Berta Sándor
Akár egy régi telefonnal is támadhatók a pacemakerek
Némelyik szívritmus-szabályozóban bőven van kritikus hiba, ami már önmagában is veszélyt jelent.
Tobias Zillner osztrák biztonsági szakértő 2016-ban utazott ki az Amerikai Egyesült Államokba, hogy az akkor alapított MedSec nevű cég számára átvizsgálja a különböző egészségügyi termékeket sebezhetőségek után kutatva. A férfi fél éven át tanulmányozta a St. Jude Medical pacemakereit és sajnos sok hiányosságot talált az eszközökben. A megkötött titoktartási megállapodása nemrég lejárt le, így most már szabadon beszélhetett a talált hibákról.
A Zillner által felfedezett biztonsági sebezhetőségek 465 000 olyan készüléket érintettek, amelyeket a St. Jude Medical 2017. augusztus 28. előtt gyártott. "Viszonylag gyorsan kiderítettük, hogy miként lehet a termékek akkumulátorait olyan gyorsan lemeríteni, hogy a pacemaker három órán belül teljesen használhatatlanná vált. A második hiányosság a betegek otthoni felügyeletében szerepet játszó monitorokat érintette. Azok a rendszer legolcsóbb és leggyengébb tagjai voltak, s sikeresen át tudtuk venni felettük az ellenőrzést" - ecsetelte a szakértő.
Ami még megdöbbentő volt, hogy a szívritmus-szabályozókat a boltokban kapható hardverekkel sikerült átprogramozni és megzavarni. Így műszaki szempontból nagyon egyszerű volt a termékek feltörése és teljes ellenőrzést lehetett szerezni az ökorendszer felett. Az érintett eszközt akár egy régi Nokia 3310-es telefonnal is meg lehetett támadni.
A sikeres akció hatásaival ugyanakkor a szakember nem számolt. Biztos volt abban, hogy az információkat továbbítják a gyártónak, hogy az kijavíthassa a hibákat. De a MedSec úgy döntött, hogy először a Muddy Waters befektetési vállalattal dolgozik együtt, az utóbbi pedig felhasználta az információkat a tőzsdén a St. Jude Medical ellen. Az eredmény: a társaság egyetlen nap alatt kétmilliárd dollárt veszített el és beperelte a MedSecet. Az utóbbi és a Muddy Waters azzal védekezett, hogy a gyártóra gyakorolt azonnali gazdasági nyomás felgyorsíthatta volna a biztonsági frissítések kiadását. Az eljárást bírálók viszont úgy vélték, hogy mindig a betegek jólétének a biztosítása az elsődleges.
"Előzetesen nem tudtam, hogy a MedSec mit fog tenni az eredményeimmel. Az, hogy az etikailag korrekt volt-e, nagyon individuális dolog és attól is függ, hogy a múltban egy gyártó magatartása indokolt-e egy ilyen jellegű gyakorlatot. Sok vállalkozás tisztában van azzal, hogy vaj van a füle mögött és mégsem számíthatnak következményekre. Mindenesetre azt az időt, amit az ilyen ügyekben a gyártók a cáfolatokkal eltöltenek, felhasználhatnák a frissítések elkészítésére és kiadására is" - jegyezte meg Zillner.
Az egészségügyben komoly problémát jelent, hogy a cégeknek ugyan nagyon összetett engedélyezési eljárás keretében kell megvizsgáltatniuk az eszközeiket és tanulmányozzák azok robusztusságát is, de ezáltal nehéz az új dolgokra és biztonsági sebezhetőségekre reagálni. Ennek oka a kutató szerint abban rejlik, hogy a digitális világ más tempóban halad és meg kell teremteni a problémákra való gyors reagálás lehetőségét. A St. Jude Medicalt 2017 januárjában 25 milliárd dollárért megvásárolta az Abbott Laboratories, az Amerikai Egyesült Államok Élelmiszer- és Gyógyszerellenőrző Hatósága (FDA) pedig felszólította az érintett betegeket, hogy keressék fel az orvosukat egy "firmware-frissítésre". A utóbbi 3 percig tartott és jobb megoldás volt, mint a készülék kicserélése.
"A szívritmus-szabályozóval való élet még mindig javulást jelent a korábbi helyzethez képest és a megoldásnál az előnyök vannak többségben. De különösen a közszereplők számára az ilyen módszerek veszélyesek és nem lehet megállapítani, hogy ha valaki meghal, akkor az azért volt-e, mert manipulálták a pacemakerét vagy sem" - hangsúlyozta végül a szakember. Március végén derült ki, hogy defibrillátorok százezreit támadhatják hackerek és elsősorban a beültetett eszközök veszélyeztetettek. A kiadott riasztás a Medtronic nevű vállalat megoldásait érintő tavaly januári biztonsági hiányosságokat és az azokkal kapcsolatos kockázatokat írta le. Az érintett termékeket több mint 750 000 betegnél használják és a hibák a gyártó több mint tucatnyi modelljénél voltak jelen. A sebezhetőségeket a Clever Secuity biztonsági szakértői fedezték fel.
Tobias Zillner osztrák biztonsági szakértő 2016-ban utazott ki az Amerikai Egyesült Államokba, hogy az akkor alapított MedSec nevű cég számára átvizsgálja a különböző egészségügyi termékeket sebezhetőségek után kutatva. A férfi fél éven át tanulmányozta a St. Jude Medical pacemakereit és sajnos sok hiányosságot talált az eszközökben. A megkötött titoktartási megállapodása nemrég lejárt le, így most már szabadon beszélhetett a talált hibákról.
A Zillner által felfedezett biztonsági sebezhetőségek 465 000 olyan készüléket érintettek, amelyeket a St. Jude Medical 2017. augusztus 28. előtt gyártott. "Viszonylag gyorsan kiderítettük, hogy miként lehet a termékek akkumulátorait olyan gyorsan lemeríteni, hogy a pacemaker három órán belül teljesen használhatatlanná vált. A második hiányosság a betegek otthoni felügyeletében szerepet játszó monitorokat érintette. Azok a rendszer legolcsóbb és leggyengébb tagjai voltak, s sikeresen át tudtuk venni felettük az ellenőrzést" - ecsetelte a szakértő.
Ami még megdöbbentő volt, hogy a szívritmus-szabályozókat a boltokban kapható hardverekkel sikerült átprogramozni és megzavarni. Így műszaki szempontból nagyon egyszerű volt a termékek feltörése és teljes ellenőrzést lehetett szerezni az ökorendszer felett. Az érintett eszközt akár egy régi Nokia 3310-es telefonnal is meg lehetett támadni.
A sikeres akció hatásaival ugyanakkor a szakember nem számolt. Biztos volt abban, hogy az információkat továbbítják a gyártónak, hogy az kijavíthassa a hibákat. De a MedSec úgy döntött, hogy először a Muddy Waters befektetési vállalattal dolgozik együtt, az utóbbi pedig felhasználta az információkat a tőzsdén a St. Jude Medical ellen. Az eredmény: a társaság egyetlen nap alatt kétmilliárd dollárt veszített el és beperelte a MedSecet. Az utóbbi és a Muddy Waters azzal védekezett, hogy a gyártóra gyakorolt azonnali gazdasági nyomás felgyorsíthatta volna a biztonsági frissítések kiadását. Az eljárást bírálók viszont úgy vélték, hogy mindig a betegek jólétének a biztosítása az elsődleges.
"Előzetesen nem tudtam, hogy a MedSec mit fog tenni az eredményeimmel. Az, hogy az etikailag korrekt volt-e, nagyon individuális dolog és attól is függ, hogy a múltban egy gyártó magatartása indokolt-e egy ilyen jellegű gyakorlatot. Sok vállalkozás tisztában van azzal, hogy vaj van a füle mögött és mégsem számíthatnak következményekre. Mindenesetre azt az időt, amit az ilyen ügyekben a gyártók a cáfolatokkal eltöltenek, felhasználhatnák a frissítések elkészítésére és kiadására is" - jegyezte meg Zillner.
Az egészségügyben komoly problémát jelent, hogy a cégeknek ugyan nagyon összetett engedélyezési eljárás keretében kell megvizsgáltatniuk az eszközeiket és tanulmányozzák azok robusztusságát is, de ezáltal nehéz az új dolgokra és biztonsági sebezhetőségekre reagálni. Ennek oka a kutató szerint abban rejlik, hogy a digitális világ más tempóban halad és meg kell teremteni a problémákra való gyors reagálás lehetőségét. A St. Jude Medicalt 2017 januárjában 25 milliárd dollárért megvásárolta az Abbott Laboratories, az Amerikai Egyesült Államok Élelmiszer- és Gyógyszerellenőrző Hatósága (FDA) pedig felszólította az érintett betegeket, hogy keressék fel az orvosukat egy "firmware-frissítésre". A utóbbi 3 percig tartott és jobb megoldás volt, mint a készülék kicserélése.
"A szívritmus-szabályozóval való élet még mindig javulást jelent a korábbi helyzethez képest és a megoldásnál az előnyök vannak többségben. De különösen a közszereplők számára az ilyen módszerek veszélyesek és nem lehet megállapítani, hogy ha valaki meghal, akkor az azért volt-e, mert manipulálták a pacemakerét vagy sem" - hangsúlyozta végül a szakember. Március végén derült ki, hogy defibrillátorok százezreit támadhatják hackerek és elsősorban a beültetett eszközök veszélyeztetettek. A kiadott riasztás a Medtronic nevű vállalat megoldásait érintő tavaly januári biztonsági hiányosságokat és az azokkal kapcsolatos kockázatokat írta le. Az érintett termékeket több mint 750 000 betegnél használják és a hibák a gyártó több mint tucatnyi modelljénél voltak jelen. A sebezhetőségeket a Clever Secuity biztonsági szakértői fedezték fel.