4

Postęp medycyny to szansa dla… hakerów. Skutki mogą być nieciekawe

Sprzęty IoT są chętnie atakowane przez hakerów - często w ich kontekście mamy do czynienia z urządzeniami słabo zabezpieczonymi, podatnymi na ataki co niedaleka historia udowadniała już wielokrotnie. Podobnie może być z implantami medycznymi, którymi można sterować za pomocą interfejsów bezprzewodowych - spójrzmy chociażby na te, które dotyczą działania serca.

ICD – kardiowerter-defibrylator to implant, który ratuje życie wielu osobom chorym na serce. Jak wynika z raportu DHS (Department of Homeland Security, USA), urządzenia tworzone przez Medtronic mogą paść ofiarą ataku hakerskiego z powodu korzystania z niezabezpieczonego protokołu, za pomocą którego komunikuje się z innymi sprzętami. Jednocześnie DHS utrzymuje, że nie zanotowano jeszcze żadnego ataku, który wykorzystuje tę możliwość, ale ryzyko jest całkiem spore.

Sprzęt Medtronic korzysta z protokołu telemetrycznego Conexus, który nie wykorzystuje żadnej metody autoryzacyjnej. Cyberprzestępca znający tę podatność, znajdujący się w pobliżu implanta może wykorzystać ją do przechwycenia danych, wprowadzenia własnych lub zmodyfikowania ich. Wyżej wspomniany protokół służy obecnie do odczytywania danych z kardiowertera-defibrylatora, który dysponuje czujnikami i skrupulatnie notuje każdą sytuację, w której musiał zareagować. Poza jednym opisywanym sprzętem od Medtronic, na liście DHS znalazło się jeszcze prawie 20 innych wykorzystujących protokół Conexus.

Medtronic został powiadomiony o tej sprawie i obiecał, że udostępni aktualizacje oprogramowania, które rozwiążą problem niezabezpieczonego protokołu komunikacyjnego. Niestety, te są zaplanowane na „późniejszy okres w roku 2019”, co w przypadku typowych podatności cybernetycznych jest naprawdę długim okresem. Jednocześnie, Medtronic oraz FDA radzą, aby pacjenci oraz lekarze korzystali z implantów tak, jak dotychczas.

medycyny

Niestety to konsekwencja zaniedbań na „bazowym” rynku IoT

Internet rzeczy, idea połączonych urządzeń za pomocą interfejsów bezprzewodowych to oczywiście bardzo kusząca wizja, ale w obecnych warunkach również niebezpieczna. Spójrzcie tylko na routery, które w ciągu ostatnich kilku lat wielokrotnie stawały się bohaterami głośnych podatności, zresztą bardzo chętnie eksploatowanych przez cyberprzestępców. Niektórzy producenci wzięli sobie do serca te wydarzenia i zdecydowali się uszczelnić produkowane przez siebie urządzenia. Sam nie wyobrażam sobie, by mój domowy router charakteryzował się słabym poziomem zabezpieczeń i staram się pilnować jego aktualizacji (o ile tego procesu nie wykonuje sam).

Jednak w przypadku implantów medycznych takich jak kardiowertery-defibrylatory mamy do czynienia z bardzo intymnymi sprzętami. Te nie tylko są w stanie zapewnić odpowiedni komfort życia pacjentowi choremu na serce, ale również są w stanie zbierać pokaźne ilości danych o stanie jego zdrowia. Czy ktoś mógłby się na nie połasić? Cóż, czemu nie – jestem w stanie wyobrazić sobie atak, który polega na wykorzystywaniu podatności w takich sprzętach. I właśnie dlatego jestem zdania, by nie tylko takie, ale wszystkie urządzenia z kręgu IoT były zabezpieczane jak najlepiej.