Pacemakers door onveilig protocol kwetsbaar voor aanvallen
Pacemakers en implanteerbare hartapparaten van fabrikant Medtronics maken gebruik van een onveilig telemetrieprotocol en zijn hierdoor kwetsbaar voor aanvallen, zo waarschuwt de Amerikaanse overheid. Een aanvaller in de buurt van een slachtoffer kan hierdoor op afstand de pacemaker manipuleren.
Voor de communicatie tussen monitoringapparaten en pacemakers wordt er gebruik gemaakt van het draadloze Conexus-telemetrieprotocol. Via dit protocol, dat werkt via radiofrequenties, kunnen programmeer- en monitoringapparaten data van de pacemakers uitlezen en de instellingen aanpassen. Het protocol maakt echter geen gebruik encryptie, authenticatie of autorisatie. Daardoor kan een ongeautoriseerd persoon de pacemaker of programmeer- en monitoringapparaten op afstand manipuleren, aldus de Amerikaanse toezichthouder FDA.
Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,3 beoordeeld. Het onversleuteld versturen van gevoelige gegevens kreeg een score van 6,5. Medtronic zou inmiddels aan beveiligingsupdates werken, maar wanneer die verschijnen is nog niet bekend (pdf). De fabrikant adviseert patiënten om de pacemakers en monitoringapparaten te blijven gebruiken. "De voordelen van remote monitoring zijn groter dan de praktische risico's dat deze kwetsbaarheden worden misbruikt."
Inderdaad, volkomen right.
Het aantal moordlustige electronica nerds dat met een werkende pacemaker-reconfigurator rondloopt binnen zendbereik van een drager van een kwetsbare pacemaker is echt bijzonder klein.
Daarintegen zal er inderdaad een meetbaar (gemeten) nut zijn van remote monitoring van dragers van de pacemaker.
Het risicoprofiel is misschien net anders wanneer je werkelijk doel bent van statelijke actoren, maar dan loop je uberhaupt meer risico's op een niet-natuurlijke dood . Ze vinden het in die gevallen niet eens erg als het (h)erkend wordt als moord - ter afschrikking van anderen.
Je snapt ook werkelijk geen bal van het enorm grote nut van deze remote monitoring hè?
Het is weer de zo voor de hand liggende o zo voorspelbare eerste onbenullige reactie van haantjes de voorsten die met domme one-liners denken een IQ van +130 te etaleren en daarmee aantonen niet veel hoger te scoren dan ten uiterste 85.
Degenen die zo'n hulpmiddel dragen zijn maar wat blij dat voor het analyseren van de functionaliteit van deze pace-makers en/of ICD* je niet meer elke 2 jaar open gesneden hoeft te worden als een braadkip om het maar eens plastisch uit te drukken!
Mijn advies: Eerst informatie vergaren over waarop je denkt te reageren. Dan goed nadenken en formuleren. In concept je post opstellen. Dan pas publiceren.
Oh ja. en alsjeblieft zeg: Nederlands a.u.b. !
(*) ICD: https://www.hartstichting.nl/hart-en-vaatziekten/behandelingen/icd
Op een CVSS v3 schaal, die loopt van nul tot tien, is een 9,3 zeer hoog te noemen, want het probleem wordt daarmee als kritiek aangemerkt. Reken maar dat Medtronics er hard aan werkt. Hun goede naam staat op het spel.
https://en.wikipedia.org/wiki/CVSS#Version_3
Vergelijk dit maar met een remote exploit op OpenBSD.
Oh ja. en alsjeblieft zeg: Nederlands a.u.b. !
Je snapt ook werkelijk geen bal van het enorm grote nut van deze remote monitoring hè?
Het is weer de zo voor de hand liggende o zo voorspelbare eerste onbenullige reactie van haantjes de voorsten die met domme one-liners denken een IQ van +130 te etaleren en daarmee aantonen niet veel hoger te scoren dan ten uiterste 85.
Degenen die zo'n hulpmiddel dragen zijn maar wat blij dat voor het analyseren van de functionaliteit van deze pace-makers en/of ICD* je niet meer elke 2 jaar open gesneden hoeft te worden als een braadkip om het maar eens plastisch uit te drukken!
Mijn advies: Eerst informatie vergaren over waarop je denkt te reageren. Dan goed nadenken en formuleren. In concept je post opstellen. Dan pas publiceren.
Oh ja. en alsjeblieft zeg: Nederlands a.u.b. !
(*) ICD: https://www.hartstichting.nl/hart-en-vaatziekten/behandelingen/icd
Wat een flame war (ook lekker Nederlands...) meteen zeg. Best flauw die insinuaties over mijn IQ.
Ik begrijp het nut maar al te goed. Een collega van me loopt er mee rond. Hij heeft me er veel over verteld.Een absolute zegen.
Mijn reactie betreft de "Wij van WC-Eend" geruststellende woorden van de fabrikant. Ik zie nu aan de reacties dat dat niet duidelijk was. Mijn fout.
Dan zou wel handig zijn als er een gedocumenteerde lijst is van die weinige hardware fabrikanten, die dat wel consequent doen. Dan kan men de rest van de beunhazen, als middenstander en consument, namelijk botweg negeren.
Ken jij zo'n lijst?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
