Slo-Tech
Prijavi se z GoogleID

»

Medicinski pripomočki še vedno ranljivi

Wired Blog - Prvič smo o računalniških ranljivostih srčnih spodbujevalnikov pisali že pred desetletjem, a se do danes ni kaj dosti popravilo. Da je ranljivost medicinskih pripomočkov pereča tema, tako z vidika varnosti kakor zasebnosti, smo videli že večkrat, izvzete pa niso niti velike naprave v bolnišnicah. Na konferenci Black Hat v Las Vegasu sta raziskovalca Billy Rios (WhiteScope) in Jonathan Butts (QED Secure Solutions) predstavila ranljivosti v napravah podjetja Medtronic, na katere sta podjetje prvikrat opozorila januarja lani. Popravkov do današnjega dne ni, saj isti dokaz koncepta še vedno deluje, trdita....

4 komentarji

Vpoklic pol milijona srčnih spodbujevalnikov zaradi nadgradnje firmwara

Slo-Tech - Čedalje pametnejših postaja vse več naprav, med katerimi najdemo tudi srčne spodbujevalnike. Zato je bilo le vprašanje časa, kdaj bomo dočakali prvi vpoklic teh naprav zaradi nadgradnje programske opreme. To se je sedaj zgodilo, saj je ameriška Agencija za hrano in zdravila (FDA) izdala varnostno opozorilo, da so srčni spodbujevalniki proizvajalca St. Jude Medical (oziroma Abbott, ki ga je prevzel), ranljivi na hekerski napad in potrebujejo nadgradnjo. Ker nadgradnje ni mogoče izvesti oddaljeno, so njihove uporabnike pozvali, naj se zglasijo pri osebnem zdravniku za nadgradnjo.

Gre za sorazmerno preprost postopek, ki traja tri minute. V tem času bo naprava dobila popravljen firmware, ki ga je FDA odobrila 23....

17 komentarjev

Umrl je Barnaby Jack

vir: BBC
BBC - Ta četrtek je v 35. letu starosti v svojem domu v San Franciscu umrl novozelandski heker in varnostni raziskovalec Barnaby Jack. Najbolj znan je bil po svoji seriji napadov na bankomate (popularno "jackpotting"), kjer je z namestitvijo lastne programske opreme s pomočjo usb ključka dosegel bliskovito izpraznitev naprave -- ker so proizvajalci še do nedavnega dovoljevali poganjanje nepodpisane kode. V zadnjih letih se je sicer posvečal varnosti človeških implantantov, zlasti inzulinskih črpalk in srčnih spodbujevalnikov, kjer je odkril, da le te s svojim nadzornim modulom tipično komunicirajo kar preko nešifirane brezžične povezave. Črpalke je pošteno dotolkel že predlani, ko je pokazal, da bi lahko imetnike Medtronicovih modelov spravil...

28 komentarjev

Varnost brezžičnih medicinskih pripomočkov

vir: Reuters
Reuters - Informacijska varnost je letos doživela par naravnost grozljivih udarcev; spomnimo samo na vdora in skoraj enomesečne nedosegljivosti PlayStation Networka, objavo interne e-poštje korespondence bank, varnostnih svetovalcev (HBGary, BoozAllen, Vanguard), računov pri spletnih trgovinah, facebookih, obsežno krajo denarja z računov Citibankinih komitentov, pri čemer so se nepridiprave v te račune prijavljali domala zgolj s spremembo url-ja v naslovni vrstici. A kljub vsem tem primerom nekatera podjetja še vedno odkrito zanikajo obstoj pomanjkljivosti v svojih izdelkih, in to celo, ko se gre za življenje pacientov.

Varnostni raziskovalec Jay Radcliffe, tudi...

24 komentarjev

Odkrita ranljivost v Nokia Series60 mobilnih telefonih

Slo-Tech - Nemški raziskovalec Tobias Engel je novembra lansko leto odkril ranljivost v telefonih Nokia Series60, ranljivost pa je bila prikazana tudi na decembrski CCC konferenci v Berlinu. Ranljivost je poimenoval Curse Of Silence.

Engel je odkril, da sprejem posebej prirejenega SMS ali MMS sporočila pri ranljivih mobilnih telefonih sproži napako zaradi katere le-ti ne morejo več sprejemati novih SMS sporočil oziroma je pri nekaterih modelih mobilnih telefonov sprejemanje SMS sporočil moteno. Pomaga šele resetiranje telefona na tovarniške nastavitve.

Seznam prizadetih telefonov: Nokia E90 Communicator, Nokia E71, Nokia E66, Nokia E51, Nokia N95 8GB, Nokia N95, Nokia N82, Nokia N81 8GB, Nokia N81, Nokia N76, Nokia 6290, Nokia 6124 classic, Nokia 6121 classic, Nokia 6120 classic, Nokia 6110 Navigator, Nokia 5700 XpressMusic, Nokia E70, Nokia E65, Nokia E62, Nokia E61i, Nokia E61, Nokia E60, Nokia E50, Nokia N93i, Nokia N93, Nokia N92, Nokia N91 8GB, Nokia N91, Nokia N80, Nokia N77, Nokia...

43 komentarjev

Zapornik vdrl v zapor

The Register - Zaporniki običajno bežijo iz zapora, dvainštiridesetletni Francis G. Janosko pa je vdrl vanj -- elektronsko. Janosko je bil zaprt v zaporu v Plymouthu v Massachusettsu, kjer je prek terminala, povezanega s strežnikom, zaradi hrošča lahko dostopil do baze podatkov o zaposlenih. Imena, naslove, datume rojstva, številke zdravstvenega zavarovanje in telefonske številke 1100 zaposlenih je nato kolegialno delil tudi z ostalimi jetniki. Poleg tega si je pridobil še dostop do interneta, tako da je svojo zbirko podatkov lahko dopolnil še s fotografijami paznikov, zapornikov in zračnimi posnetki zapora. Če bo obsojen za krajo identitete in namerni vdor v zaščiteni računalnik, mu grozi kazen 12 let in globa 250.000 dolarjev, poročajo.

7 komentarjev

Nova grožnja: izdelava zlonamerne strojne opreme

Schneier.com - Združenje USENIX je 15. aprila letos organiziralo prvo delavnico LEET '08 (LEET je akronim za Large-Scale Exploits and Emergent Threats).

Na njej je bilo predstavljenih enajst prispevkov povezanih z informacijsko varnostjo, nagrado za najboljšega pa so prejeli Samuel T. King, Joseph Tucek, Anthony Cozzie, Chris Grier, Weihang Jiang in Yuanyuan Zhou za delo z naslovom Designing and implementing malicious hardware.

Avtorji v članku najprej navajajo nekaj primerov zlonamerne ali okužene strojne opreme, npr. z virusom RavMonE okužene iPode leta 2006, Seagatove trde diske z "prednaloženimi" trojanci, leta 1982 s strani CIE modificirano programsko opremo za nadzor plinovodov, ki je onesposobila Sovjetske naftovode, ter modificirane pisalne stroje, ki jih je Sovjetska KGB podtaknila ameriški ambasadi v Moskvi ter tako lahko prestrezala vse, kar so Američani natipkali.

Ker pa na tem področju še ni bilo opravljenih dosti raziskav (z izjemo raziskave IBM-a, ki je razvil napravo za krajo...

4 komentarji

Še en napad na GSM A5/1 algoritem

Slo-Tech - Trije nemški raziskovalci Timo Gendrullis, Martin Novotny in Andy Ruppiz iz nemškega Inštituta za IT varnost na Ruhr-University Bochum so na Cryptology ePrint Archive objavili članek z naslovom A Real-World Attack Breaking A5/1 within Hours.

V članku opisujejo napad na GSM šifrirni algoritem A5/1. Za razliko od večine teoretičnih kriptoanalitičnih napadov, gre v tem primeru za praktičen napad, ki ga je mogoče izvesti s posebno napravo, ki so jo poimenovali COPACOBANA, sestavljena pa je iz FPGA čipovja.

Raziskovalci v članku trdijo, da je uspešen napad mogoče izvesti v povprečju v okrog sedmih urah, predstavljajo pa tudi optimizacijo, ki omogoča še približno 16% pohitritev napada.


Napad sicer ni tako hiter kot tisti, ki sta ga na BlackHat Europe 08 prikazala David Hulton in Steve Muller, je pa v članku objavljenih dovolj podrobnosti za nadaljnje raziskovanje na tem področju. Hulton in Muller sta pri svojem delu sicer izhajala iz članka Kellerja in Seitza, ki sta opisala napad...

8 komentarjev

Nov napad na ključe za daljinsko odklepanje KeeLoq

Slo-Tech - Septembra 2007 smo poročali, da je skupina raziskovalcev uspela razbiti sistem za daljinsko zaklepanje avtomobilov KeeLoq.

Sistem so razvili v 1980-tih in ga pričeli prodajati v 1990-tih, danes pa ga uporabljajo praktično vsi avtomobili, ki omogočajo daljinsko zaklepanje, uporablja pa se tudi za daljinsko zaklepanje večine garažnih vrat.

Za izvedbo prvega napada, ki so ga izvedli lansko leto, se je bilo potrebno približati ključu za približno 65 minut. V tem času je napadalec prebral podatke iz ključa, sledilo pa je dekodiranje, oz. iskanje glavnega šifrirnega ključa, ki je trajalo okrog enega dneva.

Skupina nemških raziskovalcev pa je sedaj napad še izboljšala. V okviru novega napada napadalec prisluškuje daljinskemu upravljavcu (to je mogoče storiti iz oddaljenosti do 100 metrov), prestreči pa mora samo dve sporočili med daljinskim upravljavcem in "bazno postajo". Zbrane podatke nato analizira, pridobi unikatni šifrirni ključ, ki ga daljinski upravljalnik uporablja za...

21 komentarjev

Hekerski napad na defibrilator in srčni spodbujevalnik

Schneier.com - Skupina varnostnih raziskovalcev iz podjetja Medical Device Security Center, je ugotovila kako pridobiti brezžični dostop do nekaterih defribilatorjev in srčnih spodbujevalnikov z imenom Maximo podjetja Medtronic. Gre za naprave, ki jih po vstavitvi v telo pacienta zdravnik s pomočjo brezžične povezave nastavi za vsakega pacienta posebej oziroma preko brezžične povezave od naprave pridobiva povratne informacije.

S pomočjo brezžične povezave so naprave uspeli reprogramirati in jih ugasniti oziroma tako spremeniti električne signale, ki jih srčni spodbujevalniki oddajajo, da bi to lahko umorilo pacienta.

Praktični napadi v resničnem svetu so zaenkrat malo verjetni, saj je bila raziskava opravljena v laboratoriju, napad je potekal iz oddaljenosti okrog pet centimetrov, vrednost laboratorijske opreme pa je okrog 30.000 USD. Gre sicer za prvo tovrstno raziskavo, bo pa zaradi občutljivosti področja raziskovanje varnosti medicinskih naprav v prihodnosti gotovo še potekalo.

Skupina...

20 komentarjev

Srčni spodbujevalniki ne marajo iPodov

Daily Tech - Sedemnajstletnik iz Michigana se je z ekipo lotil raziskovanja povezave med prisotnostjo iPodov in delovanjem srčnih spodbujevalnikov. Na 83 starejših ljudeh so izvedli test, ki je vključeval približanje glasbenega predvajalnika povsem k spodbujevalniku (razdalja 5 cm) in opazovanje odziva na računalniškem zaslonu. Pri 29 odstotkih je prišlo do manjših motenj, kar 20 odstotkov spodbujevalnikov je začelo napačno zaznavati bitje srca, eden od spodbujevalnikov je celo nehal delovati. Zaenkrat ni znanega kaj dosti več, niti to, ali je problem jabolčen ali ga povzročajo tudi drugi predvajalniki, je pa malce vzpodbudno le dejstvo, da je med ljudmi s srčnim spodbujevalnikom zelo malo uporabnikov iPodov.

Izvorna novica.

Pa tako rad je imel glasbo...

26 komentarjev