心臟起搏器中存在巨大安全隱患 或威脅患者生命

責(zé)任編輯:editor004

2017-05-08 11:33:17

摘自:E安全

相信大家已經(jīng)無數(shù)次從好萊塢大片中看到黑客通過操縱股市來獲取收益。雖然這種誤解相當(dāng)可笑,但必須承認(rèn)的是

相信大家已經(jīng)無數(shù)次從好萊塢大片中看到黑客通過操縱股市來獲取收益。雖然這種誤解相當(dāng)可笑,但必須承認(rèn)的是,確實(shí)有一部分黑客希望讓這樣的幻想成為現(xiàn)實(shí),甚至也確實(shí)存在這類能夠讓幻想成為現(xiàn)實(shí)的安全漏洞。

事實(shí)上,在關(guān)鍵性金融乃至其它系統(tǒng)當(dāng)中,一部分黑客正努力還原大片中的好萊塢式陰謀并最終借此獲得極為可觀的回報(bào)。

心中的后門才最為可怕

這一切已經(jīng)開始影響到我們的現(xiàn)實(shí)生活,其中一例正是圣猶達(dá)醫(yī)療公司的心臟起搏器遭遇入侵。就在上周,新聞報(bào)道稱該公司對(duì)于安全隱患的不作為態(tài)度已經(jīng)導(dǎo)致病人死亡。

去年8月,賣空企業(yè)Muddy Waters公司及其安全商業(yè)合作伙伴MedSec Holdings公司發(fā)布了一系列令人震驚且引發(fā)激烈爭議的發(fā)現(xiàn)。報(bào)告指出,圣猶達(dá)醫(yī)療公司的起搏器與植入式心臟裝置中存在重大安全缺陷。

不過MedSec與Muddy Waters的研究人員并未采取標(biāo)準(zhǔn)披露流程(直接與制造商進(jìn)行接洽以確保其能夠修復(fù)漏洞并發(fā)布相關(guān)補(bǔ)丁),而直接將結(jié)果公諸于眾。在新聞披露之后,MedSec方面承認(rèn),其對(duì)圣猶達(dá)醫(yī)療公司進(jìn)行的安全調(diào)查源自Muddy公司的資助。

Muddy Waters公司創(chuàng)始人卡森-布洛克(Carson Block)面對(duì)投資者及新聞媒體發(fā)布了一份報(bào)告,警告稱“數(shù)十萬美國民眾生活在定時(shí)炸彈的威脅之下:圣猶達(dá)推出的心臟起搏器與除顫器易受到攻擊入侵,并造成潛在的、可能致命的工作中斷后果。”

盡管這種狀況以往僅存在于好萊塢與《犯罪現(xiàn)場調(diào)查》劇集當(dāng)中,但這一次彭博電視也確認(rèn)并對(duì)此進(jìn)行了發(fā)布。布洛克同時(shí)補(bǔ)充認(rèn)為,最可怕的情景是黑客將能夠發(fā)動(dòng)大規(guī)模攻擊,導(dǎo)致這些植入式設(shè)備發(fā)生故障。圣猶達(dá)醫(yī)療公司應(yīng)該立即停止銷售這些設(shè)備,直到開發(fā)出新的安全通信協(xié)議。

雖然警方已經(jīng)開始對(duì)起搏器監(jiān)控活動(dòng)進(jìn)行調(diào)查,但目前還沒有出現(xiàn)該起搏器遭遇大規(guī)模黑客入侵的案例記錄。

在這份報(bào)告發(fā)布之后,圣猶達(dá)公司的股價(jià)立即下跌了5%。圣猶達(dá)醫(yī)療公司宣稱,Muddy Waters發(fā)布的這份報(bào)告存在“虛假與誤導(dǎo)性內(nèi)容”,其中大部分調(diào)查結(jié)果僅適用于較舊及未經(jīng)修復(fù)的設(shè)備版本。

在一篇博文當(dāng)中,MedSec公司CEO賈斯汀-伯恩(Justine Gone)作出了聲明,解釋其為何沒有首先向制造商透露調(diào)查信息。該公司堅(jiān)稱圣猶達(dá)醫(yī)療公司“至少自2013年開始就意識(shí)到其產(chǎn)品中存在安全問題”。

MedSec方面指出,考慮到設(shè)備中存在的嚴(yán)重安全隱患,其決定首先將結(jié)果提交至媒體及Muddy Waters手中,這“是促使圣猶達(dá)公司采取行動(dòng)的惟一途徑”。

伯恩女士在博文中解釋稱,“過去18個(gè)月以來,我們的團(tuán)隊(duì)一直在悄悄評(píng)估各類醫(yī)療器械的安全水平。其中圣猶達(dá)醫(yī)療公司的安全狀況遠(yuǎn)遠(yuǎn)落后,且多年來其持續(xù)通過設(shè)備銷售與設(shè)備生態(tài)系統(tǒng)獲準(zhǔn),而幾乎毫無內(nèi)置安全保障機(jī)制可言的產(chǎn)品令眾多患者身處風(fēng)險(xiǎn)當(dāng)中。”

MedSec Holdings公司直接披露該漏洞引發(fā)爭議

部分信息安全人士表示,這種不事先向圣猶達(dá)醫(yī)療公司報(bào)告問題的作法會(huì)危及患者且屬于不道德行為。此事亦引發(fā)了關(guān)于責(zé)任、披露及新聞界作用的激烈爭論。部分人希望了解這些發(fā)現(xiàn)是否能夠重現(xiàn),并要求通過獨(dú)立審計(jì)以客觀確定實(shí)際情況,因?yàn)椴糠盅芯咳藛T甚至得出了一些存在沖突的結(jié)果。

最終,圣猶達(dá)醫(yī)療公司的股價(jià)下跌了10%。該公司則針對(duì)MedSec與Muddy Waters發(fā)起了訴訟。而在安全企業(yè)Bishop Fox公司轉(zhuǎn)載了這一調(diào)查報(bào)告后,三家公司再次通過新聞媒體就MedSec調(diào)查開展唇槍舌戰(zhàn)。此外,另一組研究人員聲稱他們發(fā)現(xiàn)確實(shí)能夠?qū)Υ蠹s10英尺距離內(nèi)的起搏器進(jìn)行控制。

在Muddy Waters公司剛剛發(fā)布這一調(diào)查結(jié)果時(shí),美國食品與藥物管理局(簡稱FDA)拒絕對(duì)圣猶達(dá)設(shè)備安全漏洞一事發(fā)表評(píng)論。

但如今FDA終于發(fā)聲,看起來MedSec得出的結(jié)論并無問題。根據(jù)FDA方面發(fā)布的一封令人信服的函件,圣猶達(dá)醫(yī)療公司早在2014年便對(duì)其植入式醫(yī)療器械中存在的安全問題有所了解,“但卻并未通過軟件更新或者設(shè)備更換的方式解決這些問題。”該機(jī)構(gòu)得出的結(jié)論是,圣猶達(dá)醫(yī)療公司一次又一次違反內(nèi)部安全與產(chǎn)品質(zhì)量指導(dǎo)原則,且導(dǎo)致至少一名患者死亡。

盡管曾于2014年4月雇用某第三方對(duì)相關(guān)安全漏洞進(jìn)行了調(diào)查,但圣猶達(dá)醫(yī)療公司未能準(zhǔn)確將該項(xiàng)評(píng)估的結(jié)果納入其后續(xù)設(shè)備的風(fēng)險(xiǎn)評(píng)估之內(nèi)。

FDA同時(shí)表示,其中嚴(yán)重程度最高的漏洞為圣猶達(dá)公司高壓心臟起搏器中的一段“硬編碼通用解鎖碼”。圣猶達(dá)醫(yī)療公司的母公司雅培作出回應(yīng)稱“患者安全永遠(yuǎn)至上”,且其將認(rèn)真對(duì)待這些問題,持續(xù)推動(dòng)糾正措施以取得良好進(jìn)展,密切研究FDA的警告建議并致力于全面解決FDA所關(guān)注的各項(xiàng)問題。

伯恩在接受采訪時(shí)表示,此次披露的內(nèi)容確實(shí)令人耳目一新。圣猶達(dá)醫(yī)療公司首次公開承認(rèn)其了解產(chǎn)品中的安全隱患,但仍繼續(xù)將這些產(chǎn)品銷售給患者并進(jìn)行體內(nèi)植入。他稱再也不想糾結(jié)于Muddy Waters、MedSec以及圣猶達(dá)之間的沖突。在與制造商接洽之前就貿(mào)然公布漏洞結(jié)果確實(shí)不夠明智,而且也很難起到預(yù)期的效果。但在這場雙方都有錯(cuò)的對(duì)抗中,F(xiàn)DA站出來懲罰了錯(cuò)誤更大的一方……

但他實(shí)在不能接受的是,不排除這些信息安全研究人員是單純?yōu)榱瞬┭矍?、求關(guān)注而發(fā)布這種導(dǎo)致病患死亡的作法的可能。

如果真是這樣,這群打著修復(fù)安全漏洞旗號(hào)的研究人員也許只是想憑借自己的發(fā)現(xiàn)博取名聲與利益,我也實(shí)在無法通過這樣的行為確定他們是否還真的在乎自己的良知與他人的生命。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)