Устройства Bio-IoT: угрозы для жизни пользователей |
||
МЕНЮ Искусственный интеллект Поиск Регистрация на сайте Помощь проекту ТЕМЫ Новости ИИ Искусственный интеллект Разработка ИИГолосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Слежка за людьми Угроза ИИ ИИ теория Внедрение ИИКомпьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Big data Работа разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика
Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Техническое зрение Чат-боты Авторизация |
2018-05-30 17:20 Используя уязвимости во встроенном программном обеспечении «умных» имплантов, киберпреступники с лёгкостью могут получить доступ к управлению прибором и, изменяя его настройки, нанести вред носителю устройства. Автор: Михаил Кондрашин, технический директор Trend Micro в России и СНГ Развитие интернета вещей закономерным образом привело к применению IoT-технологий в медицинских приборах и имплантируемых пациентам устройствах — таких, как инфузионные насосы и кардиостимуляторы. Возможность дистанционно подключиться к импланту, который работает внутри организма, открывает врачам огромное количество возможностей по мониторингу состояние пациента и корректировке параметров функционирования устройства Bio-IoT. К сожалению, управлять Bio-IoT-приборами могут не только врачи и медицинский персонал, но и злоумышленники. Используя уязвимости во встроенном программном обеспечении «умных» имплантов, киберпреступники с лёгкостью могут получить доступ к управлению прибором и, изменяя его настройки, нанести вред носителю устройства. Уязвимые инсулиновые помпы В 2016 году компания Johnson & Johnson признала уязвимость в инсулиновых помпах OneTouch Ping, используя которую злоумышленник получал возможность дистанционно изменять дозировку инсулина. Инсулиновая помпа OneTouch Ping и пульт управления еюИнсулиновая помпа OneTouch Ping состоит из собственно помпы, которая осуществляет инъекции инсулина пациенту и управляющего блока. Модули взаимодействуют на радиочастоте 900 МГц, используя проприетарный протокол для передачи команд. Джей Рэдклиф (Jay Radcliffe), ИБ-эксперт из Rapid7 проанализировал протокол управления, который использует помпа, и обнаружил три ошибки, которые допустили создатели устройства при разработке командного протокола.
Использование промышленного стандарта шифрования с уникальными ключами шифрования могло бы устранить эти опасные уязвимости, но производитель устройства оценил вероятность описанной как крайне низкую, поскольку такая атака требует наличия технических навыков, сложного оборудования и возможна только с близкого расстояния от помпы. Для предотвращения атак компания выпустила буклет с рекомендациями отключить пульт дистанционного управления и ограничить максимальную дозу инсулина на помпе. Кардиостимуляторы с сюрпризом В 2016 году исследователи из компании MedSec совместно с инвестиционной фирмой Muddy Waters Capital представили аналитический отчёт о выявленных уязвимостях в кардиостимуляторах и кардиодефибрилляторах производства St. Jude Medical. Используя эти уязвимости, злоумышленник может вывести имплант из строя, установить некорректный сердечный ритм или разрядить батарею прибора в течение нескольких дней, причём сделать это можно с расстояния в 15 метров. Кардиостимулятор, программатор и монитор Merlin@Home Имплант, внедряемый в организм пациента, управляет сердечным ритмом, устраняя приступы тахикардии и брадикардии. Работа импланта управляется через программатор, который даёт полный доступ ко всем параметрам работы прибора. Для мониторинга состояния пациента служит устройство Merlin@Home. Оно передаёт информацию о состоянии пациента в сеть Merlin.net, через которую все гаджеты компании обмениваются информацией. Кроме уязвимого протокола вся экосистема разработана без соблюдения даже базовых стандартов безопасности:
Бывшие в употреблении приборы Merlin@Home свободно продаются на Ebay, что позволяет легко изучить их внутреннее устройство. После публикации отчёта об уязвимостях производитель кардиостимуляторов выпустил опровержение возможности атак, описанных MedSec. По заявлению St. Jude Medical, радиус действия беспроводных коммуникаций импланта составляет приблизительно два метра, поэтому чтобы разрядить батарею устройства, злоумышленнику потребуется находиться рядом с пациентом. ри этом преступник должен непрерывно подавать сигналы на устройство в течение нескольких дней, а жертва всё это время должна лежать неподвижно. И даже если такая ситуация произойдёт, имплант подаст вибропредупреждение при разряде батареи ниже допустимого уровня. В 2017 году в разбирательство с кардиоприборами вмешалось Управление по контролю за продуктами и лекарствами США (FDA), которое подтвердило выводы экспертов MedSec о выявленных уязвимостях и выпустило предупреждение о необходимости отзыва устройств, содержащих эти ошибки. Поскольку отзыв кардиостимуляторов крайне проблематичен, разработчики выпустили обновление прошивки для устройств. Процедура занимает всего три минуты и, по словам представителя компании, совершенно безопасна для пациента. По данным FDA, обновление необходимо установить 465 000 пациентов. Опасные нейроимпланты В апреле 2018 года команда бельгийских исследователей выявила уязвимости в мозговых имплантах, которые применяются для снятия симптомов диабета, болезни Паркинсона, рака и других болезней. Это даёт возможность киберпреступникам управлять нейростимулятором, вызывая у жертвы потерю речи, двигательной активности и даже необратимые повреждения мозга. Устройство для перехвата сигналов между имплантом и программатором. Слева передающая антенна, справа приёмнаяИсследователи не раскрывали детали выявленных уязвимостей, но подробно рассказали об организации процесса перехвата и реверс-инжиниринге проприетарного протокола обмена, который, как и в описанных выше случаях, не содержит средств аутентификации и шифрования. Важным итогом исследования, которое проводилось при участии производителя имплантов, стали выводы о фундаментальных причинах уязвимостей медицинских имплантов, которые выявлены в течение последних лет.
Указав на недостатки современных систем шифрования, эксперты описали новую архитектуру безопасности, которая значительно снизит имеющиеся риски:
Использование этого комплекса мер, по утверждению экспертов, позволит на 90% сократить трафик между имплантом и контроллером, обеспечить необходимый уровень безопасности при низком энергопотреблении. Резюме Развитие индустрии устройств Bio-IoT является несомненным благом для больных, нуждающихся в лечении, но без соблюдения мер обеспечения безопасности такие устройства могут создать очень серьёзные риски для своих носителей. Производителям следует внимательнее относиться к разработке протоколов обмена между беспроводными устройствами и использовать новейшие средства обеспечения криптографической защиты и аутентификации, обеспечивающие энергосбережение и снижение трафика. Источник: www.securitylab.ru Комментарии: |
|