Cyberprzestępcy nikogo nie oszczędzają. Produkująca rozruszniki serca i pompy insulinowe forma Medtronic przyznała, że ma w swoim oprogramowaniu poważną lukę. Teraz ostrzega. Podatnych na atak może być nawet 750 tys. urządzeń na całym świecie, także w Polsce.
Amerykański Departament Bezpieczeństwa wydał ostrzeżenie. Przypisał bowiem lukom wskaźnik CVSS – 9.3 w 10-stopniowej skali (im wyższy, tym groźniejsza podatność). Medtronic ostrzega przed dwiema podatnościami w swoim protokole komunikacji Connexus. Jedna pozwala na odczytanie danych z atakowanego urządzenia, druga natomiast na modyfikację niezabezpieczonej transmisji pomiędzy dwoma urządzeniami – np. monitorem i rozrusznikiem.
Luki te wykryto w sumie w 16 modelach rozruszników serca, monitorów i przenośnych komputerów, które pozwalają na programowanie rozruszników w klinikach. Są to modele z różnych lat, niektóre nadal dostępne na rynku. Ponadto wiele z nich jest używanych przez pacjentów także w Polsce.
Przez te luki możliwa jest zmiana parametrów oprogramowania rozrusznika serca, co może zaszkodzić pacjentowi, któremu urządzenie zostało wszczepione. Wysyłają one bowiem elektryczne impulsy, które regulują pracę serca. W skrajnej sytuacji zmiana kalibracji rozrusznika może doprowadzić nawet do śmierci użytkownika.
Przypadek ten nie jest odosobniony. Pod koniec ubiegłego roku opublikowano raport prezentujący stan oprogramowania rozruszników serca i pomp insulinowych. Na stronie URPL znajduje się całą seria ostrzeżeń dotyczących rozruszników różnych producentów. Transmisja danych odbywa się w wielu przypadkach bez żadnych zabezpieczeń, a nawet rozsądnej autoryzacji. Sytuacja ta dotyczy również branży przemysłowej i budowlanej.
Jednym ze sposobów zabezpieczenia się przed atakiem jest wyłączenie komunikacji bezprzewodowej ze swoim rozrusznikiem. Zrobił tak np. Dick Cheney, wiceprezydent USA, któremu urządzenie wszczepiono w 2007 roku. Polityk zapytał wcześniej specjalistów, czy istnieje możliwość włamania się do rozrusznika. Podobno odpowiedź brzmiała: „jak najbardziej, panie wiceprezydencie”.
Wada rozruszników Medtronic nie jest oczywista i bez specjalistycznej wiedzy nikt jej nie wykorzysta. Jednak trudno powiedzieć, czy posiadają ją osoby spoza firmy. Nie zmienia to faktu, ze istnieje zagrożenie życia wielu osób, zwłaszcza że tego typu urządzenia często są wystawiane w sklepach internetowych i na aukcjach.
Medtronic zaleca, aby pacjenci korzystali z monitorów pracy serca pochodzących wyłącznie z pewnego źródła – otrzymanych od lekarza po operacji lub kupionych bezpośrednio od firmy. Zaleca się również, aby osoby z wszczepionymi rozrusznikami zaleca się, aby dobrze pilnowały swoich monitorów i dbały o ich aktualizację. Nie zaleca natomiast wyłączania bezprzewodowej komunikacji, ponieważ pozwala ona zdalnie monitorować pracę serca. Nie ma też potrzeby wymieniania rozruszników.
Na liście urządzeń podatnych na ataki znalazły się również programatory rozruszników, m.in. przenośny Medtronic CareLink 2090, używany do modyfikowania parametrów pracy. Działa z on z odległości maksymalnie 6 metrów.
Źródło: msn.com
