Názory k článku FDA svolává téměř půl milionu kardiostimulátorů kvůli kritické zranitelnosti

Zivotne dulezite pristroje nemaji na siti co pohledavat

Já jo, zavolání pomoci, pokud je fakt průšvih. To ale nic nemění na tom, že takový zařízení nesmí nikdy aktivně poslouchat na veřejné síti.

@Petr M

Jasně, ale určitě to jde udělat jinak, než že dáš na stejné železo Android a (třeba z toho co už se tu milionkrát řešilo) obvody brzd ...

idea je takova, ze doktor na dalku sleduje pacientuv stav. a pripadne upravi nastaveni pokud je treba. na dalku, aby pacient nemusel do nemocnice jezdit, protoze jakekoliv cestovani je pro nemocne hodne zatezujici.

tak, ted uz si to umis predstavit :)

spis bych si umel predstavit 2 moznosti prenosu dat - jeden dalkovy, pouze smerem ven (posilani zaznamu doktorovi pres internet), a druhy obousmerny (nastaveni stimulatoru) jen na velmi kratkou vzdalenost. neco jako doktor zatelefonuje: "potrebujeme upravit vas stimulator, prilozte si jednotku na hrud a pockejte 5 vterin... dekuji hotovo nashledanou."

Tak by se to mohlo udělat přes NFC a bezpečnostní rizika by byla o něco menší ne? Nehledě na to, že bluetooth je šifrované, pokud se nepletu? A jak je zmíněno v článku, šifrování se chtějí výrobci vyhnout kvůli výpočetní a energetické náročnosti..

netvrdil jsem ze primo stimulator je na internetu, ano, je to pres krabicku co ma pacient doma. ale dnesni stimulatory posilaji data ven i prijimaji nastaveni pres jeden kanal, treba ten bluetooth. coz je zdroj mozneho utoku, jak se pise v tom clanku.

Přesně! Není přece problémem, aby felčar brnknul pacošovi a požádal jej o akci, kterou je možno provést pouze s fyzickým přístupem k zařízení, což je v podstatě autorizační kanál. Naopak vrtat se pacientovi v tom gerätu, aniž by o tom něco věděl, je špatně.
Pořád dokola mi to připomíná, jak „borci“ hardwareáři zrušili na deskách jumper pro flashování biosu.

To mi neprijde jako dobry napad, vrtat se v necem takovema na dalku. Nekde se neco pokazi a doktor ho tezko po telefonu bude zachranovat. Neco takoveho by meli provadet vyhradne nekde, kde pacienta v pripade problemu jsou schopni zacit okamzite zachranovat.
Fakt bych nechtel, aby se doktor po telefonu stoural v necem, co me muze zabit.

To je sice krasna idea, ale naprosto neimplementovatelna bezpecne. I kdyby ze zarizeni slo jen cist, tak je to pruser, protoze si trebas muzeu precist, ze soused ma prave problem ... a protoze ho nemam rad, tak ho pudu vytocit, cimz padem ho trefi, ... ale ja budu z obliga ;D.

O zapisu ani nemluve, proste mu prenastavim stimulator, jeho trefi, a pak ho klidne prenastavim zpet ...

Přesně. Přes uhádnuté heslo k sousedově wifi se mu přihlásím ke stimulátoru (asi jej nebude mít v extra VLANu), na 2 minuty mu tam nastavím 250 bpm, pak to zas vrátím, aby nikdo nic nepoznal. A je to. :D

Jenže ona ta věc není normálně přístupná po síti!

Nekontrolovane alebo skor zdivocele pripajanie vsetkeho na siet je zial aktualnym trendom prakticky vsade a chyba strieda chybu. Zrovna vcera som pisal o tejto teme v blogu: Budú nás detské chyby v zariadeniach internetu vecí strašiť ešte v roku 2033? na http://www.herrman.sk/?q=node/49

Když pacient zemře, zranitelnost již nebude vadit. Problém vyřešen!!!

Jen v případě, že pacient kouká z wokna...

To použijte pak hardwarové urychlení volným pádem...

IT lidé a firmy si zvykly, že za své produkty prakticky nenesou zodpovědnost za škody. A pak se s nimi dostanou do světa, kde zodpovědnost je. Zde popsaný případ, brzdy v autě, řízení výrovních linek a podobně. A zde pak působí metodami a postupy ze světa bez zodpovědnsti za škody. Protože je to levnější a to se finančním ředitelům líbí.

Co s tím? Zavést nějakým způsobem finanční motivaci. Aby se to firmám nevyplácelo. Regulátor v daném oboru by nějaké inovace povolil, ale rizika případných chyb by ocenil předem odahdnutelnou citelnou finanční sankcí. Aby firmy věděly do čeho jdou a že se jim šetřit na bezpečnosti nevyplatí.

Na silnici lidi dodržují pravilda nejen z obavy před následky nehod, ale také z obavy sankcí od policie.

Na to stačí hradit způsobenou škodu. Problémem je, aby tu ta povinnost byla, tj. aby se výrobce nemohl zříci odpovědnosti v podmínkách (to je mimochodem jeden z okamžiků, kde volný trh nefunguje a je třeba regulace).

Ta poslední věta je o které zemi? V ČR jsem to neviděl...

Ted zrovna leti kardiostimulatory, protoze to je radoby "na telo", ale tech zarizeni je - vzpomenme nedavno pristroje od Siemensu, jejichz problem doporucoval vyrobce resit odpojenim zarizeni od site, ona takova MR nebo CT kdyz se trochu poladi parametry... nebo takove inzulinove pumpy ze...

Des zbytecne do extremu ... dojdes do mistniho ustavu ... sednes si s notesem nebo mobilem na chodbu, do rozpisu operace napises, ze misto slepaku maji sebrat ledvinu (tu jednu funkcni), a o zbytek nemusis mit peci.

Nekdy dokonce ani nepotrebujes resit fyzikalni podstatu veci ... staci kdyz upravis diagnozu ... a doktor tvymu oblibenci precte, ze mu zbejva tak tejden, nebo dva ... s kym by to neslehlo zejo.

Pripadne kdyz mas pocit ze to by bylo zbytecne rychly a pripravilo te to o zabavu, muzes (mame tu preci ty elektronicky predpisy) predepsat nejaky zajimavy antidepresiva ci jiny chutny bombonky. Nebo sofistikovane zvolit nejakou hezkou kombinaci. Rekneme neco na nizkej tlak a redeni krve, a pak se bavit tim jak dotycnej z kazdyho skrabance skorem vykrvaci.

Tohle zládnou doktoři sami i bez hackerů. Kolega zašel za doktorem s kašlem, ten mu udělal RTG plic, našel tam rozsáhlé stíny, a hned mu diagnostikoval rakovinu plic v posledním stadiu a že mu zbývají 2 měsíce života. Když kolega ani po čvrt roce nezemřel, tak se ten doktor podíval do anamnézy, tam si přečetl, že kolega má Bechtěreva a že tedy ty stíny byly srůsty na žebrech.

A to, že pacientovi omylem vyoperovali zdravou ledvinu, to už tady před pár lety taky bylo.