Gemäss einer Präsentation an der Black Hat Conference können nicht nur Insulin Pumpen sondern auch Herzschrittmacher und Defibrillatoren durch Hacker-Angriffe ausser Funktion gesetzt werden. Darüber hat allerdings das Zürcher Intelligenz-Blatt nichts verlauten lassen. (http://www.nzz.ch/aktuell/digital/jonat ... 1.17432208)
Informationsquelle: CBSNews, 3. August 2012
Black hat hacker can remotely attack insulin pumps and kill people
Chenda Ngak
As if we didn't already have enough to be neurotic about, a man at the Black Hat Technical Security Conference gave a presentation detailing how he could take control of insulin pumps from miles away and kill his victims.
Take a minute to panic. Now keep reading.
Jerome Radcliffe is a diabetic. The nefarious hack he presented at the conference Thursday was a response to his condition. "I have two devices attached to me at all times; an insulin pump and a continuous glucose monitor,"said Radcliffe. He said that the devices turned him into a supervisory control and data acquisition (SCADA) system.
Out of fear for his own safety he wanted to see if he could hack into these wireless medical devices. As a senior threat intelligence analyst for a major computer security organization, it only made sense that he would test his own defense against hackers.
His presentation, "Hacking Medical Devices for Fun and Insulin: Breaking the Human SCADA System," details his journey to reverse engineer the life-saving and potential life-threatening devices.
Although there's no evidence that anyone has used Radcliffe's techniques, his findings raise fears about the safety of medical devices as they're brought into the Internet age. Serious attacks have already been demonstrated against pacemakers and defibrillators.
Radcliffe wears an insulin pump that can be used with a special remote control to administer insulin. He found that the pump can be reprogrammed to respond to a stranger's remote. All he needed was a USB device that can be easily obtained from eBay or medical supply companies. Radcliffe also applied his skill for eavesdropping on computer traffic. By looking at the data being transmitted from the computer with the USB device to the insulin pump, he could instruct the USB device to tell the pump what to do.
Radcliffe, who is 33 and lives in Meridian, Idaho, tested only one brand of insulin pump - his own - but said others could be vulnerable as well.
Although an attacker would need to be within a couple hundred feet of the patient to pull this off, a stranger wandering a hospital or sitting behind a target on an airplane would be close enough.
Radcliffe also found that it was possible to tamper with a second device he wears. He said he could intercept signals sent wirelessly from a sensor to a machine that displays blood-sugar levels. By broadcasting a signal that is stronger than the real-time, authentic readings, the monitor would be tricked into displaying old information over and over. As a result, a patient who didn't notice wouldn't adjust insulin dosage properly.
With a powerful enough antenna, Radcliffe said, an attacker could be up to a half a mile away. This attack worked on two different blood-sugar monitors.
"The threat hasn't manifested yet, so what they and we are trying to do is see what the risk could be in the future," said Yoshi Kohno, a University of Washington professor who wasn't a part of Radcliffe's research.
Radcliffe said the point of his research is not to alarm people. He said the issues he's discovered are important to address publicly as the medical industry moves aggressively toward more networked devices.
"It would only take one person to do this to kill someone and then you have a catastrophe," he said.
http://www.cbsnews.com/8301-501465_162- ... 01465.html
Hacker-Angriffe auf med. Geräte und deren Konsequenzen
-
Betroffene
- Beiträge: 10
- Registriert: 1. Mai 2012 09:53
- Wohnort: Riehen
translation
Vielen Dank für diesen Beitrag. Hier die deutsche Entsprechung dazu:
Als hätten wir nicht genug davon, neurotisch zu werden; ein Mann an der Black Hat Security Conference, zeigte auf, wie er Insulinpumpen über Meilen entfernt kontrollieren könnte um seine Opfer zu töten.
Werden Sie eine Minute lang panisch. Nun lesen Sie weiter.
Jerome Radcliffe ist Diabetiker. Den ruchlosen Hack, welcher er am Donnerstag an der Konferenz präsentierte, war die Antwort auf seine eigene Veranlagung. "Ich habe die ganze Zeit zwei Geräte an mir; eine Insulinpumpe und ein Glukosemonitor," sagt Radcliffe. Diese geräte machten aus ihm ein SCADA-System (Supervisory Control And Data Acquisition).
Ohne Angst, seine Gesundheit zu gefährden, wollte er schauen, ob er ins System dieser kabellosen, medizinischen Geräte eindringen kann. Als Spezialist einer grossen Computer-Sicherheitsorganisation lag es nahe, die Widerstandsfähigkeit gegenüber Hacker-Angriffen zu testen.
Seine Präsentation, "Hacken medizinischer Geräte für Spass und Insulin: Stoppen des menschlichen SCADA Systems", zeigt seine Reise, die lebensrettenden und potenziell lebensbedrohlichen Systeme zu verstehen.
Bislang gibt es keine Hinweise darauf, dass jemand Radcliffs Technik benutzt hat. Seine Arbeit schürt aber die Bedenken zur Sicherheit medizinischer Geräte im Internetzeitalter. Ernst zu nehmende Angrfiffe wurden bereits an Herzschrittmachern und Defibrillatoren demonstriert.
Radcliffe trägt eine Insulinpumpe, welche über eine spezielle Fernbedienung verwaltet werden kann. Er hat herausgefunden, dass die Pumpe umprogrammiert werden kann, um auf eine fremdes Funkgerät zu reagieren. Alles was er brauchte, war ein USB-Gerät, welches einfach bei eBay oder einem Lieferant medizinischer Geräte bezogen werden kann. Radcliffe benutze seinen Intellekt, um die Kommumikation zu belauschen. Durch die Analyse des Datenverkehrs, war er in der Lage, der Pumpe mit zu teilen, was sie tun soll.
Radcliffe, 33 Jahre alt aus Meridian (Idaho), testete nur einen Typ von Insulinpumpen -seine eigene- doch andere könnten genauso angreifbar sein.
Auch wenn der Aktionsradius ziemlich beschränkt ist reichen zum Beispiel ein Spaziergang durchs Spital, oder wenn der Angreifer hinter seinem Ziel im Flugzeug sitzt.
Radcliffe fand weiter heraus, dass es möglich war, sein zweites Gerät zu hintergehen. Er sagte, er könne die Signale unterbrechen, welche vom Sensor kabellos an eine Maschine gesendet werden, welche dann den Blutzuckerspiegel anzeigt. Wird mittels eines weiteren Senders das Echtzeit-Signal überdeckt, zeigt der Monitor nur noch alte Informationen an. Ein Patient, welcher das nicht bemerkt, kann sein Insulin nicht mehr richtig dosieren.
Mit einem starken Sender, sagt Radcliffe, könne ein Angreifer eine halbe Meile entfernt sein. Dieser Angriff funktionierte bei zwei verschiedenen Blutzucker-Monitoren.
Radcliffe sagte, seine Forschung sein nicht gedacht, um die Leute auf zu schrecken. Vielmehr sei es wichtig, seine Entdeckung an die Öffentlichkeit zu tragen, zumal die medzinische Industrie netzwerkgestütze Geräte forciert.
"Es braucht nur eine Person, um dies hier zu tun, um jemanden zu töten und dann ist die Katastrophe da", sagte er.
Als hätten wir nicht genug davon, neurotisch zu werden; ein Mann an der Black Hat Security Conference, zeigte auf, wie er Insulinpumpen über Meilen entfernt kontrollieren könnte um seine Opfer zu töten.
Werden Sie eine Minute lang panisch. Nun lesen Sie weiter.
Jerome Radcliffe ist Diabetiker. Den ruchlosen Hack, welcher er am Donnerstag an der Konferenz präsentierte, war die Antwort auf seine eigene Veranlagung. "Ich habe die ganze Zeit zwei Geräte an mir; eine Insulinpumpe und ein Glukosemonitor," sagt Radcliffe. Diese geräte machten aus ihm ein SCADA-System (Supervisory Control And Data Acquisition).
Ohne Angst, seine Gesundheit zu gefährden, wollte er schauen, ob er ins System dieser kabellosen, medizinischen Geräte eindringen kann. Als Spezialist einer grossen Computer-Sicherheitsorganisation lag es nahe, die Widerstandsfähigkeit gegenüber Hacker-Angriffen zu testen.
Seine Präsentation, "Hacken medizinischer Geräte für Spass und Insulin: Stoppen des menschlichen SCADA Systems", zeigt seine Reise, die lebensrettenden und potenziell lebensbedrohlichen Systeme zu verstehen.
Bislang gibt es keine Hinweise darauf, dass jemand Radcliffs Technik benutzt hat. Seine Arbeit schürt aber die Bedenken zur Sicherheit medizinischer Geräte im Internetzeitalter. Ernst zu nehmende Angrfiffe wurden bereits an Herzschrittmachern und Defibrillatoren demonstriert.
Radcliffe trägt eine Insulinpumpe, welche über eine spezielle Fernbedienung verwaltet werden kann. Er hat herausgefunden, dass die Pumpe umprogrammiert werden kann, um auf eine fremdes Funkgerät zu reagieren. Alles was er brauchte, war ein USB-Gerät, welches einfach bei eBay oder einem Lieferant medizinischer Geräte bezogen werden kann. Radcliffe benutze seinen Intellekt, um die Kommumikation zu belauschen. Durch die Analyse des Datenverkehrs, war er in der Lage, der Pumpe mit zu teilen, was sie tun soll.
Radcliffe, 33 Jahre alt aus Meridian (Idaho), testete nur einen Typ von Insulinpumpen -seine eigene- doch andere könnten genauso angreifbar sein.
Auch wenn der Aktionsradius ziemlich beschränkt ist reichen zum Beispiel ein Spaziergang durchs Spital, oder wenn der Angreifer hinter seinem Ziel im Flugzeug sitzt.
Radcliffe fand weiter heraus, dass es möglich war, sein zweites Gerät zu hintergehen. Er sagte, er könne die Signale unterbrechen, welche vom Sensor kabellos an eine Maschine gesendet werden, welche dann den Blutzuckerspiegel anzeigt. Wird mittels eines weiteren Senders das Echtzeit-Signal überdeckt, zeigt der Monitor nur noch alte Informationen an. Ein Patient, welcher das nicht bemerkt, kann sein Insulin nicht mehr richtig dosieren.
Mit einem starken Sender, sagt Radcliffe, könne ein Angreifer eine halbe Meile entfernt sein. Dieser Angriff funktionierte bei zwei verschiedenen Blutzucker-Monitoren.
Radcliffe sagte, seine Forschung sein nicht gedacht, um die Leute auf zu schrecken. Vielmehr sei es wichtig, seine Entdeckung an die Öffentlichkeit zu tragen, zumal die medzinische Industrie netzwerkgestütze Geräte forciert.
"Es braucht nur eine Person, um dies hier zu tun, um jemanden zu töten und dann ist die Katastrophe da", sagte er.