20:22
29/10/2011

Nowe ataki na implanty medyczne

Kilka miesięcy temu pisaliśmy o tym jak przejąć kontrolę nad pompą insulinową. Wtedy, aby atak się powiódł należało znać numer seryjny implantu. Obecnie nie jest to konieczne…

Ataki na pompy insulinowe

Barnaby Jack, znany m.in. z hackowania bankomatów, ulepszył atak Radcliffe’a na pompy insulinowe wykorzystując skaner częstotliwości, za pomocą którego udało mu się wyciągając z bezprzewodowej transmisji ID urządzenia (numer seryjny).

insulin pump attack

Barnaby Jack prezentuje atak, fot. CSO

Załadowana w pełni pompa zawiera 300 dawek insuliny. Podanie 10 dawek jedna po drugiej wymaga hospitalizacji. Po zdobyciu ID urządzenia można się do nigo podpiąć i wydać dowolną instrukcję — nawet podania 25 dawek pod rząd.

Producent atakowanego modelu pompy insulinowej stwierdził w sierpniu 2011, że ataki nie stanowią zagrożenia, ponieważ wymagają dostępu do “specjalistycznego sprzętu”.

via mietek


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. Wszczepić pompę producentowi ;)

  2. Z jednej strony ataki na implanty na pewno nie będą tak popularne, jak np. włamania do serwerów, komputerów osobistych, itp, bo mało kto będzie miał z takiego włamu korzyści. Z drugiej jednak strony przy włamie do serwera może “najwyżej” upaść jakaś firma, a przy włamie do implanta można jednym klikiem człowieka zabić. Biorąc też pod uwagę to, że implanty są coraz tańsze, a co za tym idzie, dostępniejsze dla szarego Kowalskiego, w niedalekiej przyszłości możemy coraz częściej słyszeć o morderstwach popełnianych w ten sposób.

    Podejrzewam, że kwestią czasu jest też powstanie jakichś botnetów, które masowo będą atakować każdy implant, do którego uzyskają dostęp. Wymarzone narzędzie dla zamachowców.

    Ale… gdybym musiał, to bez wahania podpisałbym zgodę na wszczepienie implantu :)

    • O botnetach zapomnij bo co to za botnet jednorazowego uzytku?
      Raczej bym sie sklonil do polozenia firmy produkujacej te implanty poprzez kilka morderstw.
      Kolejnym aspektem jest to, ze mozliwe faktycznie potrzeba “specjalistycznego sprzętu” do przeprowadzenia takiego ataku – jednakze, gdy taki implant posiada wplywowy gostek to sposob ten moze prowadzic do wyeliminowania konkurencji lub szantazu takiego czlowieka. Szantaz tez musialby byc dobrze przeprowadzony bo w pierwszym rzucie gosciu poszedlby sobie wymienic na inny – niepodatny.

      Moim zdaniem te ataki sa glupie, po co atakowac kogos czestotliwoscia skoro wystarczy powszechnie dostepny paralizator (http://www.incorsa.pl/category,312.html) i strzal z niego – nikle szanse ze przy 200000V jakiekolwiek urzadzenie bedzie dzialalo dalej.

    • Czemu? Tak Ci się spieszy na tamtą stronę? Czy może miałbyś w tym jakiś cel?

    • Czy mi sie zdaje, czy pompa insulinowa nie jest zadnym implantem tylko zwyklym zewnetrznym urzadzeniem?
      @Stoperek: po co zdalnie atakowac serwery, skoro wystarczy isc i wykrecic z serwera dyski ;-) Co do samych paralizatorow – nie wiem jak inne urzadzenia, ale np. rozruszniki serca z tego co wiem maja zabezpieczenie przed wysokimi napieciami.

    • Zabicie taserem pozostawia dowód (osmalone dziury po drutach). Za to jak “podkręcić” tak komuś pompę, żeby dawała coraz większe dawki, by po pewnym czasie wykitował, a potem zresetować ustawienia – zbrodnia doskonała.

  3. No to teraz takie CIA/KGB/MI6/itd. może spokojnie kogoś sprzątnąć ‘bezprzewodowo’. A po głowie dostanie producent za wadliwie działające urządzenie…

    A bardziej serio – wątpię, żeby ktokolwiek taki atak przeprowadził ‘na żywca’. Bo i po co ? Pokazanie jak bardzo jest to ‘dziurawe’ rozwiązanie powinno skłonić producenta do jego udoskonalenia.
    Inna bajka, że implanty będą coraz bardziej inteligentne, mniejsze i bardziej powszechne. Pompa insulinowa to jedno, ale rozruszniki serca, implanty słuchowe…

    • po co implanty .. ADS mozna bez zadnych implantow

    • Implanty słuchowe to pikuś. Pomyślmy o implantach oczu! Jeżeli tylko taki implant będzie miał odpowiednią moc obliczeniową, można w czasie rzeczywistym zmieniać odbierany przez mózg obraz i np. podmieniać wszystkie loga Pepsi na loga Coca-Cola (taki pierwszy lepszy przykład). Wielkie pole do popisu dla spamerów :)

    • @Łukasz,

      hakowanie wzroku to ważny element pierwszego sezonu “Ghost in the Shell: Stand Alone Complex”. Nie sądziłem, że tak szybko pojawią się takie motywy w rzeczywistości (i tak, wiem, na razie pompa insulinowa, ale mówiłem ogólnie).

    • albo zaladowanie specjalnego programu do widzenia nago dziewczyn ;-)

  4. Jestem ciekaw, czy taka pompa insulinowa przechowuje jakieś logi połączeń i wykonanych akcji. Jeśli nie, to rzeczywiście można przeprowadzić zbrodnię doskonałą tylko poprzez przebywanie w niedalekiej odległości od celu (żadnych dowodów, żadnych świadków, a w razie czego można wszystko zrzucić na wadę urządzenia).

  5. @all
    A wiecie jaka jest rzeżnia z odczytywaniem danych z takiej pompy?
    Słaby program (np. bez wyjścia danych na xls/csv/… ) i tylko pod M$ Windows.
    Ten atak daje możliwość pozytywnego wykorzystania: budowy czytników na nie wspierane systemy i/lub sensowniejszych niż program dostarczany przez producenta.

Odpowiadasz na komentarz sfp

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: