Nacionalni CERT

Pronađene mnoge ranjivosti u pacemaker uređajima

Milijuni ljudi koji koriste srčani elektrostimulator (engl. pacemaker) mogli bi postati mete napada zlonamjernih pojedinaca koji koriste ranjivosti samih uređaja. Ovakvi napadi predstavljaju posebnu opasnost jer bi onemogućavanjem rada uređaja moglo doći do teških posljedica po zdravlje žrtava.

Elektrostimulator predstavlja uređaj koji osjeća srčane impulse te po potrebi šalje električne impulse radi aktivacije srčanog mišića i održavanja normalnog srčanog ritma. Medicinska pomagala poput elektrostimulatora i inzulinskih pumpi najčešće često nisu u središtu napora sigurnosnih tvrtki koje su usredotočene na razvijanje sigurnih sustava te sigurnosnih alata. Ovakva situacija čini područje medicinskih pomagala ovog tipa nesigurnim što je vidljivo i u istraživanja tvrtke White Scope. Prema njihovom nalazu testiranja 7 različitih proizvoda koje su razvile 4 zasebne tvrtke, dokazano je kako svi uređaji koriste programske biblioteke koje su razvili nezavisni programeri (engl. third-party). Kod većine su programskih datoteka pronađene mnoge ranjivosti što ih napadači mogu iskoristiti kako bi dobili pristup do uređaja.

Istraživači navode kako se, unatoč nastojanjima nadležnih tijela da zakonski odrede sigurnosni standard te činjenici kako je riječ o osjetljivim medicinskim pomagalima, svi promatrani uređaji mogu obilježiti kao nesigurni. Redovito uređaji ovog tipa koriste zastarjele programske biblioteke bez obzira na proizvođača ili tip što ilustrira u kojoj je mjeri rizičan cijeli sektor medicinskih pomagala kada je riječ o računalnoj sigurnosti.

Posebno je zabrinjavajuća činjenica kako prilikom spajanja uređaja za upravljanje elektrostimulatorom i elektrostimulatora ne dolazi do sigurnosne provjere. Ovakav propust teoretski omogućava osobi koja ima uređaj za upravljanje pristup bilo kojem elektrostimulatoru bez sigurnosne provjere što može za posljedicu imati teške zdravstvene probleme žrtve te, na koncu, i smrću. Istraživači također navode kako je sva testirana oprema dostupna putem online trgovine eBay iako je trgovina uređajima ovoga tipa strogo zakonski regulirana.

Iako je ovo područje relativno izdvojeno te ne predstavlja, trenutno, atraktivnu priliku napadačima, ne valja zanemariti činjenicu kako ranjivosti zaista postoje te je pitanje vremena kada će se nastojanja napadača usmjeriti na ovo visoko rizično područje računalne sigurnosti. Osim zdravstvenih problema, kompromitacija medicinskih pomagala može za posljedicu imati i gubitak povjerljivih informacija vezanih uz pacijenta te pristup liječničkoj bazi podataka što predstavlja značajan sigurnosni rizik.

05.06.2017