750 tys. rozruszników serca podatnych na atak. Mają je także polscy pacjenci

750 tys. rozruszników serca podatnych na atak. Mają je także polscy pacjenci22.03.2019 13:46
750 tys. rozruszników serca podatnych na atak. Mają je też polscy pacjenci (Getty / Joe Raedle / Staff)

Celem ataku cyberprzestępców może być nawet rozrusznik serca. Firma Medtronic, której rozruszniki i pompy insulinowe są dostępne także w Polsce, ostrzega o poważnej luce w swoim oprogramowaniu. Podatnych może być nawet 750 tys. urządzeń na całym świecie.

Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych wydał ostrzeżenie, w którym przypisał lukom wysoki wskaźnik CVSS – 9.3 w 10-stopniowej skali (im wyższy, tym groźniejszy problem). Poprosiłam także Urząd Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych o informację, czy analogiczne ostrzeżenie zostanie wydane także w Polsce. W chwili pisania artykułu na stronie Urzędu nie było takiego komunikatu.

Atak może zabić

Medtronic ostrzega przed dwiema podatnościami w swoim protokole komunikacji Connexus. Jedna z nich pozwala odczytywać dane z atakowanego urządzenia, druga zaś modyfikować niezabezpieczoną transmisję między dwoma urządzeniami (na przykład monitorem i rozrusznikiem). Luki znajdują się w sumie w 16 modelach rozruszników serca, monitorów oraz przenośnych komputerów, pozwalających na programowanie rozruszników w klinikach. Są to modele z różnych lat. Niektóre z nich wciąż są w sprzedaży, wiele z nich jest używanych przez pacjentów również w Polsce.

Luka umożliwia zmianę parametrów oprogramowania rozrusznika serca i w ten sposób zaszkodzenie osobie, której go wszczepiono. Rozruszniki wysyłają elektryczne impulsy, by regulować pracę serca i zapobiegać anomaliom, w ten sposób chroniąc życie ludzi. W ekstremalnej sytuacji atak zmieniający kalibrację urządzenia może doprowadzić nawet do śmierci ofiary.

Sprzęt medyczny pełen luk

Rozruszniki serca, pompy insulinowe i podobne urządzenia z jednej strony ratują życie, ale z drugiej są kopalnią luk zabezpieczeń. Pod koniec 2018 roku ukazał się raport prezentujący opłakany stan ich oprogramowania. Na stronie URPL znajdziemy cały zestaw ostrzeżeń dotyczących rozruszników różnych producentów. Transmisja danych odbywa się bez żadnych zabezpieczeń, brak nawet rozsądnej autoryzacji. Sprzęt medyczny nie jest tu odosobniony – na podobne bolączki cierpią maszyny przemysłowe i budowlane.

Problem jest znany od lat. Jeśli śledzicie politykę USA, na pewno pamiętacie Dicka Cheneya. Nie chodzi jednak o wypadek podczas polowania na przepiórki, ale o rozrusznik serca, który mu wszczepiono w 2007 roku. Wtedy wiceprezydent USA zapytał specjalistów, czy do urządzenia można się włamać. Odpowiedź brzmiała podobno: „jak najbardziej, panie wiceprezydencie”. Nic dziwnego, że polityk poprosił lekarzy o wyłączenie komunikacji bezprzewodowej ze swoim rozrusznikiem. Cyberprzestępcy mieli otwartą drogę, by zaplanować zamach na jego życie. Ochrona nawet by się nie zorientowała, że dzieje się coś niedobrego.

Mam rozrusznik. Jak się bronić?

Wada na szczęście nie jest oczywista i osoba bez specjalistycznej wiedzy jej nie wykorzysta. Trudno powiedzieć, czy takie osoby istnieją poza listą płac firmy Medtronic. Nie umniejsza to jednak zagrożenia dla życia wielu osób, zwłaszcza że urządzenia medyczne tego typu można bez problemu kupić w sklepach internetowych i na aukcjach.

Najlepszym wyjściem jak zwykle jest ostrożność. Można też pójść za przykładem Dicka Cheneya i poprosić o wyłączenie komunikacji bezprzewodowej rozrusznika, ale Medtronic tego nie zaleca. W końcu pozwala ona na zdalne monitorowanie pracy serca pacjentów. Nie ma też potrzeby, by wymieniać rozruszniki.

Przenośny komputer Medtronic CareLink 2090 do programowania rozruszników
Przenośny komputer Medtronic CareLink 2090 do programowania rozruszników

Medtronic zaleca, by pacjenci używali monitorów pracy serca pochodzących wyłącznie z pewnego źródła – na przykład otrzymanych po operacji od lekarzy lub kupionych bezpośrednio od firmy Medtronic. Monitor zdobyty na własną rękę może zawierać szkodliwe oprogramowanie i umożliwić zdalne przeprowadzenie ataku. Ponadto osobom z wszczepionym rozrusznikiem zaleca się, by dobrze pilnowały swoich monitorów pracy serca i dbały o ich aktualizację.

Równie łatwo można uzyskać dostęp do urządzeń programujących rozruszniki. Na liście podatnych urządzeń znalazł się między innymi przenośny programator Medtronic CareLink 2090, używany do modyfikowania parametrów pracy. W odpowiednich rękach mógłby stanowić śmiercionośną i niezwykle dyskretną broń. Atak można przeprowadzić z odległości maksymalnie 6 metrów.

Producent nasłuchuje

Firma Medtronic obecnie monitoruje swoją sieć w poszukiwaniu oznak ataków. Na razie nie ma sygnałów świadczących o tym, że luki zostały wykorzystane w prawdziwym ataku. Rozruszniki mają wbudowane zabezpieczenie, które wyłączy komunikację bezprzewodową, jeśli urządzenie otrzyma nietypową komendę, atakujący musi więc mieć szczegółowe informacje o działaniu sprzętu. W przygotowaniu jest też aktualizacja, która zabezpieczy luki.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na