Nieuws

Onderzoekers: hartslag als wachtwoord voor pacemaker

donderdag 26 september 2013, 16:44 door Redactie, 12 reacties

Onderzoekers van een Amerikaanse universiteit hebben een nieuwe manier gevonden om medische apparatuur, zoals pacemakers, defibrillatoren en insulinepompjes, tegen ongeautoriseerde toegang te beschermen door de hartslag van een patiënt te gebruiken.

Deze apparatuur, die vaak in of op het lichaam is aangebracht, beschikt over draadloze mogelijkheden, zodat medisch personeel de patiënt kan monitoren. Dit heeft ook een nadeel, namelijk dat de apparaten te hacken zijn, aldus onderzoekers van de Rice University. Medische implantaten beschikken niet over een wachtwoord, zoals bij een wifi-router thuis het geval is, omdat medisch personeel vaak snel toegang tot het apparaat nodig heeft. Dat zorgt er ook voor dat de apparaten kwetsbaar voor aanvallen zijn.

"Als je een apparaat in je lichaam hebt, kan een persoon voorbij lopen, op een knop drukken en je privacy schenden, of je zelfs een schok geven", aldus onderzoeker Masoud Rostami. Een aanvaller zou een insulinepomp ook insuline kunnen laten geven of de software van de pacemaker updaten. "Maar onze voorgestelde oplossing dwingt iemand die het apparaat wil uitlezen om je eerst aan te raken", merkt de onderzoeker op.

Hartslag

Om eventuele ongeautoriseerde toegang te voorkomen ontwikkelden de onderzoekers het Heart-to-Heart authenticatiesysteem, dat de hartslag van de patiënt als een wachtwoord gebruikt. Het systeem vereist dat de software in het medische implantaat met het "aanraak" apparaat communiceert. Dit apparaat wordt de 'programmer' genoemd.

Als medisch personeel de patiënt aanraakt, detecteert de programmer een elektrocardiogram (EKG) handtekening van het kloppende hart. De interne en externe apparaten vergelijken de details van de EKG en voeren een "handshake" uit. Als de signalen die door beide apparaten op hetzelfde moment zijn verzameld overeenkomen, worden ze het wachtwoord dat toegang tot het apparaat geeft.

"Het signaal van je hartslag is elke seconde anders, dus is het wachtwoord ook elke keer anders", aldus Rostami. "Je kunt het zelfs een minuut later niet meer gebruiken." Het systeem zal in november tijdens de Computer and Communications Security conferentie in Berlijn worden gepresenteerd.

Tiener opgepakt wegens DDoS-aanval op Spamhaus

Duitse politie lanceert online veiligheidskompas

Reacties (12)

26-09-2013, 17:35 door vimes

Dus als een kwaadwillende zo'n extern apparaatje kan namaken hoeft ie je alleen maar even aan te raken om je hart in de disco stand te zetten?

26-09-2013, 21:08 door [Account Verwijderd]

[Verwijderd]

26-09-2013, 23:16 door schele

Euh... heb je nou niet net een pacemaker om onregelmatig kloppen van ht hart tegen te gaan?
Maw, onregelmatig klinkt niet als een betrouwbaar wachtwoord...

27-09-2013, 00:27 door Anoniem

Als medisch personeel de patiënt aanraakt, detecteert de programmer een elektrocardiogram (EKG) handtekening van het kloppende hart.

Dit is wat anders dan de PDF beschrijft:

"touch-to-access": A medical instrument (e.g., commercial device programmer), which we call generically a Programmer, obtains access to a patient's IMD if and only if it has significant physical contact with the patient's body.

Het is dus niet zo dat medisch personeel dat de programmer bij zich draagt alleen maar zelf fysiek contact met de patiënt moet maken om de hartslag van de patiënt op te vangen (wat ik een indrukwekkende prestatie zou vinden, op het ongelofelijke af), de programmer zelf moet in significant contact gebracht worden met het lichaam van de patiënt. Dat maakt misbruik in het voorbij lopen door iemand die zo'n apparaat weet te bemachtigen ondoenlijk. De PDF bevat niet het plaatje dat hier is getoond maar een ander plaatje waar de programmer rechtstreeks in contact met de patiënt wordt gebracht.

27-09-2013, 06:19 door Anoniem

Door vimes: Dus als een kwaadwillende zo'n extern apparaatje kan namaken hoeft ie je alleen maar even aan te raken om je hart in de disco stand te zetten?

Dat namaken van een gewone draadloze programmer is al gelukt en aangetoond dat je dat van een afstand aanpassing kan doen, deze oplossing verkleint voorlopig de cirkel vanaf waar de 'aanval' kan plaatsvinden.
Nu de vraag hoe gedetailleerd moet het ECG zijn, als je bijvoorbeeld de hals slagader ziet kloppen van een afstand kan dat al nauwkeurig genoeg informatie op leveren?

27-09-2013, 06:28 door Anoniem

Hoelang houdt it stand? Er wordt toch al druk gewerkt aan medische analyze apparatuur die van buiten scanned, zoals in de Science Fiction. Dus dat Near Field Communicatoon idee (benodigd aanraken an patient) is maar tijdelijk denk ik.
En in de stand even aanraken is voldoende.

Ik heb geen idee hoe snel je zo'n implantaat kan aanpassen, maar misschien de gehele communicatie encryptie van deze hartslag methode?

27-09-2013, 08:31 door N4ppy

Door AnonymousSecurity: Hebben ze gelijk de hartslag in kaart..hoezo privacy?

Hahahahahaha alsof een cardioloog niet 80 meter (digitale) hart filmpjes heeft (check even je alu hoedje)

@Shele het gaat om het tempo, subtiele verschillen etc. Elk hart klopt net even anders, spieren zijn anders kleppen etc etc

Vraag me alleen af hoe dit werkt als het hart (even) niet klopt?

27-09-2013, 08:35 door Anoniem

Jullie begrijpen blijkbaar niet hoe het werkt.

Door aanraking ontstaat bij beide apparaten een identiek hartritme. Al klopt het hart maar 1 keer per minuut, het gaat erom dat het patroon aan beide kanten hetzelfde is.

27-09-2013, 09:10 door Anoniem

"Hebben ze gelijk de hartslag in kaart..hoezo privacy?"

Lol, is jouw hartslag altijd gelijk ofzo. Zie ook de reactie van 8:35.

Leg eens uit wat dit in hemelsnaam met privacy te maken heeft.

27-09-2013, 09:14 door Anoniem

"alsof een cardioloog niet 80 meter (digitale) hart filmpjes heeft (check even je alu hoedje)"

Kennelijk wil AnonymousSecurity indien hij behandeld wordt door een cardioloog zijn hartslag verbergen, omdat hij vindt dat zijn arts geen need to know heeft om te weten wat zijn hartslag is. Waarbij de cardioloog alleen die hartslag te weten kan komen indien AnonymousSecurity zichzelf vrijwillig op deze manier authenticeert, en daarbij naar zijn mening zijn eigen privacy schendt.

Sommige mensen zijn nu eenmaal paranoia ;)

27-09-2013, 17:49 door [Account Verwijderd]

[Verwijderd]

27-09-2013, 17:51 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer