnym osobom mogło to umknąć ;)

  8. Masakra lekka, elektronika w naszym życiu zaczyna być co raz bardziej niebezpieczna, a wszędzie znajdzie się zawsze jakaś luka bo chyba nie ma niczego doskonałego.

    • Problem polega na czymś innym. Na pytaniu czy etyczne, moralne i odpowiedzialne jest publikowanie takich prac dotyczących hakowania urządzeń medycznych. Od zawsze wiadomo iż każde urządzenie elektroniczne komunikujące się z otoczeniem jest podatne na atak. Rozruszniki serca, implanty słuchowe, protezy bioniczne, szpitalne respiratory. Jakiś czas temu był opisany atak na samochód w którym atakujący mógł wyłączyć ABS. Dobrze że znajdowane są takie dziury w sofcie, który ma bezpośredni wpływ na bezpieczeństwo, ale czy dobrze iż takie wyniki oglądają światło dzienne? Moim zdaniem nie gdyż wyniki prac nad przełamywaniem zabezpieczeń właśnie takich urządzeń które mogą zabić – powinny być udostępniane TYLKO producentom sprzętu aby eliminowali dziury!!!! Zachowanie autora hacka jest głęboko nieodpowiedzialne bo już widzę tych zaślinionych script kiddies którzy tylko marzą aby wyłączyć kolegę na zawsze bo ma wszczepiony jakiś kawałek elektroniki która ratuje mu życie.

    • Mnie nasuwa się inne pytanie: na ile etyczne jest *produkowanie* niebezpiecznego sprzętu, niechlujstwo i oszczędność powodowana chęcią zysku?
      Dobrze, że są takie prezentacje nie można udawać, że problemu nie ma a za ataki odpowiadają źli hakerzy.

  9. @nobody
    Pompy są refundowane do 18 roku życia, leczenie do 26 roku. Sam się załapałem w ostatniej chwili(miesiąc przed 18.:) )
    @Piotr Konieczny
    Koszt to ok 8000-12000
    Dodam jeszcze, że pompa pewnej francuskiej firmy na R, IrDA ma zasięg ok 10 cm, ale znam też inne, które mają zasięg do 2m.

  10. a moze zastanowcie sie nad soba? po pierwsze rozmowa o hackowaniu zeszla na ich cene urzadzen ratujace zycie? z ego co widze, drogie urzadzenia sa prymitywne koszmarne ze sam bym sie wstydzil cos takiego projektowac .. to jakies tragiczne podejscie do profesjonalizmu. Kolejna sprawa, kto chcialby realnie hackowac masowo jednak zadko stosowane urzadzenia .. wiec w czym problem? Aha .. nie ma profesjonalistow ktorzy wylapia osoby wykorzystujace hakerskie rozwiazania .. ale temad mozna ciagnac, na zasadzia gonmy krolika po co go zlapac .. podpowiem .. by cieszyc sie zyciem :)

    ps. spraszny bedzie swiat jesli sie okaze ze jedynymi profesjonalistami beda hackerzy i stara dobra fachowa literatua!

    • sorry za literowki, w efekcie czasem ortografy .. jesli mozna prodze admina o korekte

  11. “kto chcialby realnie hackowac masowo jednak zadko stosowane urzadzenia ..”

    Zartujesz sobie? Tu chodzi o ludzkie zycie, a nie o hakowanie total commandera…. Slabo mi….

  12. […] na to, że z atakami na implanty medyczne, o których niedawno pisaliśmy można walczyć przy pomocy osobistego zagłuszacza. Działanie […]

  13. […] Także destrukcyjnie. Pomyślmy teraz o inkubatorach w szpitalach, o przepompowniach wody, o rozrusznikach serca… — wszystkim tym do pewnego stopnia da się zdalnie sterować. Jak duże jest to […]

  14. Złota łopata wędruje do mych rąk.

    Coś nowego w temacie?

    Naszła mnie taka rozkminka. Wśród urządzeń wszczepialnych są takżę ILR (takie pendrajwy-holtery wszczepiane na 2-3 lata). Pacjent do takiego dostaje pilota, którym może nakazać zrzut do pamięci (zwykły zapis jest w pętli, a do pamięci z automatu idą wykryte arytmie).

    ILR Medtronica jest wykrywany i czytany przezrz urządzenie do kontroli rozruszników.
    Zatem, czy “elektronik-amator” o zapędach hakerskich, crackerskich czy innych erskich, jest w stanie z takiego pilota (który musi mieś jakiś moduł i protokół komunikacji) wydłubać sobie co trzeba i zrobić pilota do hackowania?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: