Onderzoeker legt ernstig beveiligingsgat in pacemakers bloot

Een beveiligingsonderzoeker claimt de firmware in een pacemaker ongemerkt draadloos te kunnen manipuleren als gevolg van een ernstig beveiligingsgat. De firmware zou aangepast kunnen worden met potentieel dodelijke gevolgen.

Dat meldt SC Magazine op basis van een presentatie van beveiligingsonderzoeker Barnaby Jack op een beveiligingsconferentie in Australië. De onderzoeker, werkzaam bij de firma IOActive, claimt dat hij via reverse engineering van de zender in een pacemaker de firmware kan manipuleren doordat een niet nader omschreven 'geheime functie' deze mogelijkheid biedt. Jack toonde eerder al beveiligingsproblemen aan met insulinepompen.

Normaliter worden de zenders in pacemakers gebruikt om met behulp van uitleesapparatuur telemetrische data op te vragen en 'onderhoud' te plegen aan de software, maar de onderzoeker stelt dat een niet nader genoemde fabrikant deze functie zeer slecht heeft beveiligd. Dit zou komen doordat de firmware uitsluitend het serienummer en apparaatnummer gebruikt ter authenticatie. Deze zouden eenvoudig draadloos zijn te onderscheppen. Vervolgens kan een aanvaller met een zelfontwikkelde zender de software in de pacemakers manipuleren. Bovendien zijn volgens Jack zelfs gebruikersnamen en wachtwoorden van vermoedelijk de ontwikkelserver van de fabrikant te zien.

Volgens Jack is het mogelijk om op een afstand van circa 9 meter ongemerkt de pacemaker-firmware aan te passen. Zo zou een aanvaller hartpatiënten met een pacemaker of cardioverter-defibrillator een schok van 830V kunnen toedienen met potentieel dodelijke gevolgen. Het zou theoretisch zelfs mogelijk zijn om een worm te schrijven die zich van hartpatiënt naar hartpatiënt voortplant. Jack werkt naar eigen zeggen aan adminsoftware, met de codenaam Electric Feel, die automatisch zoekt naar kwetsbare implantaten.

Jack, die met zijn presentatie de fabrikanten van medische apparatuur wil wakkerschudden, stelt dat de producenten aansprakelijk moeten worden gehouden voor gevaarlijke gaten in de beveiliging van potentieel dodelijke implantaten. Momenteel zouden fabrikanten erin slagen om onder hun verantwoordelijkheid uit te komen. Ook roept de beveiligingsonderzoeker fabrikanten van implantaten op om het totale veiligheidsmodel op de schop te nemen en te beginnen met het toepassen van encryptie en de introductie van een deugdelijk authenticatiemodel.

Het is niet de eerste keer dat onderzoekers waarschuwen voor lekken in de software van cardioverter-defibrillators en pacemakers; in 2008 kwamen onderzoekers van het Medical Device Security Center tot soortgelijke conclusies. Toen zouden er nog geen gevallen van geslaagde aanvallen op patiënten met een pacemaker bekend zijn, maar het is onduidelijk of dit nog steeds het geval is.

IT-banen

Reacties (65)

DeBolle

17 oktober 2012 20:56

Allereerst ,als drager van een ICD vind ik het risico van een mogelijke aanval beslist opwegen tegen het ICD-loos door het leven gaan - dat gaat in mijn geval namelijk niet. Bij elke uitlezing van het apparaat kijk ik natuurlijk nieuwsgierig mee hoe het fabrikants-eigen seriele protocolletje werkt en welke commando's nodig zijn om de ICD aan te sturen. Lastig om uit te zoeken is het zeker niet, wel een bijzonder zinloze bezigheid als iemand dat vanuit kwaadwillendheid zou willen doen.
Feitelijk net zo zinloos is het iedere paar jaren herhalen van dit soort onderzoeken en presenteren als "nieuws". De afgelopen vijf jaren zijn er zeker zes van deze onderzoeken bekend gemaakt of geworden en de conclusie is telkenmale hetzelfde: Groot Gevaar!
Een ICD-drager als ik heeft een wat genuanceerdere mening, nog het aardigst verwoord in deze blog: http://medicalremoteprogr...andpas-icd-why-do-it.html In dat artikel wordt duidelijk dat het helemaal niet zal gaan om mensenlevens, maar om mogelijke manipulatie van de markt. De tamelijk kostbare apparaatjes vormen een belangrijk deel van de omzet van enkele bedrijven en de concurrentie is hard.
De prijs van een gemiddelde ICD, afhankelijk van het aantal functies, ligt tussen 20 en 30 duizend euro, wat mij betreft mogen er gerust enkele tientjes bij voor een veiliger protocol, maar ja .. de zorg is al zo duur

robvanwijk

Hackers
Encryptie
Beveiliging
Politiek en recht
Privacy

@DeBolle • 18 oktober 2012 01:14

Allereerst ,als drager van een ICD vind ik het risico van een mogelijke aanval beslist opwegen tegen het ICD-loos door het leven gaan

Met alle respect, maar dat is het punt niet; het alternatief waar je mee moet vergelijken is niet "geen ICD", maar "een fatsoenlijk-beveiligde ICD"! Het is niet alsof er iets nieuws moet worden bedacht: correcte oplossingen bestaan al, ze hoeven alleen toegepast te worden.

Van de ene kant kan ik me wel iets voorstellen bij je "dit gaat toch niemand doen"-redenatie, maar van de andere kant, ik heb verontrustend vaak "omdat het kan" (al moet je tegenwoordig nieuwerwets "yolo" zeggen geloof ik

) als "reden" gehoord om stompzinnige dingen toch te doen. Op zich zou je hopen dat mensen snappen dat implantaten niet het meest geschikte doelwit zijn van een "eens kijken of dit lukt" middagje, maar... ik zou er liever niet op vertrouwen.

[Reactie gewijzigd door robvanwijk op 23 juli 2024 17:05]

Cyberamp @DeBolle • 18 oktober 2012 00:25

Een ICD is wat anders dan een pacemaker, FYI

Petertyuh @Cyberamp • 18 oktober 2012 01:00

Ik neem aan dat jij bekend bent met Wikipedia.
Dat is zeker geen absolute waarheid, dat weet ik ook, maar dit staat er:

Moderne ICD's hebben ook functies die voorheen door pacemakers werden verricht

Tevens valt er ook te lezen dat pacemakers tegenwoordig vooral ICD's zijn omdat ze aan alle kanten controleren en manipuleren. Dus niet specifiek aan 1 kant waar de pacemakers zitten te controleren.

mae-t.net @DeBolle • 18 oktober 2012 04:21

Voordat het foutging, hadden de dragers van lekkende borstimplantaten ook liever wel dan geen implantaat.

Nou zal je zeggen: dat is toch geen vergelijking met iets zonder hetwelk je niet in leven kunt blijven? Toch wel een beetje; een lekkend implantaat dat is geplaatst na een succesvolle genezing van een levensbedreigende ziekte kan het leven van de drager alsnog verwoesten. Terug bij af, net als wanneer jouw ICD het zou begeven.

Medische hulpmiddelen zijn belangrijk genoeg om "gewoon degelijk" te ontwerpen. Dat je met een minder degelijk model voorlopig geholpen bent is natuurlijk mooi, maar als hij over x jaar vervangen moet worden of als er een firmwareupdate komt, ben je vast toch wel een beetje blij dat het ding veiliger is.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 17:05]

F-I-X 17 oktober 2012 19:39

Sjezus kunnen ze zich niet bezig houden met andere apparaten ? Lijkt meer op dat er een media geil iemand een beetje aandacht loopt te trekken.

Ja alles is zowat te kraken of te hacken als je de boel gaat "reverse engineren".
Ja uiteraard is het noodzakelijk dat er een beveiliging plaatsvindt. Maar moeten we nu alles met een 1024bits RSA sleutel via een VPN tunnel gaan beveiligen omdat een "hacker" de boel moet wakkerschudden ?

Is het dan dan de enige manier om het maar van de daken te gaan blazen en programmaatjes te gaan schrijven met 0.0 nut ?
Daar zijn in de medische technische wereld instanties voor die zorg dragen dat medische apparatuur veilig is en waar fabrikanten zich aan moeten houden.

Dit dient nergens voor dan alleen een stukje sensatie zucht van een onderzoeker..

bwerg @F-I-X • 17 oktober 2012 20:00

Ja alles is zowat te kraken of te hacken als je de boel gaat "reverse engineren".

Onzin. Als je geen extern aangeleverde code uitvoert, en met externe invoer slechts bepaalde acties uitvoert, kan een apparaat gewoon veilig zijn tegen de boze buitenwereld. Daar moet dan natuurlijk wel aandacht aan besteed worden. Als je toch ingevoerde code wilt uitvoeren (voor software-updates), dan is goede autorisatie vrij redelijk.

Maar moeten we nu alles met een 1024bits RSA sleutel via een VPN tunnel gaan beveiligen omdat een "hacker" de boel moet wakkerschudden ?

Als het om een apparaat gaat waar iemands leven vanaf hangt is het wel fijn als er in ieder geval even over veiligheid na is gedacht, ja. Of hoeven nieuwe modellen auto's ook niet meer op veiligheid getest te worden, en zie je het wel als je motorblok ontploft? Oogkleppen op en gaan met die banaan, want de fabrikant zal het wel goed doen?

Daar zijn in de medische technische wereld instanties voor die zorg dragen dat medische apparatuur veilig is en waar fabrikanten zich aan moeten houden.

Ehm, het is toch net aangetoond dat dat dus kennelijk niet werkt?

[Reactie gewijzigd door bwerg op 23 juli 2024 17:05]

Amanoo @F-I-X • 17 oktober 2012 19:41

Maar alles dat makkelijk genoeg te kraken is zal uiteindelijk ook door kwaadwillenden worden gekraakt. En dan moet jij niet gaan zeuren dat ze het beter hadden moeten beveiligen, als het mis gaat.

Cyberamp @F-I-X • 17 oktober 2012 19:59

Mee eens, beetje sensatie. kijk die pacemakers versleutelen zou nog een optie zijn als iemand bedreigd zou worden, maar om dit toe te passen bij iedere pacemaker... de meesten zitten gewoon thuis een rustig leventje te leiden...

mae-t.net @F-I-X • 18 oktober 2012 04:13

Dus jij ziet liever onbelangrijke problemen eerst aangepakt?

Als alles te kraken is met reverse engineering, zou beveiliging totaal geen zin hebben.

De waarheid is echter dat je elk apparaat proportioneel moet beveiligen (dus zwakkere encryptie bijvoorbeeld reserveren voor onbelangrijke zaken zoals een OV-chipkaart

en wat meer moeite steken in medische apparaten en kerncentrales om maar wat te noemen), en dat je daarbij bovendien geen fouten moet maken.

Kort en goed: Ik denk dat een levensbedreigende situatie zoals in medische apparaten voor kan komen (Therac 25 anyone?) niet iets is om in de doofpot te stoppen. Niks sensatiezucht (zonder spatie a.u.b.).

[Reactie gewijzigd door mae-t.net op 23 juli 2024 17:05]

skunkopaat 17 oktober 2012 18:51

Wat voor zielig persoon ben je als je hier misbruik van gaat maken?

ot: Dit had vanaf het begin al uitgezocht/beveiligd moeten worden, slechte zaak dit

VVVJeroen @skunkopaat • 17 oktober 2012 19:28

De 'hipste' groep op dit moment zouden terroristen zijn: loop met zo'n zender door hoogpopulatie New York en kijk hoeveel mensen er dood gaan, of schrijf een worm die na x tijd de geïnfecteerde doet overlijden. Maar voor zoiets lijkt me dat enige ICT kennis nodig is, waardoor een groep terroristen mij niet de beste groep lijkt. Wat waarschijnlijker is zijn geheime diensten en veiligheidsdiensten om vijandelijke politici en mensen uit te schakelen: stel Obama heeft zo'n pacemaker, dan kan je hem vanuit de zaal uitschakelen... Of nog erger: vanuit de zaal infecteren zodat hij na enige tijd uitgeschakeld wordt (in zo'n geval kan je namelijk nog veilig wegkomen ook...).

Phoenix_X @VVVJeroen • 17 oktober 2012 19:34

Ik denk dat jij terroristische groeperingen ernstig onderschat als je denkt dat ze geen ICT kennis hebben.

Verder blijken dit soort beveiligingsgaten in veel apperatuur voor te komen omdat de ontwikkelaars gewoonweg niet nadenken over de potentiële gevaren.

Zo was er op een Ted talk een klein jaartje geleden een uitgebreid filmpje over het hacken van auto's... Bijvoorbeeld door via een buffer overflow in de FM ontvanger van de autoradio binnen te kunnen komen in de boordcomputer van de auto. Ze konden er bijvoorbeeld het remsysteem mee disablen. Gewoon door binnen FM-range van de auto te rijden.

Waarom kan dat? Omdat niemand die een radio bouwt rekening houdt met het feit dat zo'n ding uiteindelijk een schakel in een essentiëel systeem is. Voor hun is het gewoon een radio-ontvanger.

En voor deze fabrikanten is het 'gewoon' een pacemaker: het wordt niet gezien als een computer, en beveiliging komt gewoonweg niet bij ze op. Dat is ook niet zo vreemd.

bwerg @Phoenix_X • 17 oktober 2012 19:51

Ik denk dat jij terroristische groeperingen ernstig onderschat als je denkt dat ze geen ICT kennis hebben.

Klopt, maar alsnog is dit voor terroristen natuurlijk de minst interessante manier om iemand te vermoorden. Maak je willekeurige mensen dood, denken omstanders dat het een natuurlijke dood is, dat zal terreur zaaien...

Voor moordenaars of psychopaten is het natuurlijk weer een heel ander verhaal, d'r hoeft maar één gek met een laptopje door een drukke stad te gaan lopen.

DEVoTi0N @bwerg • 17 oktober 2012 20:34

Hier ben ik het niet mee eens. Het woord terrorisme komt uit het Latijn en betekent zoiets als 'paniek'. Terroristen proberen hun doel te bereiken door het inboezemen van paniek bij de burger door middel van pijn en geweld. Kortgezegd is het middel, dat terrorisme gebruikt om zijn doelen te bereiken, het de burger ontmenen van zijn idee van veiligheid.

Stel je nu het volgende voor. Aangenomen dat pacemakers een interne klok hebben om data te loggen, zou je bij velen burgers een soort van tijdbom kunnen programmeren. Tot de jaarwisseling wordt er op zoveel mogelijk plaatsen in de wereld een signaal uitgezonden om deze tijdbom bij pacemakers te installeren. Misschien kan je zelfs nog zover gaan dat pacemakers elkaar kunnen infecteren. Op het moment van de jaarwisseling 'vermoorden' alle pacemakers wereldwijd hun gebruiker. Als de pacemakers worden uitgelezen is alleen de tekst van een terroristische organisatie zichtbaar.

Het is misschien vergezocht, maar terugkomend op de uitleg, waarmee ik begon, denk ik dat ze wel degelijk hun doelen bereikt hebben. Hoe beangstigend is het voor de burger dat hij zijn dagelijkse zaken niet langer kan vertrouwen? Het beangstigende op dit moment is misschien wel dat nu met dit nieuwsbericht blijkt dat een dergelijk vergezocht verhaal als hierboven misschien wel degelijk mogelijk is...

Terugkijkend op bijvoorbeeld de aanslagen van 9/11 denk ik dat de verkeerde leerdoelen getrokken zijn. Destijds was je voor gek verklaard als je de luchthavenbeveiliging had bekritiseerd. Hoe gek was het idee dat mensen zichzelf volledig op zouden leiden tot piloot om zo een vliegtuig ergens te kunnen crashen?
Toch hebben we toen kunnen leren, dat zoiets wel degelijk kan gebeuren. Wat we ervan hebben geleerd is dat we onze luchthavens beter moeten beveiligen. Maar wat we er mijn inziens ook van geleerd zouden moeten hebben, is dat met betrekking tot onze veiligheid er wel degelijk mensen zijn die van de meeste vergezochte zwakke punten misbruik maken om terreur te zaaien.

Terugkomend op je punt: Ik denk dus dat het dus wel degelijk interessant zou zijn voor terroristen.

bwerg @DEVoTi0N • 17 oktober 2012 20:37

Mooi idee voor een film of zo. In de praktijk doen ze liever iets met explosies, veel simpeler en effectiever. Zoveel mogelijk slachtoffers met zo min mogelijk moeite. Het is niet dat ze daar niets van techniek af weten, maar terroristische organisaties zijn ook geen infiltratienetwerken die zoiets massaals kunnen uitvoeren.

[Reactie gewijzigd door bwerg op 23 juli 2024 17:05]

Atmosfeer @bwerg • 17 oktober 2012 21:56

Je zegt 'ze' maar terroristen zijn er in zoveel verschillende maten. Moslim extremisten gebruiken wellicht liever een harde aanslag maar er zijn zo ontzettend veel vage groepen wereldwijd actief. Soms bestaand uit 1 of 2 man (zie breivik).

Caelorum @bwerg • 17 oktober 2012 20:35

Sowieso worden dan alleen mensen met een pacemaker en hun familie bang. Terwijl juist vaak het doel is een grotere groep mensen bang te maken.

Qaatloz @Caelorum • 17 oktober 2012 20:50

Bij een gijzeling op een school of andere publieke locatie zijn niet alleen de familieleden of andere bekenden bang voor de gevolgen daarvan. Het idee van publieke angst zaaien kan ook goed zonder daadwerkelijk iedereen in het publiek een persoonlijke bedreiging te geven.

Een voorbeeld van terrorisme hiermee zou ook een firmware kunnen zijn die na 10 dagen een dodelijke stoot geeft behalve als je $ 100.000,- stort op rekeningnummer xx.xx.xxx of paypalrekening: steun-terroristx. Vervolgens wordt je 'ontwormt' op een nader aangegeven locatie.

_Pussycat_ @Caelorum • 17 oktober 2012 23:20

Hebben niet entzettend veel mensen een familielid met pacemaker? Of een buurman? Of de ouders van de collega?

Een worm lijkt me toch echt wel veel erger dan een vliegtuig oid, daar denk ik nu eenmaal dat niemand ooit in mijn klein dorpje (of in de kleiner stadjes hier) een vliegtijg neerknalt. Dat is alleen maar in NY / LA / london ofzo een gevaar.

Anoniem: 211998 @VVVJeroen • 17 oktober 2012 19:32

>waardoor een groep terroristen mij niet de beste groep lijkt
Die wonen uiteindelijk in grotten zonder enige electriciteit of internet.

Uniciteit @Anoniem: 211998 • 17 oktober 2012 23:12

Waar haal je dat nou weer vandaan?

Definitie terrorist volgens de eerste Google-hit:

"iemand die geweld gebruikt om een politiek doel te bereiken"

Oftewel, dat kan zelfs je buurman zijn die iemand in elkaar slaat bij een protest. Of Anders Breivik, je weet wel, uit Noorwegen.

_Pussycat_ @Uniciteit • 17 oktober 2012 23:17

Google misschien eens naar "sarcasme"...

bum @skunkopaat • 17 oktober 2012 19:54

De meeste moorden gebeuren nog steeds in de familiesfeer. Handige manier om de erfenis van opa wat te bespoedigen....?

robinverl @skunkopaat • 17 oktober 2012 18:53

Lijkt me wel iets voor de vage geheime niet bestaande diensten. Super effectief en praktisch geen sporen.

Xanaroth @robinverl • 17 oktober 2012 19:30

Misschien iets te snel? Als reverse engineering niet mogelijk is, betekend het dat je weer open gemaakt moet worden als er iets bijgesteld moet worden en ze jouw specifieke 'sleutel' kwijt zijn.

Zou dus best kunnen dat het bewust als feature erin is gezet ivm veiligheid van de persoon (voordat ze aan dergelijke gevolgen dachten althans).

Monochrome @Xanaroth • 17 oktober 2012 21:00

Niet echt. Reverse engineering is enkel het analyseren van hoe een (jouw onbekend) systeem werkt. Ook een veilig systeem kan je reverse engineeren, alleen biedt die kennis je dan niet de mogelijkheid om willekeurig welk ander systeem van hetzelfde type over te nemen. Bij dit soort slecht ontwikkelde dingen geld vaak: als je weet hoe 1 exemplaar werkt, kan je toegang krijgen tot allemaal.

dtech @Monochrome • 18 oktober 2012 00:05

Of een systeem is niet (voldoende) te reverse engineeren om die kennis te kunnen vergaren, maar meestal is dat slechts van korte duur en zogenaamde "security through obscurity". Prima om als extra beveiliging te hebben, maar niet als enige.

Yezpahr @dtech • 18 oktober 2012 05:56

Jonges, we slaan de plank mis...
Dát het via reversed engineering is gebeurt staat buiten kijf.

Die security through obscurity gaat niet op als je gewoon een pacemaker los kunt verkrijgen...

Het probleem ligt veel dieper, de bedrijfjes zijn namelijk gewoon lui punt

Wij als consument lezen alleen dat het via reversed engineering is gebeurt, dat het een "beveiligingsonderzoeker" is en hij eigenhandig een pacemaker heeft weten te bemachtigen.

Dat ie daarna ge-reversed engineert is, zal me een worst zijn want dat gebeurt vroeger of later tòch wel.
Punt is dat híj het heeft gedaan en hierdoor een breed scala aan mensen in 1 klap bang maakt, maar weinig oplossingen bied.

Denk even na.
Er word nog zó gezegd: "Volgens Jack is het mogelijk om op een afstand van circa 9 meter ongemerkt de pacemaker-firmware aan te passen."

Oplossing:
Máak een veilige firmware -> upload of w/e -> opgelost.

***EDIT***
Grapjas # 1 zegt:
Máár meneer, de hackers vinden er wel weer wat op, hoor, plan mislukt!

Logica:
Vervolg Oplossing #1 in drie-maandelijkse routine met nieuwe "vers-van-de-pers" encrypties

[Reactie gewijzigd door Yezpahr op 23 juli 2024 17:05]

Xerion404 @Xanaroth • 17 oktober 2012 21:11

Die sleutel zou echt niet kwijt moeten raken. Bij medical devices moet precies traceerbaar zijn wat ermee gebeurt is, de sleutel kan in hetzelfde systeem dat hiervoor zorgt.

Overigens zou zelfs wanneer alleen het serienummer zou worden gebruikt als sleutel al een heel groot gedeelte van het risico weggenomen worden. Ten eerste moet je dan namelijk het serienummer weten van de pacemaker die je aan wilt vallen. Ten tweede kun je dan ook niet meer alle pacemakers in de omtrek rare dingen laten doen.

Ik snap ook helemaal niet dat het niet sowieso al encrypted wordt, al is het maar voor de verificatie van het intact zijn van de gegevens die je ontvangt van de programmer, zodat deze niet corrupt kunnen zijn.

fdm391 @Xerion404 • 17 oktober 2012 22:04

Overigens zou zelfs wanneer alleen het serienummer zou worden gebruikt als sleutel al een heel groot gedeelte van het risico weggenomen worden. Ten eerste moet je dan namelijk het serienummer weten van de pacemaker die je aan wilt vallen. Ten tweede kun je dan ook niet meer alle pacemakers in de omtrek rare dingen laten doen.

"Dit zou komen omdat de firmware uitsluitend het serienummer en apparaatnummer gebruikt ter authenticatie. Deze zouden eenvoudig draadloos zijn te onderscheppen. "

Ik snap ook helemaal niet dat het niet sowieso al encrypted wordt, al is het maar voor de verificatie van het intact zijn van de gegevens die je ontvangt van de programmer, zodat deze niet corrupt kunnen zijn.

Verificatie van intactheid en encryptie zijn twee verschillende dingen.

JW1

@robinverl • 18 oktober 2012 15:09

Als je je aluminium hoedje uitvouwt en deze als een band om je borst vouwt, dan kun je dat met die niet bestaande diensten ook wel voorkomen.
Met andere woorden: beetje vergezocht.

Het kwalijke is wel dat de fabrikanten zich niet verantwoordelijk opstellen voor iets dat ondeugdelijk beveiligd is en fatale gevolgen kan hebben.

satoer @skunkopaat • 18 oktober 2012 13:08

Toch, is dit eigenlijk hetzelfde als dat je iemand gaat vergiftigen of een mes in iemands hart steekt. En dat is compatible met iedereen ipv alleen peacemaker patienten. Iemand doden door bewuste firmwaremanipulatie van een peacemaker zal gewoon onder moord vallen. Neem aan dat mensen die dit willen gaan proberen zich er heel bewust van zijn dat ze ermee iemand gaan vermoorden en zich dus ook wel bewust zijn van de consequenties ervan.

Kingpinda @skunkopaat • 18 oktober 2012 14:10

Nou ik weet niet hoor.. De software beveiliging rond vuurwapens is ook uitermate slecht. Iedereen kan zo'n ding oppakken en iemand ermee doodschieten... Wat voor een zielig persoon ben je als je iemand met een pistool doodschiet? Erm.. die heten moordenaars.. En jammer genoeg bestaan die nog steeds.

AdmiralSnipe 17 oktober 2012 19:05

Dit krijg je dus wel als je steeds meer apparatuur bij de mens gaat inbouwen.
Het is natuurlijk super dat dit soort oplossingen mogelijk zijn voor mensen met hartproblemen maar het is jammer dat dit zulke beveiligingslekken met zich mee brengt.
Wat nou als je iemand om wilt brengen en doet dit door diegene z'n pacemaker te hacken, lijkt me erg lastig om vervolgens aan te tonen dat het slachtoffer vermoord is i.p.v. dat diegene een natuurlijke dood gestorven is.
Waarschijnlijk zou dit niet eens ontdekt worden.

thegve @AdmiralSnipe • 17 oktober 2012 19:21

bij een 'verdachte' situatie kan natuurlijk altijd de firmware worden gechecked als 'autopsie'. Maar dan is het al wel te laat.

--Andre-- @thegve • 17 oktober 2012 22:43

Als ik de firmware kan vervangen, kan ik in mijn vervangende firmware ook flashfunctie toevoegen en na de moord de originele firmware terugflashen. Dus of het aan te tonen is dat met de firmware gerommeld is lijkt me niet zo triviaal.

Anoniem: 353137 17 oktober 2012 18:51

Tsja, er bestaat geen perfecte software maar dit is toch echt ernstig!
Eigenlijk vind ik dat je dit niet moet presenteren ergens, maar gewoon overleggen binnen fabrieken voor zulke apparaten. Nu heb je weer kans dat mensen ( idd, dat moeten dan wel erg sneue mensen zijn ) deze gaten in de software willen misbruiken.

Maar ook goed dat het ontdekt is natuurlijk!

[Reactie gewijzigd door Anoniem: 353137 op 23 juli 2024 17:05]

Ahrnuld @Anoniem: 353137 • 17 oktober 2012 19:51

Het gaat dan ook niet alleen om het repareren van het probleem, maar om de vraag waar de verantwoordelijkheid komt te liggen als er iets misgaat. Als je deze kennis intern houdt is het bijv. in een rechtszaak een stuk moeilijker, zoniet onmogelijk om de fabrikant aansprakelijk te stellen.

Ras @Anoniem: 353137 • 17 oktober 2012 19:24

Sneue mensen? Het is gewoon moord hoor: Moordenaars dus.

Er zijn makkelijkere manieren om iemand om te leggen. Ik vraag me dan ook af hoe makkelijk / moeilijk het is om het te bewijzen als je iemand op deze wijze vermoord. Als je veel mensen wil vermoorden is het makkelijker om op een eilandje/school/winkelcentrum wat rond te schieten.

indigo79 @Ras • 17 oktober 2012 19:29

Ken jij ook maar één voorbeeld van iemand die op een eilandje/school/winkelcentrum om zich heen beginnen schieten is die niet óf zelfmoord gepleegd heeft óf door de politie omgelegd is óf opgepakt is?

Het moet trouwens niet de bedoeling zijn om veel mensen om te leggen. Het kan om bijvoorbeeld een ruzie of een financiële kwestie ook de bedoeling zijn om juist één persoon zonder sporen om te brengen. En dan is dit wel een heel ideale methode...

arjankoole

Beveiliging
Hackers

@indigo79 • 17 oktober 2012 20:00

Ken jij ook maar één voorbeeld van iemand die op een eilandje/school/winkelcentrum om zich heen beginnen schieten is die niet óf zelfmoord gepleegd heeft óf door de politie omgelegd is óf opgepakt is?

Ja, diverse zelfs. D'r staat er momenteel een terecht voor dat schieten tijdens de Batman première, als ik me niet vergis. Het merendeel maakt zichzelf van kant of wordt tijdens een schietpartij met de politie zelf overhoop geschoten, maar als het even kan pakken ze hem.

_Pussycat_ @arjankoole • 17 oktober 2012 23:23

ahum quote: "[...] óf opgepakt is?". Hij bedoelde (en schreef ook) dat er niemand mee weg komt, niet dat het niemand overleeft.

Anoniem: 333458 17 oktober 2012 21:36

Zoiets was in 2008 toch al bekend.

http://tweakers.net/nieuw...-op-afstand-bedienen.html

Kalief 18 oktober 2012 02:37

Toen zouden er nog geen gevallen van geslaagde aanvallen op patiënten met een pacemaker bekend zijn, maar het is onduidelijk of dit nog steeds het geval is.

Nee dat is niet onduidelijk. Die gevallen zijn natuurlijk niet bekend. Anders had schrijver Dimitri Reijerman wel een geval kunnen noemen. Deze slotzin zo in het bericht opnemen is een rare manier om te suggereren dat 'er misschien wel iets heel ergs aan de hand is waar niemand wat van weet'. Huuuuh, eng, Demmink, vampiers!

HollowGamer 18 oktober 2012 02:39

Wat ik me afvraag: deze kastjes zenden continue een draadloos signaal uit. Is dat ook niet zo 'veilig' voor het lichaam? (het zit namelijk precies midden tussen je belangrijke organen)

Verder is dit inderdaad schokkend om te horen. Je bent blij dat je nu een apparaat in je lichaam zitten die je moet helpen verder te leven omdat je huidig 'onderdeel' minder betrouwbaar was. Kan je nu deze helper ook niet echt vertrouwen..

pietermx @HollowGamer • 18 oktober 2012 08:31

Verder is dit inderdaad schokkend om te horen.

True, true... $_/-\o_$

O085105116N 17 oktober 2012 18:56

Ik heb een dejavu... Volgens mij was niet lang geleden een vergelijkbaar iets met een hart/long machine.

Zerfox @O085105116N • 17 oktober 2012 19:07

Met een insulinepomp ja, dat staat ook in het artikel vermeld.

OT:
Ik vind dit maar een kwalijke kwestie en had gehoopt dat ze ook zouden vrijgeven welk bedrijf op deze roekeloze manier pacemakers uitbrengt. Zo zouden mensen kunnen controleren of ze met zo'n 'gevaarlijke' pacemaker rondlopen, net zoals bij de PIP-borstimplantaten.

Natuurlijk vormt het beveiligingsgat nu nog geen gevaar voor de gebruiker, maar is natuurlijk geen lekker gevoel om mee rond te lopen..

[Reactie gewijzigd door Zerfox op 23 juli 2024 17:05]

bwerg @Zerfox • 17 oktober 2012 19:53

Beter doen ze dit in het geheim (eventueel onder toezicht van een overheidsinstantie of andere controlerende partij). Zoals bij meer lekken waar gebruikers slachtoffer van kunnen worden, dient éérst het lek opgelost te worden, en pas daarna het lek in detail openbaar gemaakt te worden. Bij levensbedreigende situaties al helemaal.

mae-t.net @bwerg • 18 oktober 2012 04:09

Alsof iemand buiten het ziekenhuis weet wie welk merk pacemaker draagt (op degenen na die al zo'n exploitzender gebruiken dan, maar die vertel je niets nieuws). Een terugroepactie kan dus best met naam en toenaam.

AllSeeyinEye 17 oktober 2012 20:30

Als je een worm zou kunnen schrijven die van pacemaker naar pacemaker gaat, dan zou je mij ook naar netwerken moeten kunnen laten springen. De financiële gevolgen kunnen dan heel groot worden, zo kan je immers bankgegevens afvangen etc...

Op dit item kan niet meer gereageerd worden.

Onderzoeker legt ernstig beveiligingsgat in pacemakers bloot

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: