» »

Varnost brezžičnih medicinskih pripomočkov

Varnost brezžičnih medicinskih pripomočkov

vir: Reuters
Reuters - Informacijska varnost je letos doživela par naravnost grozljivih udarcev; spomnimo samo na vdora in skoraj enomesečne nedosegljivosti PlayStation Networka, objavo interne e-poštje korespondence bank, varnostnih svetovalcev (HBGary, BoozAllen, Vanguard), računov pri spletnih trgovinah, facebookih, obsežno krajo denarja z računov Citibankinih komitentov, pri čemer so se nepridiprave v te račune prijavljali domala zgolj s spremembo url-ja v naslovni vrstici. A kljub vsem tem primerom nekatera podjetja še vedno odkrito zanikajo obstoj pomanjkljivosti v svojih izdelkih, in to celo, ko se gre za življenje pacientov.

Varnostni raziskovalec Jay Radcliffe, tudi sam sladkorni bolnik, je na nedavni varnostni konferenci Black Hat predstavil svojo analizo varnosti pri prenosnih inzulinskih črpalkah enega največjih svetovnih proizvajalcev Medtronic. Napravica, ki je pripeta za pas, vsakih nekaj minut skozi tanko cevko v podkožje vbrizga potrebni odmerek inzulina, ki potem uravnava nivo glukoznega sladkorja v krvi. Mora biti primerno kalibrirana, za kar skrbi poseben brezžični programator, ki je potem preko interneta povezan do strežnikov podjetja. Radcliffe je z reverznim inženirignom uspel rekonstruirati protokol med napravicama in ugotovil, da ne uporablja ne šifriranja ne avtentikacije. Posledično bi lahko kak posebej škodoželjen napadalec na daljavo izklopil pumpico ali spremenil dozo inzulina, ki jo zagotavlja bolniku. O najdbi je obvestil proizvajalca; a Medtronic je ocene o obsegu napake označil za pretirane in zavlačeval. Radcliffe ocenjuje, da to zato, ker napravica ne podpira brezžične nadgradnje programske opreme, zato bi jih rabili pri podjetju vpoklicati nazaj, seveda na rovaš neprijetnosti za bolnike in občutnih stroškov zase. Naprava namreč stane tudi do 10 tisoč dolarjev. Zato se je odločil svoje odkritje predstaviti na omenjeni varnostni konferenci ter je na odru tudi jasno demonstriral, da zmore črpalko onemogočiti na daljavo.

Medtronic se je branil z izjavo, da je tveganje načrtnega napada izjemno nizko, istočasno pa so zagotovili, da njihovi izdelki uporabljajo šifriranje (kar naj ne bi bilo res za večino, preostanek pa naj bi uporabljal izrazito šibke in že odpoklicane metode). Zgodba se morda ne bo končala pri tem, saj naj bi ameriška vlada že minuli teden razmišljala o obsežnejši preiskavi varnosti medicinskih pripomočkov, ki pri svojem delu uporabljajo brezžične tehnologije. Medtronic je na to odzval z že slišano izjavo, da so poostrili notranji nadzor ter da bodo v prihajajoče izdelke vgradili še dodatno zaščito. To sicer ni prva tovrstna neprijetnost za podjetje - tri lete nazaj so raziskovalci našli podobno napako pri zaščiti njihovega srčnega defibrilatorja.


24 komentarjev

llama ::

Pyr0Beast ::

Overpriced crap
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

fosil ::

Najbolj paradoksalno je, da te ekstremne cene proizvajalci upravičujejo z domnevno varnostjo in zanesljivostjo.
Tukaj je pa to čisti fail.
Tako je!

dr.Akula ::

Pa kako pri vseh strokovnjakih, ki delajo na takih projektih, niti enemu od njih ne pade na pamet: "Ej, tole nekomu zagotavlja življenje, hkrati pa se priklopi na net. Bi vgradili kakšno zaščito?"
ni podatka

Sheteentz ::

Ker jim ni treba.

Putr ::

dr.Akula je izjavil:

Pa kako pri vseh strokovnjakih, ki delajo na takih projektih, niti enemu od njih ne pade na pamet: "Ej, tole nekomu zagotavlja življenje, hkrati pa se priklopi na net. Bi vgradili kakšno zaščito?"

Ker jim ni treba.


Ker jim ne dovolijo ker "ni dovolj časa in/ali denarja" ter "ker je zaslužek dovolj velik da upravičuje nevarnost vdora in potencialne tožbe".

llama ::

Putr je izjavil:

Ker jim ne dovolijo ker "ni dovolj časa in/ali denarja" ter "ker je zaslužek dovolj velik da upravičuje nevarnost vdora in potencialne tožbe".

Ker noben tega ne bo opazil (ali dokazal na sodišču za pokojnika).

gendale ::

bolj me zanima kdaj bomo dobili inzulinske črpalke, ki znajo same merit količino glukoze v krvi

borisk ::

gendale je izjavil:

bolj me zanima kdaj bomo dobili inzulinske črpalke, ki znajo same merit količino glukoze v krvi


kolikor je meni znano so te zadeve že sedaj avtonomne, se pravi kontrolirajo in dozirajo.

mare_ ::

Njet, niso, ampak so samo programirane, da ti cel dan po malem sproščajo inzulin, takrat, ko ješ, ga moraš pa še ekstra sam pravo količino naštimat in sprožit.

Matrin ::

Kolikor mi je znanec s sladkorno pravil, se da dobiti tudi sonde, ki merijo glukozo v krvi. Ampak so prvič drage in jih ZZ ne krije, drugič pa jih je potebno tudi pogosto menjat, kolikor se spomnem je rekel, da jo moraš zamenjat vsak teden. Tako, da ta tehnologija še ni čisto zrela.

mare_ ::

Samo mislim, da vseeno potem merilnik in črpalka nista povezana in se inzulin ne prilagaja avtomatsko.

rolihandrej ::

Glede na to da sem uporabnik ene izmed tehle Medtronicovih inzulinskih črpalk lahko nekaj stvari razjasnim. Trenutni najovejši model, ki ga pri nas krije zdravstveno zavarovanje (mislim da je tudi najnovejši medtronicov model - Paradigm 754) podpira konstantno merjenje glukoze. Za to seveda rabiš poseben senzor (ki se ga logično menja vsakih nekaj dni), ki pa ga pri nas zdravstvo krije samo za nosečnice in otroke (mislim da do petega leta - nisem čisto prepričan). Črpalka samega odmerka ne prilagaja razen ob robnih pogojih - zelo nizek sladkor ali zelo visok sladkor. V prvem primeru dovanjanje inzulina lahko tudi ustavi, v drugem pa uporabnika samo opozori.

Kar se pa tele ranljivosti tiče se mi zdi pa nekam preveč napihnjena. Zadeva se lahko brezžično poveže z merilcem sladkorja ali daljinskim upravljalnikom - v normalnih pogojih moraš v črpalko vnesti serijsko številko merilca/daljinca preden zadeva deluje. Obstaja pa tudi dongle ki ga priklopiš na računalnik in lahko podatke iz črpalke preneseš na računalnik za lažji pregled. Again tudi tukaj je všteto vnašanje serijskih številk. Da bi lahko spreminjal odmerke brezžično nisem še zasledil - vsaj v originalnem softweru ne. V primeru, da bi šel hekat pa protokol za daljinski upravljalnik pa mora imeti naprava omogočena daljinski upravljalnik in vedno, ko pride do remote dogodka zadeva zapiska. Da ne omenjam kako je domet zelo omejen. Tako, da resnično dvomim v točnost teh trditev. Seveda nikjer ne najdem original vira tega - razen, če sem spregledal link.

Pa tudi, če bi že zadevo nekdo spremenil - če bi spremenil stalni odmerek bi to opazil v sami ugrejenosti. Če bi v tistem trenutku dodal inzulin oziroma ustavil delovanje pa bi opazil. Ker spremembe krvnega sladkorja je enostavno začutiti in bi definitivno vedel da nekaj ni vredu. Plus inzulin rabi kako uro preden začne delovati, pa še potem, ko je začel delovati rabi še kake tri urice, da dejansko telo absorbira ves odmerek. Odvisno spet od višine odmerka in tipa inzulina. Ampak to je že druga zgodba.

Vsekakor ima zadeva za življenje bistvene prednosti pred standardnimi inekcijami inzulina. Dejansko ti omogoča veliko brezskrbnost. Pri nas imamo srečo, ker zdravstvo krije črpalke že ogromno ljudem. In po poročanju našega zastopnika za Minimedove črpalke smo ena izmed držav z največjim procentov uporabnikov inzulinskih črpalk. Tako, da je to definivno plus.
http://www.r00li.com

Zgodovina sprememb…

Ericssony ::

5er--> ::

vs
I *can* hack an insulin pump. I can suspend it, change all the settings remotely. I did that on stage. I'm quite disappointed that you did not verify any of the information in your article. People do die from hypoglycemia. Is it an extreme example? Yes. It needs to be. These devices need to be researched for security flaws. To talk about why someone might hack a pump misses the point.

pino ::

Glede merjenja sladkorja v krvi je tako kot je opisal rolihandrej
Je pa problem se tem merjenjem to, da ko ti izmeri sladkor iz podkožja in je meritev "neregularna" v toliko, ker je razlika v času merjenja tudi pol ure. Iz krvi vzet vzorec ti pokaže nivo sladkorja v 5 sekundah, iz podkožja pa je meritev zakasnjena.
Tako, da če ti pade sladkor ti pol ure kasneje sporoči nizek nivo sladkorja in meni osebno to nič ne pomaga ker sem lahko v tem času že na hrbtu in v nezavesti.
Največkrat dajejo to merjenje tistim bolnikom, da jim merijo kako jim skače sladkor v celem dnevu.
ko bo ta čas skrajšan, pa bo prišlo prav vsem, da jih bo obveščalo o višini sladkorja v krvi. Upam, da bo to čim prej možno.
LP Pino

rolihandrej ::

Aha no to pa je to kar se mi je zdelo in očitno se gre za isto tehnologijo kot jo imam sam. Vsaj glede na slikce iz članka, ki ga je linkal Ericssony. In kot sem omenil črpalke ne moreš izklopiti brez da bi ta spustila iz sebe zvok - vsaj ne da bi jaz vedel. In vsake nekaj časa bo ta ponovno spustila zvok, da te opozori, da ni dovajanja.

Kar se pa merjenja glukoze tiče - ja ti senzorji so počasni in merijo z zakasnitvijo. Zato te zadeva opozarja na nizke in visoke sladkorje takrat, ko vidi, da sladkor hitro pada - torej ne nujno, da je sladkor že padel. Oziroma obratno - sladkor hitro narašča in, ko pride čez neko mejo boš dobil opozorilo.
http://www.r00li.com

Fritz ::

Ves point je v tem, da mora biti varnost zagotovljena..še posebej zato, ker gre za človeška življenja in izdelek, pri katerem se zelo drago plačuje intelektualna lastnina (izdelava samega aparata, pri današnji tehnologiji, ne more biti ne vem koliko draga). Ker bi izboljšava varnosti pomenila več dela in manjši profit (zamenjati bi bilo treba vse takšne naprave) se podjetje tega otepa na vse možne načine.

Toliko o samonadzoru in samoregulaciji trga.

P.S.
Če se naprava lahko zlorabi se bo prej ali slej našel nekdo, ki bo to naredil. Če ne kdo drug pa kak neučakan dedič.

[D]emon ::

Fritz je izjavil:


*snip*
Če se naprava lahko zlorabi se bo prej ali slej našel nekdo, ki bo to naredil. Če ne kdo drug pa kak neučakan dedič.


Ali pa kdo, ki bi to naredil samo "for teh lulz" ;>
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

gendale ::

ker vidim da vas tukaj kar nekaj uporablja inzulinske črpalke.. kakšen je občutek cel čas imet v sebi tisto iglo?

rolihandrej ::

Tak kot ga imaš brez nje. :) Tukaj je ena pogosta napaka - igle ni. Iglo se uporabi, da se zadevo vstavi pod kožo, potem pa se iglo izvleče ven. Tako, da ostane samo plastična cevkica. Tako, da zadeve, ko je enkrat not sploh ne čutiš. Tudi, če se nasloniš z njo na zid je ne boš čutil ampak boš čutil samo del nad kožo kjer je potem plastični priklop (ter seveda "obliž" s katerim je zadeva fiksirana) v velikosti kovanca.
http://www.r00li.com

Limit-sky ::

Tudi sam sem uporabnik insulina, ki ga moram dovajati "ročno". Sicer še 4x dnevno, s staro metodo tanke kovinske cevke, ki si jo potisnem pod kožo :). Vsakič znova. Sem pa mnenja, ko bodo naredili še merjenje glukoze sproti in dovajanje insulina glede na meritve, bo pa res olajšanje za sladkorne bolnike. Vsekakor se strinjam, da zna mali procesorček bolje uravnavat nivo sladkorja v krvi, kot pa človek. Celo tako daleč so zdaj, da celo prilagajajo delovanje teh naprav glede na njihovo "utrujenost". Npr. Trebušna slinavka in tudi ostali organi ne delujejo enako zjutraj ali pa zvečer, ko je telo že malo utrujeno. In te prilagoditve so na testiranju.

http://www.kurzweilai.net/mayo-clinic-d...

Bo pa to ogromen korak naprej za kvaliteto življenja bolnikov. Sam imam to "srečo", da imam diabetes že 26 let in sem se že navadil na moj stil življenja. Je le ena obveznost, ki jo moraš imeti VEDNO v mislih. Ko kam greš, če hočeš kje prespati "ad hoc" ipd...
V eni drugi temi sem že omenil, da bi bilo pa zelo dobro, da bi ti tole "umetno trebušno slinavko" "vgradili" v telo. Da ne bo treba nositi torbice s sabo. Saj počasi bo. Gremo v pravo smer. No ja, razen, če res hekerji ne shekajo "master passworda". Ampak to je le tehnična težava, ki bo s časom vse lažje rešljiva.

Croc_X ::

Za vse vas sladkorne bolnike bi vam znala bit ta oddaja/dokumentarec zanimiv. Ni nujno, da verjamete vsemu, kar je tam predstavljenga, je pa najbrz dobro, ste obvesceni tudi o alternativa in se potem po svoje odlocite.

rolihandrej ::

Nisem tegale gledal ampak samo iz naslova sklepam za kaj se gre. Diabetes ni (vsaj zanenkrat v praktičnem smislu) ozdralvjiv. Pa če se postaviš na glavo. Za tiste, ki so ravno zboleli za sladkorno boleznijo pride še tako imenovano prehodno obdobje kjer se da živeti brez ali pa z zelo malo inzulina. Karkoli drugega je vsaj po mojih informacijah eno nakladanje.

Sam imam srečo, da živim z diabetesom že od prvega leta starosti, tako da je to edini način življenja, ki ga poznam. Meni osebno diabetes ni noben problem in se ne počutim nič prikrajšanega ali kaj podobnega. Tiste 5 minut časa na dan, ki ga porabim za kontrolo je pa tudi zelo malo. Za tiste, ki živijo z starimi načini (aka injekcijami) je malenkost težje, ker se morajo držati neke ure kdaj vstat pa dat inzulin, kdaj jit jest in bla bla bla. Za tiste, ki imamo srečo, da živimo z inzulinskimi črpalkami sedaj že 8 let pa nam to ni potrebno. Vstanem lahko kadar hočem, jest grem kadar hočem, če hočem pojest samo malo dam toliko inzulina, če hočem nek prigrizek pa pač dam spet inzulin. Vse kar je potrebno je vsake tri dni zamenjat "set" in rezervar z inzulinom in to je to.

Vse kar bi rad od Slovenskega zdravstva je kritje senzorjev za stalno merjenje glukoze za vse in nekoč v prihodnosti integracijo le tega v sam set, da nebi rabil imeti na sebi in seta in senzorja. Razen tega sem čisto zadovoljen.

Še vedno se strinjam, da bi minimed moral malenkost popraviti zaščito teh črpalk ampak ni tako hudo kot so tole napihnili mediji. Torej zadevo se da shekati ampak ni pa tako praktično izvedljiv napad. Pa tudi še eno napako sem opazil v tejle novici - črpalka pri slovenskem zastopniku stane okoli 2500EUR in ne 10000.
http://www.r00li.com


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varnost brezžičnih medicinskih pripomočkov

Oddelek: Novice / Varnost
248791 (6917) rolihandrej
»

Heker pridobil zasebne ključe za Apple AirPlay

Oddelek: Novice / Apple iPhone/iPad/iPod
83566 (3030) jype
»

Zdravila in osebni podatki v šolah in vrtcih

Oddelek: Loža
241572 (1204) OZZY
»

Hekerski napad na defibrilator in srčni spodbujevalnik

Oddelek: Novice / Varnost
207566 (6059) rolihandrej
»

Vista varnejša kot MacOS X? (strani: 1 2 )

Oddelek: Novice / Varnost
758225 (5566) Matevžk

Več podobnih tem