Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nieuwierzytelniony napastnik może przejąć urządzenie do znieczulania operacyjnego. Można zmieniać skład gazu, wyłączać alarmy (ale zdecydowanie bez paniki!)
Ciekawe (i ponoć pierwsze tego typu) badanie (nomen omen) dotyczące bezpieczeństwa urządzeń stosowanych w trakcie znieczulenia operacyjnego.
Podatności wykryto w maszynach GE Aestiva oraz GE Aespire (modele 7100 / 7900):
If exploited, the vulnerability would allow an attacker to silence alarms, alter date and time settings, adjust gas composition inputs, change barometric pressure, and switch between anesthetic agents — all without authentication.
[Wykorzystanie podatności umożliwi atakującemu wyłączenie alarmów, zmiany czasu na urządzeniu, zmiany składu gazu, zmiany ciśnienia wykorzystywanych gazów, czy zmiany czynnika znieczulającego – a to wszystko bez uwierzytelnienia.]
W jakim technicznie miejscu występuje problem? Urządzenia podpinane są do sieci (i dobrze – w końcu cała aparatura operacyjna ma ze sobą dobrze współpracować) ale protokół, który jest wykorzystany do kontaktu z maszyną ma… niezbyt dobrze rozwiązane kwestie związane z uwierzytelnieniem.
Wprawdzie US-Cert informuje, żę podatność jest zdalnie wykorzystywalna i nie wymaga specjalistycznej wiedzy (Exploitable remotely/low skill level to exploit), to jednak atakujący musi być w tej samej sieci co maszyna.
Zakładamy że mało szpitali podłącza sieci operacyjne do całej sieci szpitalnej, które z kolei jest np. dostępna z poziomu Internetu. Ale patrząc na cięcie środków, czasem może trafić się nieszczęśliwy „rodzynek”…
Uspokajająco przedstawia sprawę sam producent (GE):
while the anesthesia device is in use, the potential gas composition parameter changes, potential device time change, or potential remote alarm silencing actions will not interfere in any way with the delivery of therapy to a patient at the point of delivery, and do not pose any direct clinical harm;
[w wolnym tłumaczeniu – wskazane problemy nie stanowią bezpośredniego zagrożenia dla pacjenta]
jednocześnie wskazując, że w każdej chwili przy urządzeniu powinien znajdować się stosowny lekarz, który w razie potrzeby zareaguje na problem.
–Michał Sajdak
Operacja się udała, pacjent nie żyje.
Aż mi się przypomniał odcinek CSI Cyber w którym był atak hakerski tego rodzaju a droga infekcji trojanem prowadziła przez telewizor smart tv (o ile dobrze pamiętam).