Die Tatsache, dass sich Hersteller verschiedener Arten von Geräten auf Design und Benutzerfreundlichkeit konzentrieren und Fragen der Informationssicherheit über Bord lassen, wurde mehrfach auf Habré geschrieben. Dies gilt für Unternehmen, die Smartphones und IoT-Geräte herstellen, und es stellte sich heraus, dass Entwickler von medizinischen Geräten auch nicht allzu besorgt sind, ihre Geräte vor Störungen von außen zu schützen.
Und wir sprechen über so wichtige Geräte wie Herzschrittmacher und Defibrillatoren (nicht die, die in der Serie über Ärzte und andere gezeigt werden). Hierbei handelt es sich um Miniaturgeräte, die in den menschlichen Körper implantiert werden, sodass das Herz bei Problemen ein elektrisches Signal empfängt, mit dem Sie die normale Funktionsweise des Herzmuskels "einschalten" können.
Wenn einem solchen Gerät etwas passiert, wird sein Besitzer unvermeidliche Probleme haben, sogar den Tod. Am schlimmsten ist jedoch, dass Defibrillatoren immer „intelligenter“ werden. Diejenigen von Medtronic waren auch anfällig für externe Störungen.
Zur Wartung und Überprüfung des Betriebs von Geräten werden spezielle Geräte verwendet. In Krankenhäusern wird zu Hause ein Modell namens CareLink Programmer verwendet - MyCareLink Monitor.
Und alles wäre in Ordnung, aber wie Forscher von Clever Security gezeigt haben, ist das von diesen Geräten verwendete Kommunikationsprotokoll nicht sicher. Bei der Datenübertragung wird keine Verschlüsselung verwendet - überhaupt keine, Informationen werden tatsächlich im Klartext übertragen. Darüber hinaus gibt es keinen Schutz gegen externe Verbindungen, die von Angreifern verwendet werden können.
Auf diese Weise kann ein Cyberkrimineller eine Verbindung zum Gadget herstellen und den Betriebsmodus ändern oder mithilfe einer benutzerdefinierten Software einen erneuten Flash-Vorgang durchführen.
Experten bewerteten die Schwere des Problems auf einer 10-Punkte-Skala mit 9,3 Punkten. Die Situation ist wirklich sehr schwierig, da es unmöglich ist, etwas in Richtung einer Stärkung der Informationssicherheit des Geräts im Online-Modus zu ändern. Und die Angreifer können das Problem durchaus für ihre eigenen Zwecke nutzen.
Bisher haben die Forscher nur einen Proof-of-Concept-Angriff durchgeführt, um die in der Studie genannten Fähigkeiten zu demonstrieren. Dies erfordert zwar physischen Zugriff auf das Steuergerät - MyCareLink oder CareLink. Wenn Zugriff besteht, besteht die unschuldigste Aktion möglicherweise darin, auf dem Gerät gespeicherte Benutzerdaten abzurufen. Falls gewünscht, können Sie das Gerät wie oben erwähnt erneut flashen.
Es gibt jedoch noch eine andere Möglichkeit: Angreifer können, wenn sie über die entsprechende Erfahrung verfügen, ein benutzerdefiniertes Gerät erstellen, das im Bereich des Defibrillators eine bestimmte Betriebsart für jedes von Medtronic hergestellte Gerät festlegen kann.
Natürlich haben Cybersicherheitsexperten Informationen über das Problem öffentlich veröffentlicht, nachdem sie den Entwicklern von Medizinprodukten alles Notwendige geschickt hatten. Sie haben ihre Systeme gestärkt, indem sie den Zugang zu MyCareLink und CareLink erschwert haben. Die Verbindung blieb jedoch ungeschützt - es gibt keine Verschlüsselung und Authentifizierung.
Auf beiden Steuergeräten wird übrigens eine benutzerdefinierte Linux-Version ausgeführt. Kennwörter, die den Root-Zugriff auf diese Gadgets ermöglichen, werden als MD5-Hash gespeichert, der problemlos entschlüsselt werden kann. Laut den Forschern kann das 8-stellige Passwort, das den Zugriff auf dieses System ermöglicht, sogar mit einem normalen Laptop und der Basis von Passwörtern / Anmeldungen des RockYou-Dienstes, die vor 10 Jahren geteilt wurden, geknackt werden.
Damit ein Angriff von Angreifern erfolgreich ist, muss sich der Defibrillator im Zustand des "Radios" befinden. Geräte wechseln in diesen Modus zu dem Zeitpunkt, an dem Ärzte spezielle Servicearbeiten ausführen, sowie während eines Defibrillatortests mit Carelink.
Probleme mit medizinischen Geräten enden hier nicht, da nur das Problem angezeigt wird, das einem bestimmten Gerätetyp eines Herstellers innewohnt. Es gibt jedoch viele medizinische „intelligente“ Implantate, und niemand kann garantieren, dass andere Geräte sicherer sind als Systeme von Medtronic.