Vakar „Black Hat Briefings“ metu įvyko su sveikatos technologijomis susijusi demonstracija, turinti atšalimo.
Originalus vaizdas suteiktas Flickr vartotojo kirinqueen.
Šią savaitę rimti įsilaužėliai renkasi Las Vegase dalyvauti Def Con 19, kuris atidžiai seka ant kulnų Black Hat techninės apsaugos mokymai ir instruktažai
Vakar „Black Hat“ renginyje įvyko su sveikatos technologijomis susijusi demonstracija, turinti šiurpinančių padarinių, kurie galėjo iššokti iš karto medicininio paslapties trilerio puslapiuose.
Įsivaizduokite tokį scenarijų: I tipo cukriniu diabetu sergantis žmogus staiga miršta nuo insulino perdozavimo. Valdžios institucijos daro prielaidą, kad siurblį netinkamai suprogramavo naudotojas arba jis veikė netinkamai. Siužetui tirštėjant ir plečiantis, paaiškėjo, kad įsilaužėlis smogė žmogui kerštu prieš pacientą arba pompos gamintoją (arba abu) belaidžiu būdu įsilaužė į įrenginį, kad suleistų mirtiną insulino dozę, o gurkšnodamas gurkšnodamas nepavojingai sėdėdamas priešais kavinę nuo nieko neįtariančios aukos latte.
Šis scenarijus nėra taip toli, kaip gali atrodyti.
Pranešėjas Jay Radcliffe pademonstravo, kaip jo parašyta programa gali belaidžiu būdu išjungti (ir išsiųsti daugybę kitų komandų) jo paties insulino pompą. Kokios sunkiai gaunamos informacijos reikėjo norint įsilaužti į dievo režimą insulino pompoje, išlaikančioje jį gyvą? Tik siurblio serijos numeris. Viskas. Ne, aš nejuokauju.
Aš turiu galvoje, tikriausiai prireiktų pagrįstų programavimo žingsnių. Radcliffe'as, pasak jo Linkedin profilis, yra IBM kibernetinės grėsmės žvalgybos analitikas. Matyt, jo darbas yra nustatyti pažeidžiamumą ir nukreipti juos tyrimų tikslais. Tačiau priežastis, dėl kurios jis (ir kiti į jį panašūs ekspertai) taip elgiasi, yra ta, kad taip pat yra blogi vaikinai.
A naujausias ZDNet straipsnis nurodė, kaip populiarus Apple produktas pristatomas su serijos numeriais ir MAC adresais dėžutės išorėje. Kaip pažymėjo daugelis komentatorių, daugelis produktų dabar pristatomi su jų serijos numeriais, atspausdintais ant pakuotės išorės.
Todėl nėra nepagrįstas logikos šuolis manyti, kad insulino pompa gali būti siunčiama į ligoninę su serijos numeriu, pateiktu dėžutės išorėje, kad visi matytų. Man tai kelia šiurpuliukai.
Mes gyvename pasaulyje, kuriame beveik viskam taikomi dvigubi patvirtinimo procesai. Netgi tikrai kvailų dalykų. Pavyzdžiui, šiandien turėjau spustelėti nuorodą, kad patvirtinčiau, jog tai tikrai aš noriu prisiregistruoti gauti paprastą el. laišką naujienlaiškis apie mano mėgstamą hobį, o ne koks nors kitas asmuo, bandantis savo naujienlaiškiais išsiųsti mane el. pašto šiukšlėmis.
Ar neturėtų būti koks nors procesas, kurio metu pacientas turi asmeniškai pritarti tokio galingo reguliavimo prietaiso pakeitimams, ypač dėl to, kad jis jam buvo implantuotas chirurginiu būdu? Radcliffe'as taip mano. Jis taip pat rekomenduoja apsaugoti serijos numerį slaptažodžiu.
Žiūrėk, aš nesistengiu išgąsdinti jokių konkrečių asmenų. Žmonės, sergantys cukriniu diabetu, turi pakankamai rūpesčių. Tačiau labai norėčiau, kad gamintojai ir sprendimus priimantys asmenys medicinos pramonėje pakankamai išsigąstų, kad įgyvendintų tam tikras pagrįstas saugumo priemones tokio tipo prietaisams.
Po velnių, turėčiau manyti, kad jie suskubtų tai padaryti, jei tik pridengtų savo užpakalius. Jie dažnai atrodo labai susirūpinę dėl savo atsakomybės visais kitais tolimais būdais (mano nuomone, kartais tai kenkia pacientams). Atėjo laikas jiems susimąstyti, kaip išspręsti šią ir panašias problemas.
Išgalvotas faktas? Tikėtina. Ką tu manai? Pasidalykite savo idėjomis toliau pateiktose „TalkBacks“.