Czy haker może zaatakować nie tylko oprogramowanie, ale dosłownie zabić osobę? Okazuje się, że tak.
Specjaliści od bezpieczeństwa informacji z firmy antywirusowej McAfee ostrzegli, że niektóre nowoczesne elektroniczne urządzenia medyczne są podatne na luki, na które potencjalni hakerzy mogą zmienić tryb pracy urządzenia, co spowoduje nieodwracalne szkody dla osoby, której życie zależy od tego urządzenia.
McAfee twierdzi, że niektóre modele rozruszników serca i pomp insulinowych wszczepianych pacjentom z ciężką cukrzycą są podatne na ataki.
McAfee twierdzi, że współpracował z University of Massachusetts w badaniu, w którym byli w stanie zdalnie włączyć lub wyłączyć nowe elektroniczne defibrylatory wszczepione osobom z chorobami serca, a także zmienić tryb podawania insuliny za pomocą specjalnej sekwencji sygnałów radiowych do pomp insulinowych.
Według ekspertów niebezpieczeństwo tego typu ataków polega na tym, że urządzenia te z reguły są wszczepiane do organizmu człowieka i nie może on po prostu wziąć i wyciągnąć wadliwego urządzenia bez szkody dla organizmu. W ten sposób pacjent staje się po prostu żywym celem hakera. Uniwersytet Massachusetts twierdzi, że z oczywistych powodów nie publikuje publicznie danych o tym, jak dokładnie atakować urządzenia medyczne i jakie konkretne modele są podatne na ataki.
McAfee zauważa, że problem z tymi urządzeniami polega na kanale radiowym, który jest obsługiwany przez wiele urządzeń do zdalnego zarządzania i aktualizacji. Początkowo taki system został wymyślony, aby uniknąć niepotrzebnych przypadków związanych z wyjmowaniem urządzenia z ciała, ale teraz ujawniono również wadę „inteligencji” urządzeń.
Barnaby Jack, specjalista ds. Bezpieczeństwa firmy McAfee, mówi, że na przykład pompa insulinowa zawiera 300 dawek insuliny przez 45 dni, ale manipulując kanałem radiowym, można zmusić pompę do wstrzyknięcia insuliny do organizmu pacjenta na 45 dni, co doprowadzi do bardzo silnej hipoglikemii i śmierci osoby. Technicznie urządzenie posiada mechanizm zabezpieczający przed nagłym wyrzutem insuliny - urządzenie zaczyna wibrować, gdy wydzielanie insuliny przekroczy kilka dawek na raz. Jednak haker może również wyłączyć wibracje, mówi McAfee.
Jeszcze gorsze jest to, że naświetlanie radiowe działa z odległości nawet 90 metrów, co pozwala wpływać na pacjenta bez bezpośredniego kontaktu z nim.
Film promocyjny:
Firma antywirusowa twierdzi, że niedawno przyjrzała się badaniu przeprowadzonemu na Uniwersytecie Massachusetts w 2008 roku, w którym inżynierowie po raz pierwszy ostrzegli przed możliwością zdalnego narażenia na wszczepione defibrylatory. Firma McAfee i uniwersytet podjęli współpracę w celu przeprowadzenia szerszego badania.
„Ataki te są trudne do zablokowania, ponieważ urządzenia elektroniczne są autonomiczne i nie można ich po prostu wyłączyć. Dodanie funkcji, takich jak szyfrowanie, zwiększy zużycie energii i skróci żywotność baterii”- mówi Jack.
Zwróć uwagę, że Stany Zjednoczone potraktowały opublikowane dokumenty niezwykle poważnie. Tak więc wczoraj amerykańska Agencja ds. Żywności i Leków ogłosiła, że będzie wymagać dalszych technik antyhackerskich dla elektronicznych urządzeń medycznych, ponieważ w przeciwnym razie urządzenie nie otrzyma licencji na sprzedaż. Ponadto Urząd wyraził nadzieję, że w strukturze US CERT pojawi się kanał ostrzegający o „hakach medycznych”.