Инсулиновые насосы и кардиостимуляторы подвержены взлому. Правда, пока не было ни одной такой атаки в реальной жизни. Только в фантастических и детективных романах. Барьером для таких атак являются технические особенности устройств и необходимость иметь глубокие познания в их конструкции и принципе работы. Это настолько сложно, что, кроме узких специалистов, практически никто не может повлиять на работу инсулинового насоса или кардиостимулятора. Ну, а если кто-то напряжется и выучит все это? Что тогда?

Тем не менее если даже потенциально проблема безопасности существует, то ее необходимо правильно адресовать. К сожалению, Джек Барнаби, один из лидеров в области имплантирования медицинских устройств, умер в прошлом месяце, всего за неделю до запланированного брифинга на тему потенциальной безопасности медицинской техники в рамках конференции Black Hat в Лас-Вегасе. Тем не менее Джек успел выпустить в 2012 году кучу исследовательских работ на эту тему. Их результаты оказались довольно мрачными, если не сказать хуже.

 

 

На конференции в Брекпоинте (Австралия) в прошлом году Джек продемонстрировал, что он может послать сигнал от своего ноутбука на кардиостимулятор и управлять устройством для нанесения смертельного удара по пациенту изнутри. Атака стала возможной из-за ошибки программирования, при помощи которой исследователь смог отправить кардиостимулятору специальную команду, используя его модель и серийный номер. Зная модель и индивидуальный номер, можно вызвать разряд в 830 вольт – потенциально смертельный импульс для тела, в котором находится это устройство. Кроме того, Джек показал, что кардиостимуляторы в состоянии передавать вредоносный код другим устройствам того же производителя. К счастью, такой сценарий будет радостно принят к действию в Голливуде, а для реальной жизни преступникам или террористам более доступны старые добрые бомбы, пушки и прочие стрелялки и яды.

Это было не первое такое выступление Джека. Годом ранее на конференции хакеров в Майами он успешно продемонстрировал атаку на инсулиновую помпу, заставляя ее доставить смертельную дозу инсулина на расстоянии чуть больше 90 метров.

Джек модифицировал приемную антенну на одном из таких беспроводных насосов и возился с программным обеспечением, контролировавшим устройство. Ранее, в 2011 году, на конференции Black Hat Джером Рэдклифф продемонстрировал, как можно манипулировать инсулиновым насосом, если атакующий узнает уникальный номер устройства. Исследования Джека перевели эту тему на новый уровень. Он мог бы скомпрометировать все уязвимые устройства, даже не зная их уникальный идентификационный номер.

Джек был всего лишь одним из многих исследователей, а инсулиновые насосы и кардиостимуляторы – это только верхушка айсберга. Помимо них существует огромное количество потенциально уязвимых медицинских приборов, как имплантируемых, так и внешних. Они пока что не изучены так хорошо, но мы будем пристально следить, если что-то из этого попадет на исследования.

Одна из основных проблем с обеспечением безопасности медицинских приборов заключается в том, что они радикально отличаются от привычных нам компьютеров. Инсулиновая помпа взаимодействует с врачом, чтобы определить необходимую дозу лекарства. То же самое и кардиостимуляторы – им необходима обратная связь для координации импульсов.

Если эти устройства взаимодействуют с внешними источниками информации, то обычно на беспроводной основе, что вызывает некоторые проблемы с безопасностью, что Джек и другие исследователи и продемонстрировали. Следующим шагом, как видится, нужно убедиться, что сигналы передаются через зашифрованные каналы, и установить какую-то аутентификацию, создать искусственные ограничения на доступ к устройству. Но здесь немало сложностей, вызванных конструктивными ограничениями. Установление пароля может помешать врачу из другой страны, если потребуются его вмешательство и помощь во время отпуска пациента. Шифрование быстро разряжает батарею небольшого устройства. Это все новые вопросы, ответы на которые еще предстоит найти.

Если вы страдаете от диабета, то можете просто вернуться к старомодному способу контроля уровня сахара в крови. Либо найти производителя техники и доктора, которые будут в курсе подобных исследований.

Это может показаться безрассудным – опубликовывать конфиденциальную информацию о состоянии здоровья, но Джек и подобные ему исследователи могут подтолкнуть производителей медицинского оборудования на создание более безопасных приборов. Это врачи и инженеры, в конце концов. И они учатся на ошибках. Когда исследователь показывает им их ошибки, то высока вероятность, что она больше не повторится.

Ну, а вообще, ситуация на сегодня такова, что встроенные медицинские устройства уже спасли миллионы жизней, но до сих пор нет ни одного человека, который бы умер в результате хакерской атаки на такой прибор.

Источник: http://blog.kaspersky.ru/vzlamyvaya-lyudej/