Onveilige medische apparaten werden opnieuw breed besproken op beveiligingscongres Black Hat. Een van de presentaties daarover kwam van onderzoekers die pacemakers en insulinepompen hackten met mogelijk fatale gevolgen en een andere onderzoeker liet zien hoe signalen over de vitale functies van patiënten realtime konden worden vervalst.
Al tien jaar is duidelijk dat pacemaker-hacks een plausibel gevaar zijn, maar nog steeds worden er implantaten gemaakt die kwetsbaar genoeg zijn dat ze kunnen worden aangevallen. Zelfs nu nog lieten IT-beveiligers zien dat ze een dodelijke schok konden afleveren, of apparaten als pacemakers en insulinepompen kunnen stopzetten zodat ze levensbedreigend worden.
Onbeveiligde update-infra
Nadat securitydeskundigen Billy Rios en Jonathan Butts mensen met medische implantaten hadden verzocht de zaal te verlaten, demonstreerden ze hoe je op afstand malafide firmware op een apparaat installeert die artsen gebruiken om de pacemakers van hun patiënten in te stellen. Dat is mogelijk door het ontbreken van encryptie in het firmware-updateproves van Medtronic. Het tweetal ontdekte ook kwetsbaarheden in Medtronics netwerkinfrastructuur voor softwareuitrol.
Ze lieten zien hoe het mogelijk was om een CareLink Programmer 2090 over te nemen, een programmeerapparaat voor medische implantaten dat Windows XP draait. Ze lieten twee hacks zien die de programmatuur zodanig aanpasten dat ze schade zouden aanbrengen aan patiënten met pacemakers. Butts: "Je kunt natuurlijk een schok toebrengen, maar ook een schok onthouden als die nodig is."
De firmware is niet digitaal getekend en de updates naar de kastjes worden niet via HTTPS verstuurd. Medtronic zelf stelt dat de aanval onpraktisch is en schaalt het in als een 'laag risico'. De artsen zouden zelf kunnen voorkomen dat er niet wordt gehackt. Die reactie zou grappig zijn als het niet zo triest was, omdat het duidelijk is dat ziekenhuizen hier moeite mee hebben, gezien datalekken en ransomware-aanvallen van de afgelopen jaren.
Rios en Butts zijn kritisch over die reactie en wijzen erop hoeveel beter de beveiliging al meteen zou zijn als de code van een certificaat werd voorzien.
Pomp overnemen
Maar wacht, er is meer. De onderzoekers lieten een aanval zien op een insulinepomp van Medtronic via een software-defined radiosysteem. Ze konden een geplande dosis insuline op die manier tegenhouden. In een waarschuwing hierover zegt ICS-CERT: "Een aanvaller kan de draadloze signalen tussen de controller en de pomp opvangen en opnieuw afspelen om een bolus af te leveren."
ICS-CERT plaatste advisory's over verschillende Medtronix-apparaten: insulinepomp MiniMed 508, patiëntenmonitror MyCareLink 24950 en 24952, programmeerinterface CareLink Programmer 2090 en N'vision Clinician Programmer, en hier vind je een overzicht van Medtronics securityberichten. De volledige verklaring van Medtronic lees je hier bij Ars Technica.
Maar de problemen zijn groter dan alleen implanteerbare apparaten. Onderzoekers lieten bijvoorbeeld ook zien hoe ze signalen over vitale functies realtime konden vervalsen, zodat artsen en assistenten foutieve informatie krijgen en patiënten verkeerd behandelen.
Gespoofte vitale functies
Voordat hij naar praktijkscenario's keek, onderzocht McAfee-onderzoeker Doug McKee hoe belangrijk deze meetgegevens eigenlijk zijn voor artsen. Dr. Shaun Nordeck verklaart dat de registratie van vitale functies van kritiek belang zijn voor het nemen van klinische beslissingen. Niet alle artsen bezoeken elke patiënt in de patiëntenkamer om de vitale functies te verifiëren voordat een kritieke beslissing over de behandeling wordt genomen.
Op beveiligingscongres Def Con besprak McKee een "kwetsbaarheid in RHWAT, een netwerkprotocol dat wordt gebruikt door medische apparaten die de functies van een patiënt monitoren. Dit protocol wordt gebruikt in een paar van de kritiekste systemen die ziekenhuizen gebruiken." Hij demonstreerde hoe deze kwetsbaarheid kon worden gebruikt om communicatieverkeer aan te passen om valse informatie door te geven. "Een gebrek aan authenticatie zorgt ervoor dat je malafide apparaten in het netwerk kunt plaatsen om patiëntenmonitoren na te bootsen."
Hogere kosten, meer gevaren
McAfee heeft in deze uitgebreide blogpost twee video's geplaatst waar gegevens realtime worden aangepast. Een ervan laat een gespoofte asystolie zien en de andere een extreem hoog hartslagpatroon en beide kunnen een medische beslissing beïnvloeden.
Dr. Nordeck vertelt over de impact van de aanval: "Fictieve cardiologische ritmes kunnen leiden tot langere opnames, meer onderzoeken en bijwerkingen van medicatie om het ritme onder controle te krijgen of bloedproppen te voorkomen. Het ziekenhuis kan te maken krijgen met resources die worden opgebruikt."
McAfee's McKee adviseert leveranciers om verkeer tussen apparaten te versleutelen en om authenticatie toe te voegen om verschillende moeilijkheidsgraden toe te voegen zodat het moeilijker is om een aanval uit te voeren die patiëntendata kan vervalsen.
Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.
Reageer
Preview