Varnost brezžičnih medicinskih pripomočkov
Mandi
28. avg 2011 ob 14:24:33
Informacijska varnost je letos doživela par naravnost grozljivih udarcev; spomnimo samo na vdora in skoraj enomesečne nedosegljivosti PlayStation Networka, objavo interne e-poštje korespondence bank, varnostnih svetovalcev (HBGary, BoozAllen, Vanguard), računov pri spletnih trgovinah, facebookih, obsežno krajo denarja z računov Citibankinih komitentov, pri čemer so se nepridiprave v te račune prijavljali domala zgolj s spremembo url-ja v naslovni vrstici. A kljub vsem tem primerom nekatera podjetja še vedno odkrito zanikajo obstoj pomanjkljivosti v svojih izdelkih, in to celo, ko se gre za življenje pacientov.
Varnostni raziskovalec Jay Radcliffe, tudi sam sladkorni bolnik, je na nedavni varnostni konferenci Black Hat predstavil svojo analizo varnosti pri prenosnih inzulinskih črpalkah enega največjih svetovnih proizvajalcev Medtronic. Napravica, ki je pripeta za pas, vsakih nekaj minut skozi tanko cevko v podkožje vbrizga potrebni odmerek inzulina, ki potem uravnava nivo glukoznega sladkorja v krvi. Mora biti primerno kalibrirana, za kar skrbi poseben brezžični programator, ki je potem preko interneta povezan do strežnikov podjetja. Radcliffe je z reverznim inženirignom uspel rekonstruirati protokol med napravicama in ugotovil, da ne uporablja ne šifriranja ne avtentikacije. Posledično bi lahko kak posebej škodoželjen napadalec na daljavo izklopil pumpico ali spremenil dozo inzulina, ki jo zagotavlja bolniku. O najdbi je obvestil proizvajalca; a Medtronic je ocene o obsegu napake označil za pretirane in zavlačeval. Radcliffe ocenjuje, da to zato, ker napravica ne podpira brezžične nadgradnje programske opreme, zato bi jih rabili pri podjetju vpoklicati nazaj, seveda na rovaš neprijetnosti za bolnike in občutnih stroškov zase. Naprava namreč stane tudi do 10 tisoč dolarjev. Zato se je odločil svoje odkritje predstaviti na omenjeni varnostni konferenci ter je na odru tudi jasno demonstriral, da zmore črpalko onemogočiti na daljavo.
Medtronic se je branil z izjavo, da je tveganje načrtnega napada izjemno nizko, istočasno pa so zagotovili, da njihovi izdelki uporabljajo šifriranje (kar naj ne bi bilo res za večino, preostanek pa naj bi uporabljal izrazito šibke in že odpoklicane metode). Zgodba se morda ne bo končala pri tem, saj naj bi ameriška vlada že minuli teden razmišljala o obsežnejši preiskavi varnosti medicinskih pripomočkov, ki pri svojem delu uporabljajo brezžične tehnologije. Medtronic je na to odzval z že slišano izjavo, da so poostrili notranji nadzor ter da bodo v prihajajoče izdelke vgradili še dodatno zaščito. To sicer ni prva tovrstna neprijetnost za podjetje - tri lete nazaj so raziskovalci našli podobno napako pri zaščiti njihovega srčnega defibrilatorja.