Onderzoekers gebruiken hartslag voor encryptie
Chinese onderzoekers zijn erin geslaagd om pacemakers en andere draadloze implantaten met de hartslag van de drager te versleutelen. Steeds meer medische apparatuur is op afstand te benaderen, maar bij het ontwerp is vaak niet over de veiligheid nagedacht. Daardoor lukte het Amerikaanse onderzoekers om Denial of Service aanvallen op pacemakers uit te voeren of het apparaat stroomschokken te laten geven. Een firewall moest uitkomst bieden, maar zou volgens de onderzoekers te onhandig zijn.
De Chineze gebruiken de hartslag van iemand, die via de pols te meten is, als sleutel voor de 64-bits encryptie. De aanpak zou net zo nauwkeurig zijn als traditionele vingerafdrukherkenningssystemen, maar een stuk veiliger, omdat de constant veranderende hartslag niet via een eerder opgenomen versie is na te bootsen. Een sensor in de implantaat neemt het ritme van de wijsvinger op, aangezien daar de hartslag eenvoudig te meten is. Het systeem controleert daarnaast ook op een andere plek in het lichaam de hartslag, zodat kleine verschillen geen problemen geven, maar eerdere opnamen niet overeenkomen. Komen de twee metingen van de hartslag overeen, dan worden de sleutels uitgewisseld. Het idee is dus dat de op de hartslag gebaseerde key door de dokter wordt uitgelezen. Die kan de hartslag bevestigen en krijgt daarna toegang tot de pacemaker. Een aanvaller zou dit ook kunnen doen, maar moet dan over de pols van het slachtoffer beschikken, iets wat de meeste mensen wel opmerken.
"Aangezien de apparaten in of op het lichaam worden geplaatst, zou het redelijk eenvoudig voor ze moeten zijn om biologische of fysiologische kenmerken op te slaan om de gebruiker te identificeren," zegt Carmen Poon, die het idee samen met haar collega's aan de Universiteit van Hong Kong bedacht.
De sleutel wordt aan de hand van de intervallen tussen 16 opeenvolgende hartslagen berekend en is nauwkeurig genoeg om foute gegevens te filteren, maar flexibel genoeg om kleine biologische verschillen te accepteren. In 6,5% van de gevallen kwamen de twee metingen niet overeen en mislukte de test. Bij vingerafdrukssystemen wordt gemiddeld 4,2% geweigerd.
De hartslag wordt door een ander apparaat (wat de doctor gebruik) realtime gemeten en hierdoor heb je een continu variable sleutel waarmee men alleen toegang kan krijgen tot de pacemaker als men via de huid realtime de hartslag meet. Op deze manier kan er zonder fysiek contact met de patient geen toegang verschaft worden tot de pacemaker.
??? En dan? Werkt de pacemaker dan niet meer? Lekker is dat.
http://www.newscientist.com/article.ns?id=dn1827
Dit is ook wel een interessante aanpak, een cloaking device die het IMD
onzichtbaar maakt voor remote communicatie zolang het aan staat, maar
in noodgevallen verwijderd kan worden zodat weer toegang verkregen kan
worden tot het IMD
http://www.cs.washington.edu/homes/tdenning/files/papers/watchdog-hotsec08.pdf
Wie gaat er nou iemands pacemaker lopen DoS'en, wat voor een geestenszieke kleuter ben je dan?
maar voor terroristen is dit wel weer een gegeven iets om zoveel mogelijk mensen omzeep te helpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
