Hackers leggen beveiligingsprobleem insulinepomp bloot

Door Yoeri Nijs, donderdag 27 oktober 2011 11:47, 135 reacties • Feedback
Submitter: Cafe Del Mar

Hackers hebben een ernstig probleem met de draadloze besturing van insulinepompen blootgelegd. Tot een afstand van honderd meter kan de pomp in theorie zo worden ontregeld, dat het apparaat de patiënt een fatale dosis toedient.

De kwetsbare pompen zijn van de firma Medtronic. Een hacker ontdekte het lek al in augustus, maar werknemers van McAfee hebben onlangs een exploit geschreven. Met behulp van eigen software namen zij de pompbesturing over. Kwaadwillenden zouden op dezelfde manier suikerpatiënten een dodelijke overdosis kunnen geven.

Jack Barnaby van McAfee demonstreerde de kwetsbaarheid tijdens de Hacker Halted-conferentie in de Verenigde Staten. De Medtronic-pompen maken gebruik van kleine radiozenders, die data onversleuteld verzenden en ontvangen over de 900Mhz-frequentie. Daarmee kan het suikergehalte voor de patiënt worden aangegeven. Volgens Barnaby kan de draadloze pomp worden gekraakt met zelfgeschreven software en een antenne die het apparaat kan lokaliseren. Het is niet nodig om het serienummer te kennen, stelt Barnaby tegenover Reuters. Hoe zijn hack exact werkt, is niet duidelijk.

Via een draagbaar apparaat kan de patiënt zijn bloed meten, waarna de bloedwaarden draadloos naar een insulinepomp worden verzonden. Die meet vervolgens de hoeveelheid insuline die een suikerpatiënt nodig heeft. De precieze hoeveelheid wordt via een naaldje in de huid gespoten.

McAfee en Medtronic willen niet aangeven welke pompen het betreft, maar het zou om modelnummers 712 en hoger gaan. Volgens Reuters gebruiken wereldwijd tweehonderdduizend patiënten het apparaat. Medtronic heeft twee pompen op de markt, maar ondersteunt ook nog zes oudere modellen. Hoewel er geen gevallen van aanvallen op insulinepompen bekend zijn, gaat Medtronic het lek naar eigen zeggen snel dichten. Barnaby: "We hebben het over programmacode die tien jaar geleden werd ontworpen. Er was toen niet echt nagedacht over de beveiliging van deze systemen."

Een pomp van Medtronic

Reacties (135)

+3 sfranken
27 oktober 2011 12:59

Wat een hoop heisa in de comments hierboven zeg.
Dat ding is 15 jaar geleden ontworpen en de code is 10 jaar oud. Tuurlijk zitten er dan bugs in maar gelukkig is om deze snel en goed heen te werken:
je zet gewoon je afstandsbediening uit in het instellingen menu van de insulinepomp en je bent veilig aangezien de pomp dan de ontvanger uitschakelt (om je batterij te sparen).

Ook is het zo dat je moeilijk een fatale dosis kan toedienen aangezien de insulinepomp gelimiteerd is op 25 eenheden in een keer. Zoals ik hierboven zei merkt elke diabeet dat wel aangezien je de hypo van ver voelt aankomen. Als je dat niet voelt ben je ontregeld en heb je in de regel geen pomp maar zit je nog aan de spuit.

En als je eenmaal ziet wat er aan de hand is heb je zo stappen genomen. (112 gebeld, noodinjectie toegediend die je uit een extreme hypo moet helpen e.d).

Een beetje een storm in een glas water in mijn ogen dus. Bovendien is het al oud nieuws, omdat de hack hiervan op BlackHat was aangekondigd.

increddibelly
27 oktober 2011 14:22

ik heb zo'n ding. Hij kan via lage sterkte radiosignalen met andere apparaten communiceren, t.w. een usb dongle, bloedsuikermeter, bloedsuikersensor en (dit is de crux) een afstandsbediening. Dik handig. Het bereik van deze zenders is slechts een paar meter.

Deze 'hack' is werkelijk een non-issue, en ik zal uitleggen waarom:
Voordat je deze truuk kunt toepassen, moet je de specifieke remote control van de patient simuleren - jouw fake remote moet hetzelfde ID hebben als die van je slachtoffer. Laten we aannemen dat je dat met een knutselwerkje software wel voor elkaar krijgt. Dan moet je een radiozender hebben (is dat niet illegaal in nederland?) maar goed, ook dat zal vast nog wel lukken.

Dan moet je dicht in de buurt zijn van je slachtoffer - ik zou bijna zeggen line of sight, en dan zijn er wel veel efficientere 'oplossingen' denkbaar.
Dan moet je via je zelfgeknutselde afstandsbediening een enorme dosis toedienen. En dat is waar het mis gaat:

zo'n pomp geeft piepjes bij ALLES wat hij doet - en als een diabetespatient ERGENS op gespitst is, dan zijn het die specifieke piepjes van de pomp. Een piepje van je pomp en je laat alles vallen wat je doet, check even de status, en je gaat weer verder. Dat zit diep in je systeem, net als ademen en lopen.
(Die piepjes zijn misschien 20-30dB, maar toch ben ik zo op die piepjes geconditioneerd dat ik er 's nachts wakker van word als hij me wil vertellen dat de batterij op 20% staat. Je gaat mij dus niet vertellen dat iemand met een fake remote ook maar *iets* ongemerkt kan uitspoken.)

Met één druk op de knop ziet het slachtoffer dat er een dosis is gestart, en kun je die met nog een druk op de knop gewoon cancelen - voordat er een schadelijke dosis binnen is gekomen.
na twee keer zo'n geintje verbreekt de patient de connectie met z'n eigen afstandsbediening en kan de third party - die dezelfde, zojuist ontkoppelde remote simuleert - ook *niets* meer beginnen.

storm in een glas water.

edit: iets duidelijker gemaakt
edit2: zie ook de uitstekende uitleg van sfranken

[Reactie gewijzigd door increddibelly op 27 oktober 2011 14:29]

0 Filip Maurits
@increddibelly • 27 oktober 2011 20:00

ik heb zo'n ding. Hij kan via lage sterkte radiosignalen met andere apparaten communiceren, t.w. een usb dongle, bloedsuikermeter, bloedsuikersensor en (dit is de crux) een afstandsbediening. Dik handig. Het bereik van deze zenders is slechts een paar meter.

(...) Dan moet je een radiozender hebben (is dat niet illegaal in nederland?) maar goed, ook dat zal vast nog wel lukken.

Je huis staat vol "lage sterkte zenders", dus natuurlijk is het niet illegaal... (WiFi, Bluetooth, DECT, sommige afstandsbedieningen, draadloze wat-niet-allemaal).

HeSitated
27 oktober 2011 20:41

Hier heeft Scott Hanselman al op 5 augustus over geschreven in zijn blog:

http://www.hanselman.com/...alisticFearMongering.aspx

+1 M.l.
27 oktober 2011 11:51

Gebruiken we die dingen ook in Nederland?

+2 sfranken
@M.l. • 27 oktober 2011 12:46

Ja, Minimed/medtronic is een Limburgs bedrijf

+2 Gurbe de n00b
@sfranken • 27 oktober 2011 13:00

Ik heb er ook een, het is ook een veel gebruikt type. Op de typenummers 512, 522, 712 en 722 draait dezelfde firmware. De x1x heeft een klein en de x2x een groot reservoir. Ik ben benieuwd of ik ook een firmware update krijg. Heb nog tot nu toe nooit een update gehad in ieder geval.

Je merkt ook wel wanneer het systeem insuline injecteert, hij begint dan piepjes af te geven. Maar ik kan me voorstellen dat je in de nacht hier niet bewust van bent.

0 Delgul
@Gurbe de n00b • 27 oktober 2011 14:22

Piepjes zijn vast ook wel softwarematig uit te zetten hoor!

Ik heb je trouwens al dik een uur niets zien posten! Je bent toch niet al slachtoffer?

3p0x
@Delgul • 27 oktober 2011 15:35

Hij gaat piepen of trillen

Ik heb ook zo'n pomp en sensor. Verder maak ik me niet zo heel druk, je moet dicht in de buurt staan wil je wat kunnen versturen naar de pomp.

+1 Hoowgii
@3p0x • 27 oktober 2011 17:39

Tot een afstand van honderd meter kan de pomp in theorie zo worden ontregeld, dat het apparaat de patiënt een fatale dosis toedient.

100 meter is ver genoeg van jou vandaan om geen sporen achter te laten

3p0x
@Hoowgii • 28 oktober 2011 09:44

In theorie ja, met een paar muren wordt dit al ernstig beperkt...begint ie namelijk te piepen dat de sensor buiten bereik is

Ralph Smeets
@sfranken • 27 oktober 2011 16:24

Medtronic is niet Nederlands maar Amerikaans (quote van Wikipedia):

Medtronic was founded in 1949 in a garage in northeast Minneapolis by Earl Bakken and his brother-in-law Palmer Hermundslie as a medical equipment repair shop. They originally wanted to sell basketball pumps due to a shortage in the Midwest in the 20th century. Bakken began as a graduate student in electrical engineering at the University of Minnesota before he gave up his studies to focus on Medtronic.

+1 Dutchie01
@M.l. • 27 oktober 2011 11:56

Haribo112
@M.l. • 27 oktober 2011 12:08

"we" niet, maar als diabetespatiënt kan het zijn dat je er zo een krijgt van het ziekenhuis ja.

+1 The Bula King
27 oktober 2011 12:47

Mechanische toestellen en hun sturingen gaan ook wel eens stuk.
Ik heb toch mijn twijfels hoe veilig zo'n pomp kan zijn als bv de meting een veel te hoge waarde meet, 600 en het zou maar 150 zijn.
Gebeurd die dosering dan automatisch, of zal er toch nog een eindcontrole zijn van de patiënt zelf?

+2 Dutchie01
@The Bula King • 27 oktober 2011 13:00

een pomptherapie betekend niet dat alles automatisch werkt en dat je er niks meer aan hoeft te doen. Hij geeft een kleine hoeveelheid insuline elk uur i.p.v. als je handmatig prikt 4x daags een grote hoeveelheid in 1 keer.

Je moet zelf handmatig blijven meten ( 1 druppel bloed uit je vinger en je krijgt binnen 5 sec je waarde te zien. en die vergelijk je met je pomp ( als je de allernieuwste pomp gebruikt die 24/7 je waarde meet ).

mocht de infuusnaald eruit zijn geschoten en je hebt het niet in de gaten krijg je een veel te hoge waarde. dus zelfcontrole moet je altijd blijven doen.

BGB4rn
@Dutchie01 • 27 oktober 2011 14:41

dat 24/7 suiker meten doet de 722 ook al alleen worden de sensoren niet vergoed

increddibelly
@The Bula King • 27 oktober 2011 14:34

de dosering gaat nooit automatisch - juist om deze reden. Je pomp piept tegen je, zegt "Hoge Bloedsuiker" en daar laat hij het bij. aangezien het niet relaxt voelt, stel je dan zelf een extra dosis in.

+1 haarbal
27 oktober 2011 13:12

waarom zit er eigenlijk draadloos bij zo'n insulinepomp?

V3g3ta

@haarbal • 27 oktober 2011 13:33

Tegenwoordig heb je ook sensors, die je ook op je lichaam moet aanbrengen, die het suikergehalte in de gaten houden en die draadloos doorsturen naar je pomp, die op zijn beurt dan weer insuline kan toedienen mocht het suikergehalte te hoog zijn. Daarmee willen ze een kunstmatige alvleesklier na doen. Daarnaast heb je ook nog een afstandsbediening voor de pomp, ook draadloos dus. Al gebruik ik de afstandsbediening nooit, want het nadeel is dat je niet ziet wat je pomp doet, en dat wil ik wel zien.

[Reactie gewijzigd door V3g3ta op 27 oktober 2011 13:34]

spine
27 oktober 2011 12:30

Waarom kan dat apparaat eigenlijk een dodelijke dosis toedienen?

+1 Dutchie01
@spine • 27 oktober 2011 12:37

de pomp zorgt ervoor dat de drager insuline toegediend krijgt.
dus i.p.v. 1 eenheid kan de hacker er b.v. 100 van maken, waardoor de drager in een hypo terecht komt.

+2 sfranken
@Dutchie01 • 27 oktober 2011 12:55

En dan nog is de logica niet helemaal 100% dicht. Een beetje diabeet voelt een hypo VER van te voren al aankomen en kan dan stappen ondernemen.

Het eerste wat je dan doet (met een pomp) is de toevoer van insuline uitzetten. 100 eenheden duurt met zo'n ding best lang dus dat zie je dan.

En de pomp is gelimiteerd op 25 eenheden maximaal in een keer

BGB4rn
@sfranken • 27 oktober 2011 13:20

nou... die is instelbaar en mijne staat op 20

V3g3ta

@sfranken • 27 oktober 2011 13:24

Ik zie een hypo pas aankomen als ik rond de 4 sta en mijn pomp (754) is niet gelimiteerd tot 25, maar 75 en de insuline toevoer gaat een stuk sneller dan bij mijn vorige pomp, 75 eenheden zit er binnen een paar minuten wel in.

increddibelly
@V3g3ta • 27 oktober 2011 14:27

gelukkig is een paar minuten genoeg voor een lekker shot glucagen

lang geleden alweer -knock on wood

0 Dutchie01
@sfranken • 27 oktober 2011 13:20

goh misschien was het maar een voorbeeld dus neem de getallen niet al te serieus ?
en dat jij je hypo's voelt aankomen is fijn voor je en hopelijk blijft je dat ook aanvoelen...helaas voor de rest, waar dat niet meer bij lukt...

0 sfranken
@Dutchie01 • 27 oktober 2011 15:02

Als je een hypo niet aan voelt komen is dat meestal een teken dat je ontregeld/ongevoelig bent. Als je arst diabeteszorg serieus neemt ga je dan terug op sputen van insuline met een pen.

+1 Mijzelf
@spine • 27 oktober 2011 13:54

Omdat de variatie in benodigde insuline vrij groot is. De dosis die je nodig hebt na het eten van, laten we zeggen, een chocolade-ijsje, kan je doden als je hem 's morgens voor het ontbijt krijgt.

+1 RutgerM
27 oktober 2011 11:53

Hoe kun je dergelijke data, uberhaubt belangrijke data, draadloos onversleuteld verzenden ?

0 De_Delph
@RutgerM • 27 oktober 2011 11:55

Precies, waarom kan dit niet gewoon bedraad?

+2 Lampje
@De_Delph • 27 oktober 2011 12:14

Dit is gedaan, zodat ouders bij kinderen insuline kunnen toedienen op afstand. Maar ook vrouwen die hun insuline pomp in hun BH dragen bijvoorbeeld. Scheelt een hoop 'gegraai' natuurlijk he!

Als het in dit geval niet om de insuline toediening gaat, dan kan het ook voor de bloedsuiker waardes zijn, en dan gelden dezelfde voorbeelden als hierboven natuurlijk.

3p0x
@Lampje • 27 oktober 2011 15:39

Laat ze die functie er maar helemaal uit halen voor degene die het niet gebruiken, lijkt mij de makkelijkste oplossing

(vind het een erg nutteloze toevoeging, je ziet namelijk niet de hoeveelheid die je toedient...)

mvdejong
@De_Delph • 27 oktober 2011 12:00

Omdat je dan met een stekker in je huid rondloopt, waaromheen de huid gaat loslaten, zodat je een fantastische ingang voor bacterieen hebt ?

watercoolertje

Hackers

@mvdejong • 27 oktober 2011 12:04

Helemaal niet de apparatuur zit niet onder je huid. enige wat onder je huid gaat is een naald zelf...

En ook dat is niet goed/geweldig, ik heb 10 uur met een naald in me arm gelopen en sinds dien (2 maanden terug) heb ik daar een onderhuids bultje wat vrij gevoelig is

[Reactie gewijzigd door watercoolertje op 27 oktober 2011 12:05]

+2 sfranken
@watercoolertje • 27 oktober 2011 12:47

Nee, de naald haal je er na inbrengen uit zodat alleen het holle buisje overblijft. Dit verwissel je na 2 - 3 dagen. Ik heb zelf zo'n ding gehad namelijk

RoadRunner84
@mvdejong • 27 oktober 2011 12:06

Nee.
Er is een naald met slangetje in je huid, ongeacht of de pomp (extern) draadloos is. Het draadlose deel is hier tussen een meetaparaat (dat je zelf bediend) en de pomp. Dit deel kan wel degelijk bedraad, of (zoals meestal) gewoon met knopjes op de pomp instellen afhankelijk van de gemeten waarde van het meetaparaat (in de hackerswereld noemen ze dat en air gap).

V3g3ta

@RoadRunner84 • 27 oktober 2011 13:29

Er zit geen naald in je huid, de naald word gebruikt om de canule in te brengen (plastic buisje) en die canule blijft onderhuids zitten.

0 Dutchie01
@De_Delph • 27 oktober 2011 12:04

omdat tegenwoordig alles maar draadloos moet worden ;
1: zodat je niet 'verbonden' bent met een infuussetje+naaldje in je lichaam.
2; zodat je met je blackberry je pomp kunt regelen tegenwoordig.
...

Rembert
@De_Delph • 27 oktober 2011 12:09

Jij steekt de stekker van het uitlees apparraat liever in je kont of zo? Of laat je een connector monteren naast je navel? Mvdjong geeft al aan waarom dit niet zo handig is (bacterien).

Aan andere kant, uitlezen door middel van een onderhuids geplaatste sensor waarmee je kontakt kan maken door het uitlees apparaat er tegenaan te drukken lijkt me wel een mogelijkheid.

Werd de hack eerst bij MedTronic gemeld of werd dit pas gedaan nadat McAfee de exploit had geschreven? Raar trouwens, een virusscanner bakker die een exploit bouwt.

RoadRunner84
@Rembert • 27 oktober 2011 12:10

zoals hierboven: Je zou de stekker in je pomp prikken, en die pomp hang aan je broekriem.

+1 xheroxkefx
27 oktober 2011 11:50

dit zou toch wel levensbedreigend zijn, mocht je aan zo'n pomp liggen en je hoort dit nieuws zal het wel flink schrikken zijn.

aan de ene kant wel fijn dat de hackers zo bezig zijn, want zo worden een hoop gaten gedicht in de beveiliging

ajakkes
@xheroxkefx • 27 oktober 2011 11:56

Nou, nou, ik denk dat andere methodes om iemand uit de weg te ruimen vaak goedkoper, efficiënter en sneller uit te voeren zijn. Het aantal diabetes patiënten dat rekening houdt met een aanslag op zijn leven lijkt mij niet erg groot.

Maar als je deze methode dan toch toepast, zal het wel lastig zijn de dader te vinden als deze drie huizen verder geparkeerd staat en je een overdosis insuline toegediend krijgt terwijl je je even hebt afgezonderd van de rest van de wereld.

RoadRunner84
@ajakkes • 27 oktober 2011 12:08

Veel succes met iemand veroordelen als je alleen maar in de buurt geweest bent... klinkt als the perfect crime. Met andere/goedkopere methoden zal je toch wel een spoor achterlaten.

Eagle Creek
@RoadRunner84 • 27 oktober 2011 12:12

Maar als we nu reeel zijn: natuurlijk is het feit dat het mogelijk is, ernstig. Maar hoe groot is de kans dat op deze manier een moord gepleegd zal gaan worden?

Je hebt ten eerste al iemand nodig met suikerziekte, en ten tweede iemand met een kwetsbaar type pomp. Dit limiteert je aanvalsgroep aanzienlijk.

Dan dien je een programma te schrijven om dit te ontregelen. Wellicht dat je kant-en-klaar iets kunt vinden op internet, maar de markt hiervoor zal niet overlopen.

Dan dien je over de middelen te beschikken om het uit te voeren.

Voor de gemiddelde crimineel te hoog gegrepen, de gemiddelde moordenaar te complex. En VIP's en staatshoofden wooden al eeuwen omgelegd met allerhande geraffineerder methoden.

Het enige dat ik nog kan bedenken is een terroristische aanval met een zender die alle pompen in diens buurt kan verstoren. Maar dan nog blijven bovenstaande zaken min of meer van kracht.

Dus ja, het is denk ik een risico. En ja, dat "zou ook niet moeten kunnen". Maar we moeten het wel een beetje in perspectief blijven zien.

[Reactie gewijzigd door Eagle Creek op 27 oktober 2011 12:13]

+1 atze
@Eagle Creek • 27 oktober 2011 12:31

Het idee / gevaar van een terroristische aanval kwam ook al in mijn op. Ik vraag me nu vooral af hoe het zit met andere medische (of anders kritische) apparatuur. Zijn die wel goed beveiligd? Zijn daar eisen voor?
Beveiliging van je communicatie zou niet het eerste zijn wat in me opkomt als ik een medisch apparaat zou ontwikkelen.

+1 TheFalconer
@atze • 27 oktober 2011 13:28

Het idee / gevaar van een terroristische aanval kwam ook al in mijn op.

Eeen terroristische aanslag op mensen die suiker en zo'n pomp hebben! Hoop dat Homeland Security hier een antwoord op heeft. Dit is een gevaar wat we zeker niet mogen onderschatten, Al Quaida is al gezien op de diabeten poli van het plaatselijke ziekenhuis! Battlefield 4, the Sugar Pump Insurgency!

Waar men zich al niet over kan opwinden.

+1 GeoBeo
@Eagle Creek • 27 oktober 2011 18:02

Je laat het hier lijken alsof je expert moet zijn om deze hack uit te voeren. Ik kan je echter vertellen dat elke hobbyist of elke persoon die een technische studie gevolgd heeft deze hack met gemak kan uitvoeren.

Dit is een hack die nog even een flink stukje makkelijker is dan bijvoorbeeld de OV-chipkaart hack. Ik vind het werkelijk ongelovelijk dat een bedrijf dat deze pompen maakt, niet aan encryptie denkt. Dit betekend dus gewoon dat de gemiddelde WIFI verbinding oneindig veel veiliger is dan de aansturing van je insulinepomp.

Recept voor deze hack:
1. 900Mhz radio module kopen met dezelfde modulatie techniek als de insuline pomp (kun je waarschijnlijk bij sparkfun o.i.d. krijgen voor een paar 10tjes).
2. Radio aan je PC of een microcontroller hangen.
3. Luisteren naar de commando's die naar de pomp gestuurd worden.
4. Zelf die commando's sturen met je PC + radiomodule of microcontroller + radio.

OF:

De exploit van McAfee lezen en namaken.

Een beetje hobbyist heeft binnen 1 dag een zakformaat apparaatje dat constant aan staat en iedereen met zo'n pomp die in de buurt komt letterlijk afmaakt. In termen van geld: voor hoogstens 1000 euro huur je zo'n hobbyist/freelancer/student in die zo'n apparaat voor je in elkaar knutseld (even vanuit de moordenaar gedacht).

Dus om je vraag te beantwoorden: Maar hoe groot is de kans dat op deze manier een moord gepleegd zal gaan worden? --> Ik denk dat die kans zeer groot is als deze apparaten daadwerkelijk gebruikt worden of gebruikt gaan worden in hun huidige vorm.

+1 pegagus
@GeoBeo • 27 oktober 2011 20:51

Als het zo simpel is, ga je het niet redden. De hoeveelheid toe te dienen insuline is gelimiteerd op een door de gebruiker in te stellen hoeveelheid. Bij mijn zoontje is dat 6 eenheden. Daar zou hij knock out van kunnen gaan, maar voor die tijd krijgt hij al een gigantische honger.

Daarbij moet je ook wel weten wat het serienummer is van de afstandsbediening die je wilt simuleren.

Waarschijnlijk ligt het dus wel iets ingewikkelder.

0 hackerhater

@pegagus • 28 oktober 2011 12:43

En wie zegt dat je die limiet niet zo kan aanpassen gezien dit de medische interface is?

increddibelly
@hackerhater • 1 november 2011 11:54

de specs van de afstandsbediening zeggen dat.

dit kan niet via de afstandsbediening, alleen via de pomp zelf. je denkt er echt veel te simpel over.

three2five
@Eagle Creek • 27 oktober 2011 12:29

Om maar een aanvulling te geven op Roadrunner84
De perfect crime voor de intelligente seriemoordenaar. Voor bepaalde typen seriemoordenaars maakt het totaal niet uit wie ze vermoorden. Als je dit combineert met het gegeven dat bepaalde typen seriemoordenaars uiterst intelligent zijn

0 TheFalconer
@three2five • 27 oktober 2011 13:24

Beetje teveel TV gekeken de laatste tijd?

Tjeeeee... wat een getweaker over iets wat toch wel zeer theoretisch is. Tuurlijk is het een probleempje en tuurlijk zal het opgelost worden. Maar dit is onzin nieuws dat daarnaast al lang bekend was.

+1 mae-t.net
@TheFalconer • 27 oktober 2011 14:54

Ik zie een klein probleempje met het afdoen als onzinnieuws (zonder spatie a.u.b!)...

Een beveiligingsprobleem is vrijwel altijd zeer theoretisch en vergezocht. Precies tot aan het moment dat iemand het succesvol misbruikt. Dan is het ineens zeer stom en dankbaar voer voor een leger advocaten, rechters, etc.

Er is dus geen excuus om een dergelijk probleem niet snel op te lossen. Gelukkig snapt de fabrikant dat maar al te goed.

P.S. Een terroristische aanslag op iets anders dan een hospitaal voor suikerpatienten lijkt me inderdaad ook erg vergezocht. Maar 1 of meer losse moorden zijn natuurlijk zonder meer mogelijk.

[Reactie gewijzigd door mae-t.net op 27 oktober 2011 14:57]

+1 subnet 12
@TheFalconer • 27 oktober 2011 15:00

Als je een klein beetje kijkt, wat voor gekken er rondlopen (kim de gelder, ronald janssens ..... name it, er komen er genoeg in het nieuws). Die gewoon moorden, omdat ze de kick van macht over iemand krijgen.

Dan lijkt me dit een meer dan reëel gevaar. Zo'n psycho die er van kick van mensen te zien kreperen, en die gewoon vanop afstand kan toekijken, en ondertussen de prefecte misdaad begaan heeft.

Gelukkig dat dergelijke zaken ondekt worden, en onderzocht worden.

breakers
@subnet 12 • 30 oktober 2011 14:08

Zo'n figuur als Kim de Gelder is niet zo'n goed voorbeeld, want die doen het juist mede voor het spektakel, voor de aandacht. Daarom draagt hij ook een masker, of was het schmink?

Maar iemand geruisloos een overdosis insuline geven is juist het tegenovergestelde van spectaculair.

+1 Grauw

@Eagle Creek • 27 oktober 2011 12:45

Makkelijk om zo je concurrent uit te schakelen door de CEO of CTO of andere bedrijfsessentiële werknemer om zeep te helpen. Zijn zat mensen die diabetes hebben.

Of er zal maar een gek zijn die zo’n zender in elkaar sleutelt en daarmee dan in een volle metro gaat staan.

[Reactie gewijzigd door Grauw op 27 oktober 2011 12:47]

+1 Delgul
@Eagle Creek • 27 oktober 2011 14:19

Op een conferentie of bijeenkomst van suikerpatienten kan het extreem effectief zijn gok ik zo...

0 morrowyn
@Eagle Creek • 27 oktober 2011 13:00

Misschien dat bepaalde mafioso's of politici diabeet zijn, wie weet ...

Nibble
@ajakkes • 27 oktober 2011 13:03

En wat denk je van een gijzeling?
Als ik weet dat jij zo'n ding hebt ik je bedreig om te leggen tenzij je 5000 euro overmaakt op een buitenlandse bankrekening? Of nog mooier; je kinderen of je vrouw....
Klinkt als een snelle methode om rijk te worden.
Laat ze maar eens bewijzen dat jij iets met die bedreiging te maken hebt en als je iemand omlegt op afstand zonder vingerafdrukken of ander bewijsmateriaal!

+1 junkbuster
@Nibble • 27 oktober 2011 13:27

Als je als diabeet met een insulinepomp al zoiets vermoedt of een storing, dan koppel je subiet de insulinepomp af (bij wijze van spreken kun je de slang lostrekken) en schakel je over op insuline-injecties met een pen of spuit. Godzijdank zijn het externe apparaten, geen geïmplanteerde pompjes.

V3g3ta

@Nibble • 27 oktober 2011 13:36

Het bewijsmateriaal zit min of meer in de pomp, er word bijgehouden wat er word toegediend, dus je zal kunnen zien dat er een overdosis aan insuline is toegediend.

Pathogen
@V3g3ta • 27 oktober 2011 13:53

Maar door wie is de vraag?

IStealYourGun
@ajakkes • 27 oktober 2011 14:19

Eigenlijk is dat een héél makkelijke en goedkope manier. Een overdosis aan insuline is zeer doeltreffend en moeilijk opspoorbaar. Tenzij er een heel grondige autopsie wordt uitgevoerd zal de diagnose een natuurlijke dood zijn.

Neem dar nog eens bij dat je het vanop afstand kan uitvoeren (geen getuigen, geen DNA sporen) en je hebt de perfecte cocktail voor een oplosbare moord.

0 stresstak
@IStealYourGun • 27 oktober 2011 16:20

en je hebt de perfecte cocktail voor een oplosbare moord.

Dan lossen we die toch op. Niks aan de hand.

Sissors
@IStealYourGun • 27 oktober 2011 23:41

Het is compleet triviaal opspoorbaar en zal zo gevonden zijn, mensen vallen niet zovaak spontaan dood neer.

Ik heb geen flauw idee hoe moeilijk het is om te vinden dat iemand aan insuline overdosis is overleden. Ik weet wel dat het redelijk makkelijk is om te zien dat de insuline pomp compleet leeg is.

+1 sfranken
@xheroxkefx • 27 oktober 2011 12:45

En er is door Minimed/Medtronic al een firmware fix voor uitgegeven geloof ik. Dit is trouwens best oud nieuws al.

MadEgg

27 oktober 2011 11:50

We hebben het over programmacode die tien jaar geleden werd ontworpen. Er was toen niet echt nagedacht over de beveiliging van deze systemen

Wat maakt het uit dat het tien jaar geleden was? Was beveiliging toen geen issue? Volgens mij waren er toen ook al miljoenen virussen bekend, ICT was toen ook al zeker niet nieuw meer.

Hoe kan het trouwens dat er geen serienummer oid nodig is? Wat als er meerdere apparaten binnen 100 meter van elkaar staan, hoe wordt er dan onderscheid gemaakt tussen de verschillende patienten?

+1 kvdveer
@MadEgg • 27 oktober 2011 11:57

Het serienummer is wel nodig voor het geven van de fatale commando's, maar het achterhalen van dat serienummer is onderdeel van de aanval. Hierbij zou een aanvaller eventueel een richtantenne kunnen gebruiker om een specifiekere liquidatie uit te voeren.

[Reactie gewijzigd door kvdveer op 27 oktober 2011 11:59]

+1 Rmg
@MadEgg • 27 oktober 2011 12:23

Beveiliging is altijd een kosten/baten gevalletje. 10 jaar geleden was het nog niet zo gemakkelijk om met een zelf geknutseld rf gevalletje te sniffen en te injecten.
Dus is het ook 'onnodig' om daarin te investeren.

waarschijnlijk hebben ze 10 jaar geleden ook niet gedacht dat ze 10 jaar later hetzelfde product nog zouden gebruiken

+1 arjankoole

Beveiliging
Hackers
Privacy

@MadEgg • 27 oktober 2011 13:55

Was beveiliging toen geen issue?

Geen wil ik niet zeggen, maar zeker een heel stuk minder dan nu het geval is. Er was een omslagpunt. In 2001 kon je nog ongestraft een niet gepatched systeem direct aan internet hangen, zonder dat je direct gevaar liep.

Nu zou die actie je hele andere resultaten opleveren.

1 2 3 4 5 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Hackers leggen beveiligingsprobleem insulinepomp bloot

Lees meer over

Nieuwste IT Banen

LOI ICT Opleidingen

Gerelateerde content

Sorteer op:

Weergave:

Reacties (135)