Drogi pacjencie, wpadnij do szpitala na update!

Ostatnio w mediach coraz więcej uwagi poświęca się “inteligentnym” implantom medycznym. Dla wygody pacjentów, wiele tego typu urządzeń jest wyposażonych w interfejsy bezprzewodowej komunikacji. Problem w tym, że interfejsy nie służą jedynie do “zgrywania” danych z urządzenia. Czasem za ich pomocą można implant przeprogramować. A to może oznaczać poważne kłopoty dla człowieka, któremu implant pomaga pozostać przy życiu.

Niebezpiecznik.pl już w roku 2011 pisał o możliwości “hakowania ludzi” opisując ataki na urządzenia (implanty) medyczne. Wtedy był to nowy temat, ale teraz żyjemy już w czasach “IoT”, gdzie wszystko jest podpinane do internetu. Niedawno w USA sąd rozstrzygał pozew związany z przetwarzaniem danych przez inteligentny wibrator (sic!). Wydaje się, że w takich czasach bezpieczeństwo rozruszników też powinno wskoczyć na wyższy poziom. Ale niestety tak nie jest…
Dziś chcieliśmy bardziej szczegółowo opisać rozruszniki serca. Mogą one łączyć się z programatorami i domowymi monitorami, a jak się okazuje, te urządzenia mają tysiące błędów w oprogramowaniu i różne luki konstrukcyjne. Co gorsza, producenci niespecjalnie się tym przejmują…
Niepokojący raport.
Dr. Jonathan Butts oraz Billy Rios z firmy Whitescope opublikowali jakiś czas temu dość obszerny raport na temat rozruszników serca. Na wstępie trzeba zaznaczyć, że badacze mogli uważniej zbadać problem dzięki temu, że w roku 2016 przyjęto w USA zmiany dotyczące wyjątków w DMCA (ustawie, która zawiera m.in. zapisy zabraniające łamania rozwiązań DRM). Mówiąc prościej badacze mogli legalnie obejść pewne zabezpieczenia, aby zobaczyć (i ujawnić) jak rozruszniki działają. W ramach swoich badań Butts i Rios nabyli rozruszniki, programatory do rozruszników oraz sprzęt do monitorowania rozruszników w domu. Szczególnie ciekawym obiektem były programatory — urządzenia służące do programowania rozrusznika u lekarza. Zwykle mają one formę urządzenia z ekranem i klawiaturą, które przypomina trochę starego laptopa, a trochę zabawkę dla dzieci. Oto przykładowy programator, którego fotografię wrzucamy w celach wizualizacji programatora — nie sugerujemy, że to jego dotyczą błędy.

Problemy z programatorami.
W celu zakupienia urządzeń badacze nie musieli udawać się do specjalistycznych sprzedawców. Jak wiadomo, na eBay da się dostać wszystko …
Po zbadaniu urządzeń ustalono m.in., że w 4 programatorach od 4 różnych dostawców było aż 8 tysięcy znanych luk wynikających ze stosowania przestarzałych bibliotek w oprogramowaniu. Większość programatorów miało szyfrowany dysk, ale nie wszystkie. Pracowały one pod kontrolą różnych systemów, najczęściej starych jak np. Windows XP. Jedno z urządzeń miało nawet OS/2!
Badane urządzenia włączały oprogramowanie programujące nie wymagając żadnego loginu i hasła. Co więcej: „dowolny programator może programować dowolny rozrusznik danego dostawcy”
Komunikacja rozrusznika z programatorem odbywa się przez “aplikację” uruchomioną na programatorze. Aplikacja zawiera komendy wspierane przez konkretny model rozrusznika (czyli może być kilka takich aplikacji na jednym programatorze). Aplikacja może zmieniać nie tylko ustawienia terapii, ale nawet firmware rozrusznika, a ten firmware nie jest w żaden sposób kryptograficznie podpisany. Teoretycznie możliwe jest wrzucenie na rozrusznik “złośliwego” firmware’u. Czyli takiego który nie zareaguje wtedy kiedy powinien albo zareaguje wtedy kiedy nie powinien.

Monitory też są dziurawe.
W raporcie badaczy jest wiele innych niepokojących ustaleń. Domowe monitory do rozruszników mają porty USB co otwiera drogę do wrzucenia złośliwego oprogramowania na monitor. Ale oczywiście ryzyko tego, że posiadacz implantu będzie sam sobie infekował monitor jest znikome. Niestety, te monitory pobierają aktualizację z internetu i niekoniecznie sprawdzają źródło systemu dystrybuującego firmware. Teoretycznie możliwy jest więc atak man-in-the-middle, w ramach którego atakujący dostarcza spreparowany firmware na monitor.
Producenci urządzeń nie stosują technik, które utrudniałyby reverse engineering firmware’u. System plików nie jest szyfrowany, a niektóre urządzenia mają wymienialne nośniki. Proces rozwijania produktów jest przyśpieszany poprzez korzystanie z dostępnych na rynku układów, a oprogramowanie działa w oparciu o biblioteki od firm trzecich. To wszystko sprawia, że przygotowanie ataku jest łatwiejsze.

Problem jak widać, dotyczy nie tylko rozruszników serca, ale całego ich ekosystememu. Butts i Rios nie podali nazw firm, których produkty są podatne. Badacze zgłosili jedynie luki amerykańskiemu Departamentowi Zdrowia. Zależało im na tym, aby utrzymać dyskusję o urządzeniach medycznych na poziomie merytorycznym. Łatwo bowiem zeskoczyć na poziom emocjonalno-spiskowy, a to nie przyniesie nic dobrego.
To się naprawi… gdy coś się stanie.
W maju 2017 roku pojawił się także raport Ponemon Institute przygotowany wspólnie z firmą Synopsys. W ramach tego badania zrobiono sondaż wśród producentów urządzeń oraz zakładów opieki zdrowotnej. Obie grupy badanach przyznały, że pacjenci i lekarze są narażeni na ataki. Obie grupy zgadzają się również, że używanie urządzeń przenośnych znacząco zwiększa ryzyko.
Czyli będziemy się przejmować dopiero gdy coś się wydarzy! Jak widać, nie tylko Polak mądry po szkodzie. W raporcie znajduje się też przerażający wykres pokazujący odpowiedź na pytanie “Czy Twoja organizacja robi coś, aby zapobiec atakom na urządzenia medyczne?”. Słupki niebieskie oznaczają producentów, a czerwone służbę zdrowia.

Z sondażu wynika również, że 49% producentów nie przejmuje się uwagami US Food and Drug Administration w zakresie tego jak zabezpieczać urządzenia. Podobnie postępuje 56% zakładów opieki zdrowotnej.
Drogi pacjencie, wpadnij do szpitala na update!
Firma Abott, producent rozruszników serca, nie tak dawno przesłała do 500 000 swoich pacjentów list. Proszono, aby w najbliższym czasie pacjent stawił się w szpitalu w celu dokonania “operacji aktualizacji oprogramowania” w wszczepionym rozruszniku.
Aktualizacja musiała być dokonywana pod okiem lekarzy, bo jak oszacowała firma, ok. 1% aktualizacji zakończy się niepowodzeniem. A to oznacza ryzyko śmierci dla ok. 5000 pacjentów. W trakcie niepowodzenia lepiej więc być blisko stołu operacyjnego…
Mam rozrusznik serca. Co robić? Jak żyć?
Trzeba realizować zalecenia lekarza i żyć zdrowo. Najlepiej się nie przejmować. To podobno szkodzi. Ryzyko wystąpienia ataku na medyczny implant nie wydaje się obecnie duże. Zabić człowieka można w końcu na wiele zdecydowanie prostszych sposobów.
Niestety, właściciele rozruszników serca nie mogą ich po prostu nie stosować więc często rozsądniejsze będzie noszenie “dziurawego” rozrusznika niż niestosowanie go wcale. To samo dotyczy wielu innych urządzeń. Najważniejszą pracę w tym zakresie mają do wykonania specjaliści od bezpieczeństwa, producenci oraz – być może – politycy. To nie jest problem jednego czy kilku urządzeń. Problemem są przyjęte na rynku standardy, a tym standardem jest ignorowanie pewnych problemów.
Media póki co tylko “sensacyjnie” opisują tego typu badania i wnioski z nich płynące. To daje lajki dziś, ale jutro wszyscy o problemie zapomną. Tymczasem potrzeba długofalowych zmian, które wprowadzą znaczące usprawnienia w konstrukcji całych ekosystemów urządzeń medycznych.

źródło: niebezpiecznik.pl

Dodaj komentarz