亚洲视频在线免费看,久草精品视频在线播放,日韩视频在线观看中字

深度：心臟起搏器漏洞的背后

責(zé)任編輯：editor005

作者：王小瑞

2016-09-05 15:03:49

摘自：百度百家

近期，MedSec公開發(fā)表了一篇報(bào)告，稱St Jude Medical銷售的生命維持裝置有可能遭到黑客的遠(yuǎn)程入侵?！薄　edSec的報(bào)告包括了一張關(guān)于心臟除顫器無線監(jiān)控站錯(cuò)誤信息的圖片，作為基于無線信號(hào)的攻擊成功摧毀植入式設(shè)備的證據(jù)。

大學(xué)專家表示，沒有決定性證據(jù)表明設(shè)備會(huì)變“磚”。

密歇根大學(xué)研究人員針對(duì)MedSec提出的一項(xiàng)聲明提出了疑問。原聲明中稱，St Jude Medical公司的植入式心臟起搏器和除顫器有可能遭到遠(yuǎn)程入侵。

近期，MedSec公開發(fā)表了一篇報(bào)告，稱St Jude Medical銷售的生命維持裝置有可能遭到黑客的遠(yuǎn)程入侵。具體來說，黑客可以通過遠(yuǎn)程發(fā)送惡意信號(hào)，讓設(shè)備變“磚”，或者將其電量耗盡。

MedSec并沒有幫助制造商修復(fù)該問題，而是聯(lián)手投資公司Muddy Waters Capital做空了St Jude的股票。這使得這對(duì)伙伴能夠在公布漏洞消息的同時(shí)通過公司股票價(jià)格的下跌獲利。

St Jude稱MedSec的指控“錯(cuò)誤且有誤導(dǎo)性”。

現(xiàn)在，密歇根大學(xué)表示MedSec報(bào)告中描述的一些安全漏洞并不像人們一開始擔(dān)心的那樣嚴(yán)重。大學(xué)研究人員嘗試實(shí)地測(cè)試MedSec的攻擊，而目前獲得的一個(gè)案例證明，安全公司St Jude給出的證據(jù)存在漏洞。

“我們的意思并不是報(bào)告是假的。我們說它不是決定性的，因?yàn)樽C據(jù)并不支持結(jié)論。我們能夠在不制造安全問題的情況下生成報(bào)告中所描述的情況。”

Archimedes醫(yī)療設(shè)備安全中心的計(jì)算機(jī)科學(xué)和工程負(fù)責(zé)人、密歇根大學(xué)計(jì)算機(jī)科學(xué)副教授Kevin Fu說。

“對(duì)首席工程師而言，它可能看上去十分嚴(yán)重，但是對(duì)于門診醫(yī)生而言，它就像是最開始以為黑客控制了你的電腦，后來卻發(fā)現(xiàn)你只是忘記了插上鍵盤。”

MedSec的報(bào)告包括了一張關(guān)于心臟除顫器無線監(jiān)控站錯(cuò)誤信息的圖片，作為基于無線信號(hào)的攻擊成功摧毀植入式設(shè)備的證據(jù)。當(dāng)監(jiān)控站對(duì)除顫器進(jìn)行操作時(shí)，錯(cuò)誤的信息會(huì)顯示出來，代表著設(shè)備已經(jīng)死去，因?yàn)樗鼪]有再傳出實(shí)地信號(hào)。檔案中說：

許多情況下，這種崩潰攻擊讓Cardiac設(shè)備徹底失去響應(yīng)，對(duì)來自Merlin@home設(shè)備和Merlin程序員的查詢請(qǐng)求沒有回復(fù)。因此，無法確定Cardiac設(shè)備是否還在運(yùn)行。Medsec極端懷疑它們?cè)谝恍┣闆r下是“變磚”了：無法響應(yīng)。有可能是醫(yī)生選擇了不植入對(duì)編程人員響應(yīng)的設(shè)備。

有的時(shí)候，遭受崩潰攻擊的Cardiac設(shè)備仍舊能夠與程序員通信，此時(shí)屏幕顯示出的信息令人警惕。

密歇根大學(xué)的團(tuán)隊(duì)則指出，被植入的起搏器或除顫器能夠，且將會(huì)繼續(xù)正常運(yùn)行，即便是在監(jiān)控站顯示信息錯(cuò)誤的情況下也是如此。

換句話說，沒有決定性的證據(jù)能夠說明起搏器或者除顫器在無線信號(hào)被干擾之后停止了運(yùn)作。對(duì)于用戶而言，這更像是一種煩人的情況，而不是致命的。

Fu 表示：“我們相信起搏器的運(yùn)作是正常的。”

Muddy Waters發(fā)言人對(duì)媒體表示：“顯然操作的目的不是讓攻擊重現(xiàn)。”MedSec拒絕對(duì)此事發(fā)表評(píng)論。有媒體認(rèn)為，如果通訊是被暫時(shí)阻斷的，那么將很難判斷情況的嚴(yán)重程度。另外一方面，如果無線干擾阻止了所有植入式設(shè)備和監(jiān)控站之間的通訊，那么將有可能需要醫(yī)生介入修復(fù)，但這并不是最理想的情況。不過，始終要記住，沒有硬證據(jù)能支持設(shè)備“變磚”的說法，是MedSec強(qiáng)烈的炒作讓這件事發(fā)生的。

這就是上周的可怕頭條的背后故事。

盡管醫(yī)療設(shè)備制造商必須提升產(chǎn)品的安全性，大叫著天塌了也是毫無建設(shè)意義的。醫(yī)療網(wǎng)絡(luò)安全的核心是安全和風(fēng)險(xiǎn)管理，歸根結(jié)底，使用醫(yī)療設(shè)備的患者總要比沒有使用的人安全得多。

密歇根大學(xué)研究人員仍舊在檢查MedSec報(bào)告。在結(jié)論出來之前，可能還會(huì)有更多發(fā)現(xiàn)甚至改進(jìn)。與此同時(shí)，這個(gè)案例在計(jì)算機(jī)安全行業(yè)內(nèi)引起了不小的震動(dòng)，但這只是因?yàn)镸edSec公司不怎么正統(tǒng)的手段毫無必要地驚嚇了使用St Jude產(chǎn)品的用戶。

應(yīng)用安全提供商Arxan Technologies公司CTo Sam Rehman對(duì)媒體表示：“我個(gè)人的看法是，從倫理上講，很難理解為什么人們要經(jīng)歷這些。安全產(chǎn)業(yè)的任務(wù)是通過保護(hù)系統(tǒng)來建立信任。”

MedSec 心臟起搏器