Medicinski pripomočki še vedno ranljivi

Prvič smo o računalniških ranljivostih srčnih spodbujevalnikov pisali že pred desetletjem, a se do danes ni kaj dosti popravilo. Da je ranljivost medicinskih pripomočkov pereča tema, tako z vidika varnosti kakor zasebnosti, smo videli že večkrat, izvzete pa niso niti velike naprave v bolnišnicah. Na konferenci Black Hat v Las Vegasu sta raziskovalca Billy Rios (WhiteScope) in Jonathan Butts (QED Secure Solutions) predstavila ranljivosti v napravah podjetja Medtronic, na katere sta podjetje prvikrat opozorila januarja lani. Popravkov do današnjega dne ni, saj isti dokaz koncepta še vedno deluje, trdita. Medtronic pravi, da obstoječi mehanizmi zadostno ščitijo napravo.

Danes sta na konferenci pokazala, kako je mogoče v praksi napasti CareLink 2090, ki ga zdravniki uporabljajo za spremljanje in nadzor srčnih spodbujevalnikov po vsaditvi. Posodobitve za napravo se ne prenašajo prek HTTPS, prav tako firmware ni digitalno podpisan. Zaradi tega ste na spodbujevalnik z lahkoto naložila zlonameren firmware, ki je lahko spreminjal ukaze, ne da bi zdravniki to videli. To ni edina naprava, ki sta jo zlomila. Pokazala sta še, kako je mogoče napasti Medtronicovo inzulinsko črpalko, in sicer sta ji s HackRF poslala ukaz, naj ne odmeri predpisanega odmerka. Črpalka je manj ranljiva od spodbujevalnika, ker napad deluje le na starejšo verzijo, ki ima nastavljeno oddaljeno krmiljenje. Raziskovalca sta odkrila tudi ranljivost v internem omrežju Medtronica, ki se uporablja za dostavo popravkov podpornim aparatom (torej ne spodbujevalnikom, temveč raznim monitorjem ipd.). Medtronic se je odzval šele po 10 mesecih.

Medicinski pripomočki odpirajo zanimivo debato, kakšen je primeren odziv na javljene ranljivosti. V konkretnem primeru sta se vmešala tudi Oddelek za domovinsko varnost (DHS) in stroga Zvezna agencija za zdravila in hrano (FDA). Kakršnekoli spremembe v medicinskih pripomočkih so občutljiva tematika, saj jih je treba temeljito preveriti in odobriti pri FDA, četudi gre le za varnostne popravke. Tudi pomislek je, ali sploh razkriti obstoj popravljenih ranljivosti ali pa le potihoma zakrpati naprave, saj razkritje ranljivosti poveča možnost za napad na nezakrpane naprave. FDA je letos napovedala ustanovitev posebnega odbora prav za tovrstne težave.