Разработчики: | Medtronic (Медтроник) |
Отрасли: | Фармацевтика, медицина, здравоохранение |
Содержание |
2018
Кардиостимуляторы Medtronic можно взломать удаленно из-за отсутствия проверки цифровых подписей
22 ноября 2018 года появилась информация о том, что дуэт хакеров успешно взломал искусственный водитель сердечного ритма от компании Medtronic. Несложная уязвимость позволяет дистанционно остановить сердце владельца кардиостимулятора, в то время как компания-производитель не спешит реагировать на угрозу и устранять недочёты, пишет Ars Technica.
Исследователи систем безопасности Билли Райос и Джонатан Батс раскрыли подробности об уязвимости на своём выступлении на конференции Black Hat, посвящённой информационной безопасности. Хакеры уведомили Medtronic о своей находке ещё в январе 2017 года, но компания так и не предприняла должных усилий по ликвидации недочёта. Тогда хакеры решили привлечь внимание общественности к проблеме взлома кардиостимуляторов.
Исследователи продемонстрировали публике процесс взлома программатора CareLink 2090, который используется врачами для диагностики, настройки и обновления программного обеспечения электрокардиостимуляторов. Программатор, который фактически является специальной версией ноутбука, работает под управлением устаревшей операционной системы Windows XP с набором программного и аппаратного обеспечения самой Medtronic. Как пояснили эксперты, атаковать систему безопасности успешно удалось по той причине, что компания не внедрила цифровые подписи в своё программное обеспечение — программатор мог выполнять произвольный код, никак не проверяя авторство программы.
Более того, Билли Райос и Джонатан Батс обнаружили, что обновления программного обеспечения, которые загружались с серверов Medtronic, доставлялись не по зашифрованному соединению HTTPS, а по HTTP. Каналы HTTP легко подвергаются перенаправлению, когда атакующий внедряется по пути следования соединения, например, на уровне роутера в локальной сети. Обновления по сети получали два программатора: CareLink 2090 и CareLink Encore 29901, всего таких устройств по всему миру, включая страны СНГ, насчитывается свыше 34 тыс. штук.
Компания Medtronic отреагировала на публикацию метода взлома отключением серверов с обновлениями и рекомендацией обновлять ПО программаторов только в присутствии специалиста компании с использованием подключения по разъёму USB. Исследователи настаивают, что этого недостаточно, и Medtronic должна, как минимум, ввести практику проверки цифровых подписей программного обеспечения.[1]
Medtronic отключила обновление через интернет из-за риска кибервзлома
В октябре 2018 года Medtronic отключила обновление программного обеспечения кардиостимуляторов через интернет из-за риска кибервзлома. Об этом компания уведомила в письме, разосланном врачам и медицинским учреждениям и озаглавленном как «Срочное исправление медицинского оборудования».
Возможность установки новой прошивки заблокирована в 34 тыс. программаторов CareLink и CareLink Encore под модельными номерами 2090 и 29901, которые используются докторами по всему миру для обновления программных настроек работы кардиостимулятора.
Medtronic приняла такое решение из-за обнаруженной уязвимости, которая «может нанести вред пациенту в зависимости от масштаба и целей вредоносных кибератак, а также первичного заболевания пациента», передает информагентство Reuters, ссылаясь на сообщение американского производителя.
Клиники и больницы могут и дальше пользоваться программаторами CareLink, однако им категорически не рекомендуется пытаться обновлять ПО через интернет — только при подключении к компьютеру через USB-разъем. А пациентов производитель попросил не предпринимать никаких действий для устранения уязвимости. TAdviser Security 100: Крупнейшие ИБ-компании в России
При этом в Medtronic уверяют, что неизвестно ни одного случая, когда этот недостаток в работе медоборудования использовался бы хакерами для противоправных действий. К 12 октября 2018 года компания разрабатывает обновление, которое должно устранить все опасные ошибки в устройствах. Перед выходом апдейта его должны одобрить регулирующие органы.
Управление по санитарному надзору за качеством продуктов питания и лекарственных препаратов США (FDA) изучило проблему и одобрило решение производителя отключить возможность обновления устройств через интернет.
Суть проблемы заключается в том, что кардиостимуляторы не используют зашифрованное соединение при обновлении прошивки, что позволяет злоумышленникам удаленно загрузить на имплантируемое устройство вредоносный код. Это несет реальную угрозу здоровью и жизни пациентов. В качестве доказательства исследователи в области кибербезопасности Билли Риос (Billy Rios) и Джонатан Батс (Jonathan Butts) в августе 2018 года на хакерской конференции Black Hat продемонстрировали публике взлом устройства CareLink 2090.
В ходе той демонстрации специалисты загрузили на программатор вредоносную прошивку, и после этого зараженное устройство получило возможность влиять на работу кардиостимулятора.
Тогда эксперты отметили, что уведомили Medtronic о существовании уязвимости в 2017 году, однако компания отреагировала на сообщение довольного вяло. Теперь же Medtronic решила предпринять меры.
Как отмечает Reuters в публикации от 11 октября 2018 года, в последние годы производители медицинского оборудования активизировали свои усилия по снижению количества уязвимостей в своих устройствах после многочисленных предупреждений специалистов по безопасности, которые указали компаниям на существование опасных недостатков в работе техники.
Хотя информация о том, что хакеры использовали эти уязвимости для кибератак, в прессе не проходила, исследователи предупреждают, что индустрия здравоохранения сильно отстает от компьютерной отрасли в части киберзащиты.
Как исследователи в области безопасности, мы считаем, что преимущества имплантируемых медицинских устройств перевешивают риски. Однако, когда производители ведут себя так, как это делал Medtronic, им трудно доверять, — заявлял Билл Риос на конференции Black Hat 2018. |
Тогда в Medtronic напомнили, что инструкция к CareLink 2090 предписывает использовать устройство в безопасной среде и подключать его только к защищенным сетям.[2]
Хакеры могут отключать кардиостимуляторы Medtronic благодаря уязвимости
13 августа 2018 года стало известно, что хакеры могут отключать кардиостимуляторы Medtronic благодаря имеющимся уязвимостям в системе безопасности. Программатор CareLink 2090 позволяет загружать вредоносное ПО из внешнего источника, с помощью которого хакеры могут полностью контролировать работу устройства, в том числе и отключать его.
Уязвимости были обнаружены программистами фирм Whitescope и Secure Solutions, которые проанализировали платформу доставки обновлений программного обеспечения Medtronic. Выявленные проблемы уже привлекли внимание FDA и Департамента внутренней безопасности. Специалисты утверждают, что предоставили все данные Medtronic, однако компания в течение десяти месяцев провела собственное исследование и отклонила претензии. Представители Medtronic заявляют, что при оценке уязвимостей не выявлено новых потенциальных проблем безопасности, а меры контроля риска и остаточный риск являются приемлемыми.
Выявившие проблемы программисты продолжают свой анализ и планируют публично продемонстрировать на животной модели, как уязвимости в системе обновлений кардиостимулятора Medtronic могут стать основой для хакерской атаки, на конференции по безопасности Black Hat.
Одних уведомлений об уязвимостях в системе безопасности недостаточно, считают программисты, поскольку злоупотребление кардиостимуляторами может иметь серьезные последствия для пациента. Они отмечают, что добавление цифровой подписи может отчасти снизить рис. Стоит заметить, что конкуренты Medtronic уже используют подобные меры безопасности в своих устройствах.
Хотя Medtronic не объявляла, что планирует устранять выявленные уязвимости, представители компании заявляют, что уже предприняли некоторые шаги в этом направлении.[3]