Pompa insulinowa narażona na atak hakera

Unlucky · 29-08-2011, 07:32

Jay Radcliffe, chorujący na cukrzycę specjalista ds. bezpieczeństwa, który informował wcześniej o możliwości przeprowadzenia śmiertelnego w skutkach zdalnego ataku na pompę insulinową, zdecydował się ujawnić nazwę jej producenta.

Jest nim firma Medtronic, jeden z największych na świecie wytwórców urządzeń dla medycyny. Radcliffe postanowił publicznie poinformować o tym fakcie, gdyż mimo wielokrotnych ostrzeżeń Medtronic nie podjął żadnych kroków w celu zabezpieczenia swoich urządzeń.
Rzecznik prasowa Medtronika odmówiła skomentowania sprawy i poinformowania, jak wyglądały kontakty pomiędzy Radcliffe'em a firmą. Poinformowała jedynie, że przedstawiciel firmy był obecny na prezentacji podczas konferencji Black Hat. Otrzymał on od Radcliffe'a dokumentację szczegółowo opisującą przeprowadzony atak. Jednak gdy trzy dni później Radcliffe napisał do niego maila, nie otrzymał żadnej odpowiedzi. Rewelacje Radcliffe'a sprawdzali eksperci z Departamentu Bezpieczeństwa Wewnętrznego, którzy skontaktowali go też z odpowiednią osobą w firmie Medtronic. Jednak maile i telefony mężczyzny pozostały bez odpowiedzi.

Narażone na atak są pompy Paradigm 512, 522, 712 i 722. Radcliffe zauważa jednak, że prawdopodobieństwo ataku jest bardzo małe i zaleca, by posiadacze tych urządzeń nadal ich używali. Radcliffe skrytykował też Medtronic za stwierdzenie, że użytkownicy pompy mogą po prostu wyłączyć moduł łączności bezprzewodowej. Tymczasem funkcje, które on wykorzystał podczas swojego ataku nie mogą być wyłączone przez użytkownika urządzenia.

Doniesieniami o możliwym zaatakowaniu pomp insulinowych i innych urządzeń medycznych zainteresowali się za to parlamentarzyści, którzy wezwali Government Accountability Office - instytucję kontrolną Kongresu USA - do zbadania sprawy. Zdaniem Marca Maiffreta, szefa firmy eEye Digital Security, Medtronic traktuje badania Radcliffe'a jako problem marketingowy, a nie kwestię bezpieczeństwa.

Tak postąpiłby Microsoft 10 lat temu - stwierdził Maiffert. Dodał, że tego typu postawa nie jest niczym nowym, gdyż zdecydowana większość firm albo próbuje w takich wypadkach oczerniać odkrywcę problemu, albo bagatelizuje zagrożenie. Dopiero, gdy informacja staje się publiczna i firma odczuwa naciski ze strony klientów, zaczyna poważnie zajmować się problemem.

Mariusz Błoński

kopalniawiedzy.pl

29-08-2011, 07:32	#1
Unlucky ..:: Klubowicz ::.. Dołączył/a: 12 Jan 2010 Miasto: Biłgoraj Wiek: 35 Postów: 1 725 Tematów: 124 Podziękowań: 1 956 THX'ów: 2 719 Imię: Maciej Wzmianek w postach: 0 Oznaczeń w tematach: 0 Plusów: 170 (+)	Pompa insulinowa narażona na atak hakera Jay Radcliffe, chorujący na cukrzycę specjalista ds. bezpieczeństwa, który informował wcześniej o możliwości przeprowadzenia śmiertelnego w skutkach zdalnego ataku na pompę insulinową, zdecydował się ujawnić nazwę jej producenta. Jest nim firma Medtronic, jeden z największych na świecie wytwórców urządzeń dla medycyny. Radcliffe postanowił publicznie poinformować o tym fakcie, gdyż mimo wielokrotnych ostrzeżeń Medtronic nie podjął żadnych kroków w celu zabezpieczenia swoich urządzeń. Rzecznik prasowa Medtronika odmówiła skomentowania sprawy i poinformowania, jak wyglądały kontakty pomiędzy Radcliffe'em a firmą. Poinformowała jedynie, że przedstawiciel firmy był obecny na prezentacji podczas konferencji Black Hat. Otrzymał on od Radcliffe'a dokumentację szczegółowo opisującą przeprowadzony atak. Jednak gdy trzy dni później Radcliffe napisał do niego maila, nie otrzymał żadnej odpowiedzi. Rewelacje Radcliffe'a sprawdzali eksperci z Departamentu Bezpieczeństwa Wewnętrznego, którzy skontaktowali go też z odpowiednią osobą w firmie Medtronic. Jednak maile i telefony mężczyzny pozostały bez odpowiedzi. Narażone na atak są pompy Paradigm 512, 522, 712 i 722. Radcliffe zauważa jednak, że prawdopodobieństwo ataku jest bardzo małe i zaleca, by posiadacze tych urządzeń nadal ich używali. Radcliffe skrytykował też Medtronic za stwierdzenie, że użytkownicy pompy mogą po prostu wyłączyć moduł łączności bezprzewodowej. Tymczasem funkcje, które on wykorzystał podczas swojego ataku nie mogą być wyłączone przez użytkownika urządzenia. Doniesieniami o możliwym zaatakowaniu pomp insulinowych i innych urządzeń medycznych zainteresowali się za to parlamentarzyści, którzy wezwali Government Accountability Office - instytucję kontrolną Kongresu USA - do zbadania sprawy. Zdaniem Marca Maiffreta, szefa firmy eEye Digital Security, Medtronic traktuje badania Radcliffe'a jako problem marketingowy, a nie kwestię bezpieczeństwa. Tak postąpiłby Microsoft 10 lat temu - stwierdził Maiffert. Dodał, że tego typu postawa nie jest niczym nowym, gdyż zdecydowana większość firm albo próbuje w takich wypadkach oczerniać odkrywcę problemu, albo bagatelizuje zagrożenie. Dopiero, gdy informacja staje się publiczna i firma odczuwa naciski ze strony klientów, zaczyna poważnie zajmować się problemem. Mariusz Błoński kopalniawiedzy.pl