Можно ли убить диабетиков с помпами на расстоянии полумили?

Black Hat: смертельный взлом и беспроводная атака на инсулиновые помпы с целью убийства людей Как нечто прямо из научной фантастики, злоумышленник с мощной антенной может находиться на расстоянии до полумили от жертвы, но запускать беспроводной взлом для удаленного управления инсулиновой помпой и потенциально убить жертву.

После проведения своего исследования Рэдклифф сказал Associated Press: «Моей первоначальной реакцией было то, что это было действительно круто с технической точки зрения. Второй реакцией был, возможно, явный ужас, когда я знал, что вокруг устройств, которые являются очень активными, нет никакой безопасности. часть сохранения моей жизни».

Кажется сомнительным, что нет никакой, нада, пшик безопасности любого типа.

Некоторые насосы поддерживают ограниченную степень радиоуправления. Я полагаю, что по крайней мере одна модель имела обязательную (нельзя отключить) сигнализацию при получении удаленных команд (хотя пользователь может переключать ее между звуком и вибрацией), поэтому нельзя гарантировать, что цель не будет знать, что атака идет.
На данный момент будет трудно получить определенный ответ, поскольку Рэдклифф не сообщил, какой производитель затронут. Хотя я не удивлюсь, если безопасность этих устройств действительно настолько ужасна.
В статье отмечается, что можно удаленно изменить показания глюкометра - я не видел беспроводного глюкометра, где показания можно было бы изменить удаленно. Показания можно прочитать удаленно, но не изменить. Я подозреваю, что часть статьи — это просто репортер, неверно интерпретирующий разговор. Существуют инсулиновые инфузионные помпы, которые включают в себя дистанционный брелок (например, пульт дистанционного управления замком/отпиранием автомобиля), который позволяет пациенту вводить дозу самостоятельно, не прикасаясь к самой помпе. Они защищены слабой защитой, но все равно потребуется значительное время и наблюдение, чтобы найти код.
Пациенты, подключенные к инфузионному насосу, обычно получают очень высокие дозы инсулина. В то время как врач и пациент устанавливают ограничения, чтобы они не могли дать себе явно слишком большую дозу, вполне возможно, что в нужное время максимальная доза может быть увеличена, что приведет к серьезной медицинской проблеме. Серийный номер — это все, что требуется для изготовления радиоуправления насосом, так что с помощью социальной инженерии его, вероятно, можно было бы получить. Я не думаю, что это можно было бы легко сделать грубой силой из-за отсутствия обратной связи (если только вы не наблюдаете за пациентом напрямую, вы не знаете, что ввели им дозу).
@Adam: Как ни странно, я знал нескольких пациентов с помпой, которые принимали очень низкие дозы инсулина (для типа I). Помпа просто позволяет гораздо лучше контролировать дозу, чем инъекции (т. е. пациент может уверенно вводить себе от 0,05 до 0,1 единицы), поэтому прием около 12 единиц в день (базальная и болюсная) не является проблемой.
Цикл новостей науки снова поражает!

Ответы (2)

Если обратиться к первоисточнику, то становится ясно, что нет никаких доказательств того, что это можно сделать.

Резюме презентации Джерома Рэдклиффа «Взлом медицинских устройств для развлечения и инсулина: взлом системы человеческого SCADA» :

Как диабетик, ко мне постоянно подключены два устройства; инсулиновая помпа и непрерывный глюкометр. Эта комбинация устройств превращает меня в систему Human SCADA; Фактически, большая часть оборудования, используемого в этих устройствах, также используется в промышленном оборудовании SCADA. На попытку взлома этих медицинских устройств меня вдохновила презентация о взломе оборудования на конференции DEF CON в 2009 году. Обе системы имеют запатентованные методы беспроводной связи.

Могут ли их методы связи быть реконструированы? Можно ли создать устройство для проведения инъекционных атак? Прямые или косвенные манипуляции с инсулином диабетика могут привести к значительному риску для здоровья и даже к смерти. Мое оружие в бою: Ардуино, Радиолюбители, Автобус Пират, Осциллограф, Паяльник и хакерская интуиция.

Потратив месяцы свободного времени и огромное количество кофеина, я не выполнил свою миссию. Однако это путешествие было неизмеримым опытом обучения — от соответствующих протоколов до аппаратного взаимодействия — и я сосредоточусь на взлетах и ​​падениях этого проекта, включая технические проблемы, извлеченные уроки и обнаруженную информацию, в этой презентации «Разрушение». система Human SCADA».

Поэтому мне кажется, что цитата в статье, на которую вы ссылаетесь, должна быть вырвана из контекста.

У меня здесь та же проблема, что и у меня, когда разрушители мифов разрушают некоторые из их мифов. То, что они не смогли воспроизвести результаты, не означает, что это невозможно. Если вы не можете продемонстрировать, что взлом невозможен или, по крайней мере, приближается к нему (то есть защищен от беспроводного/сильного шифрования на основе связи), или спроектирован так, чтобы предотвратить передозировку, даже если цифры выглядят так, как будто доза необходима, или какой-либо другой метод обмана доказательство защиты, то нельзя сказать, что это невозможно сделать.
Никакое шифрование не является безопасным. Все современные методы шифрования основаны на предположении, что не существует быстрых методов факторизации. Что основано на предположении, что NP≠P, что пока не доказано. Но это не совсем актуально. Вопрос был в том, правда ли, что безопасности нет вообще. Опытный хакер не мог взломать его несколько месяцев, доказав, что безопасность действительно существует. И это тот же хакер, о котором идет речь в статье.
на самом деле все, что это доказало, это то, что опытный хакер не смог понять, как это сделать за отведенное ему время. Может быть, следующее, что он попробует, сработает. Мало того, что это всего лишь инвестирование свободного времени. Может ли преданный убийца, желающий нацелиться на насос определенного человека, понять это? Есть ли какая-то слабость, которая не была обнаружена? Это не ответ
@Chad: Если он не смог понять это, это означает, что в нем нет типичных ошибок проектирования безопасности (например, не используется шифрование, не используются временные метки и т. д.). Вам нужно доказательство правоты? Это не делается ни для какого программного обеспечения, даже для тех, которые управляют ядерным оружием. Никогда не бывает гарантии, что в программе нет ошибок.
Я не прошу без ошибок. Я говорю, что один человек, не способный сделать это, независимо от того, насколько хорошо он может это сделать, не «ДОКАЗАЕТ», что это невозможно сделать. Я не говорю, что может быть, просто этого недостаточно, чтобы сказать, что это невозможно
@Chad: я действительно не понимаю твоей точки зрения. Как я уже сказал, это никогда не может быть доказано для любого программного обеспечения. Однако вопрос был не в этом.

Эта запись в блоге актуальна: «Хакеры могут убить диабетиков с помощью инсулиновых помп с расстояния в полмили — гм, нет. Факты против разжигания страха журналистами» (Скотт Хансельман) и содержит интересную переписку между автором (диабетик, программист) и Рэдклифф. Ветка электронной почты была добавлена ​​к записи впоследствии как заявление об отказе от ответственности (выделено красным).

От: Джером Рэдклифф

Я могу взломать инсулиновую помпу. Я могу его приостановить, изменить все настройки удаленно. Я сделал это на сцене.

он также написал:

Проверьте CBS на веб-сайте Лас-Вегаса. У них есть видео демонстрации.

Таким образом, все ответят на вопрос: «нет», Рэдклифф: «да», мой: «Я в замешательстве».

Можно ли убить диабетиков с помпами на расстоянии полумили?
СпросиСетьПолитика конфиденциальности1y, 0v