相信大家已經無數次從好萊塢大片中看到黑客通過操縱股市來獲取收益。雖然這種誤解相當可笑,但必須承認的是,確實有一部分黑客希望讓這樣的幻想成為現實,甚至也確實存在這類能夠讓幻想成為現實的安全漏洞。
事實上,在關鍵性金融乃至其它系統當中,一部分黑客正努力還原大片中的好萊塢式陰謀并最終借此獲得極為可觀的回報。
心中的后門才最為可怕
這一切已經開始影響到我們的現實生活,其中一例正是圣猶達醫療公司的心臟起搏器遭遇入侵。就在上周,新聞報道稱該公司對于安全隱患的不作為態度已經導致病人死亡。
去年8月,賣空企業Muddy Waters公司及其安全商業合作伙伴MedSec Holdings公司發布了一系列令人震驚且引發激烈爭議的發現。報告指出,圣猶達醫療公司的起搏器與植入式心臟裝置中存在重大安全缺陷。
不過MedSec與Muddy Waters的研究人員并未采取標準披露流程(直接與制造商進行接洽以確保其能夠修復漏洞并發布相關補丁),而直接將結果公諸于眾。在新聞披露之后,MedSec方面承認,其對圣猶達醫療公司進行的安全調查源自Muddy公司的資助。
Muddy Waters公司創始人卡森-布洛克(Carson Block)面對投資者及新聞媒體發布了一份報告,警告稱“數十萬美國民眾生活在定時炸彈的威脅之下:圣猶達推出的心臟起搏器與除顫器易受到攻擊入侵,并造成潛在的、可能致命的工作中斷后果。”
盡管這種狀況以往僅存在于好萊塢與《犯罪現場調查》劇集當中,但這一次彭博電視也確認并對此進行了發布。布洛克同時補充認為,最可怕的情景是黑客將能夠發動大規模攻擊,導致這些植入式設備發生故障。圣猶達醫療公司應該立即停止銷售這些設備,直到開發出新的安全通信協議。
雖然警方已經開始對起搏器監控活動進行調查,但目前還沒有出現該起搏器遭遇大規模黑客入侵的案例記錄。
在這份報告發布之后,圣猶達公司的股價立即下跌了5%。圣猶達醫療公司宣稱,Muddy Waters發布的這份報告存在“虛假與誤導性內容”,其中大部分調查結果僅適用于較舊及未經修復的設備版本。
在一篇博文當中,MedSec公司CEO賈斯汀-伯恩(Justine Gone)作出了聲明,解釋其為何沒有首先向制造商透露調查信息。該公司堅稱圣猶達醫療公司“至少自2013年開始就意識到其產品中存在安全問題”。
MedSec方面指出,考慮到設備中存在的嚴重安全隱患,其決定首先將結果提交至媒體及Muddy Waters手中,這“是促使圣猶達公司采取行動的惟一途徑”。
伯恩女士在博文中解釋稱,“過去18個月以來,我們的團隊一直在悄悄評估各類醫療器械的安全水平。其中圣猶達醫療公司的安全狀況遠遠落后,且多年來其持續通過設備銷售與設備生態系統獲準,而幾乎毫無內置安全保障機制可言的產品令眾多患者身處風險當中。”
MedSec Holdings公司直接披露該漏洞引發爭議
部分信息安全人士表示,這種不事先向圣猶達醫療公司報告問題的作法會危及患者且屬于不道德行為。此事亦引發了關于責任、披露及新聞界作用的激烈爭論。部分人希望了解這些發現是否能夠重現,并要求通過獨立審計以客觀確定實際情況,因為部分研究人員甚至得出了一些存在沖突的結果。
最終,圣猶達醫療公司的股價下跌了10%。該公司則針對MedSec與Muddy Waters發起了訴訟。而在安全企業Bishop Fox公司轉載了這一調查報告后,三家公司再次通過新聞媒體就MedSec調查開展唇槍舌戰。此外,另一組研究人員聲稱他們發現確實能夠對大約10英尺距離內的起搏器進行控制。
在Muddy Waters公司剛剛發布這一調查結果時,美國食品與藥物管理局(簡稱FDA)拒絕對圣猶達設備安全漏洞一事發表評論。
但如今FDA終于發聲,看起來MedSec得出的結論并無問題。根據FDA方面發布的一封令人信服的函件,圣猶達醫療公司早在2014年便對其植入式醫療器械中存在的安全問題有所了解,“但卻并未通過軟件更新或者設備更換的方式解決這些問題。”該機構得出的結論是,圣猶達醫療公司一次又一次違反內部安全與產品質量指導原則,且導致至少一名患者死亡。
盡管曾于2014年4月雇用某第三方對相關安全漏洞進行了調查,但圣猶達醫療公司未能準確將該項評估的結果納入其后續設備的風險評估之內。
FDA同時表示,其中嚴重程度最高的漏洞為圣猶達公司高壓心臟起搏器中的一段“硬編碼通用解鎖碼”。圣猶達醫療公司的母公司雅培作出回應稱“患者安全永遠至上”,且其將認真對待這些問題,持續推動糾正措施以取得良好進展,密切研究FDA的警告建議并致力于全面解決FDA所關注的各項問題。
伯恩在接受采訪時表示,此次披露的內容確實令人耳目一新。圣猶達醫療公司首次公開承認其了解產品中的安全隱患,但仍繼續將這些產品銷售給患者并進行體內植入。他稱再也不想糾結于Muddy Waters、MedSec以及圣猶達之間的沖突。在與制造商接洽之前就貿然公布漏洞結果確實不夠明智,而且也很難起到預期的效果。但在這場雙方都有錯的對抗中,FDA站出來懲罰了錯誤更大的一方……
但他實在不能接受的是,不排除這些信息安全研究人員是單純為了博眼球、求關注而發布這種導致病患死亡的作法的可能。
如果真是這樣,這群打著修復安全漏洞旗號的研究人員也許只是想憑借自己的發現博取名聲與利益,我也實在無法通過這樣的行為確定他們是否還真的在乎自己的良知與他人的生命。
京公網安備 11010502049343號