0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

互联网改变了人类 物联网植入了人体

pIuy_EAQapp 来源:未知 作者:胡薇 2018-08-21 10:16 次阅读

五年前,2013年7月25日,Barnaby Michael Douglas Jack,被女友发现时,已经死于旧金山 Nob Hill 公寓中。距离 BlackHat 大会开幕仅剩一周时间。

Jack 在那一年准备的演讲题目是 Hacking Humans,Jack 是新西兰人。

新西兰,英联邦成员国之一,独立国家,人口400多万,北京人口2000多万,是北京人口的五分之一。在世界政治舞台上,几乎没有存在感。近年,除了在去年上任的历任中最年轻的80后女***Jacinda Ardern,才使得新西兰在全球新闻榜单上好不容易刷得一条,女***还上榜该国最性感、最想睡的女性第九名。

在世界黑客舞台上,Jack 却为新西兰刷得“头彩”般的存在感:

2010年,BlackHat大会,Jack 把两台银行 ATM 机器搬上舞台,然后通过破解程序,让ATM疯狂吐钞。此举让他名声大噪,成为当年大会的黑客明星;

2012年,Jack在墨尔本的一个安全会议上,演示了心脏起搏器被黑掉后变成了杀人武器;

2013年,Jack准备重返BlackHat,并于早些时候提交了演讲议题,BlackHat也已经挂出议题简介预告,Jack准备在当年8月再放异彩。议题是关于心脏起搏器和植入型心脏复律除颤器的,大家本来有机会在8月1日看到他演示如何在9米远外“遥控杀人”。

人算不如天算,警方后来公布死亡原因是吸食毒品过量,他女朋友也证实 Jack 有吸毒史。如今,我们还能在 BlackHat 官网看到13年的议题简介,其中就有 Jack 准备的内容:IMPLANTABLE MEDICAL DEVICES: HACKING HUMANS,植入式医疗设备:入侵人体。

天妒英才,上帝那里也许有几台ATM机需要他去帮个忙。意外离去,让Jack的演讲预告成为他与这个世界匆忙告别的注脚,也是他最后给世界发出的预警——不要让物联网设备成为杀人武器。

互联网,改变了人类,而物联网,植入了人体。

植入式医疗设备,当嵌入了无线功能,方便了医生无线操作,采集数据,实时监测。也吸引了黑客前来寻找漏洞。互联网时代,头号黑客凯文.米特尼克说过“没有进不去的电脑”,物联网时代,新一代黑客同样发现,“没有什么医疗设备是入侵不了的”。

Jack 并非第一个研究医疗设备漏洞的黑客,当然,更不是最后一个。

2011年,安全研究人员 JayRadcliffe 演示了关闭佩戴的胰岛素泵;

2015年,BillyRios 宣布,可入侵和控制众多电脑化的联网药物注射器,还能改变系统设定的注射剂量;

2018年,在今年的 BlackHat和Def Con 大会上,安全专家们再次带来了入侵医疗设备的议题,就是今天这篇所讲的。

曾记得有个段子,记不太清了,大意是:领导问,我们应该把有限的资金投到哪个口,有人说教育,有人说食品安全,有人说医疗。领导说,都错了,应该投入到监狱改善,因为那可能是未来我们都要去的地方。

段子好笑,可是,哪个段子又不是源于现实呢,真作假时假亦真。我们未来可能都要去的地方,是医院。

社会务必加大投入物联网安全,特别是医疗物联网设备。人类会生病,可不想因黑挂机。

一、不能补丁

在今年拉斯维加斯举办的Black Hat和Def Con会议上,研究人员展示了如何入侵心脏起搏器、胰岛素泵、以及现实病人实时生命体征的仪器。

医疗设备存在的安全隐患。仿佛是挥之不去的痼疾,难以救治,不放防范。而且,大多数物联网设备的特点是,连补丁都没法打,除非厂商召回。

二、黑死病人

十年前,我们已经知道起搏器可以被入侵,但是现在能救人一命的植入式医疗设备仍然可能因被入侵而害死病人。本届BlackHat大会,攻击者可以让心脏起搏器对心脏产生致命冲击,或是无法给予病人需要的起搏冲击力;攻击者还可以妨碍胰岛素泵工作。

在要求体内有植入式医疗设备的与会者离场后,来自WhiteScope的研究员Billy Rios和来自QED Secure Solutions的Jonathan Butts,向观众演示了攻击者在一个医疗设备上远程安装恶意固件以控制病人的起搏器。他们之所以能成功,是因为美敦力医疗公司的固件升级没有加密,两位研究员还讨论了该公司提供软件服务网络基础设施存在哪些漏洞。

三、宽容恶意

他们展示了如何入侵美敦力的CareLink 2090 编辑器,这是一个运行于Windows XP的编程设备,供医生控制病人的植入式起搏器。他们演示了两种入侵方式,且都改变了设备的程序编写,其操作可危及使用这种设备的病人。Butts解释称,攻击者可以触发起搏器,也可以在必要时阻止起搏器工作。

该设备的固件无需数字签名,编辑器的升级信息通过一个加密的HTTPS连接推送。美敦力设备会把恶意的重新编辑威胁视为“低风险”行为。医生能做的只能是祈祷设备没被攻击。如果觉得情况还不糟糕,想想有多少病人已经受到数据泄露的影响,或是多少医院已经被勒索软件攻击,那么美敦力设备的这种“宽容”确实过于滑稽了。

Rios和Butts指出,如果美敦力能数字签发代码,在保护病人生命安全方面就能有很大改善。

四、胰岛素泵

但除此之外,研究人员还展示了针对美敦力胰岛素泵的攻击。用软件定义的无线电波,他们阻止了胰岛素泵的正常注射。

美国工业控制系统网络紧急响应小组(ICS-CERT)指出,攻击者还可以截取远程控制器和胰岛素泵之间的无线信号,篡改信息后再触发胰岛素注射。

ICS-CERT还通报了下列美敦力设备存在的安全隐患:

1、MiniMed 508 胰岛素泵

2、MyCareLink 24950 和 24952 病人监视器;

3、Carelink 2090 编辑器 和 N'Vision 临床编辑器。

五、干扰医生

在Def Con大会上,研究员向与会者演讲如何篡改病人的实时生命体征。

前面讲的是植入式医疗设备的漏洞,可能危害病人健康,甚至生命。其他医疗设备就不用担心吗,当然不是,研究员展示了如何篡改病人的实时生命体征,让医生施以不必要的治疗。

在进行实际攻击操作之前,McAfee高级威胁研究团队的高级安全研究员Doug McKee咨询过Shaun Nordeck医生,以确定病人的生命体征对于医生进行准确施救有多么重要。Nordeck医生表示,生命体征是临床决策中不可或缺的部分。并非所有医疗专家在作出治疗决策前,都会跑到每个病房来验证体征监控指标。

在Def Con大会上,McKee讨论了RWHAT协议的弱点,这是监控类医疗设备使用的网络协议之一。很多医院使用的大部分重要医疗系统都使用这一协议。McKee演示了如何利用协议漏洞,实时篡改传输的数据,混淆医生的判断。他认为,缺乏授权验证会导致一些流氓设备加入网络中,模拟病人的监控信号。

McAfee发布了两个视频向观众演示病人体征被实时篡改的情况。其中一个把心跳指标改成了一条直线,另一个则把正常心跳改成了剧烈跳动的指标,这些都会影响医生的决策。

Nordeck医生在解释这种攻击带来的影响时,说:“虚假的心跳曲线,即便只是间歇性的,也可能因干扰医生判断,而导致病人延长住院,增加病人额外的测试,而医生如果开出控制心律的药物,也会给病人带来副作用。医院还要承受不必要的资源消耗。”

McKee建议,医疗设备厂商必须对设备数据进行加密,并增加验证授权,这样会增加黑客攻击设备、篡改数据的难度。

六、结语

物联网时代,物联网安全研究必须要赶上物联网的发展速度,植入人体的IoT设备可不仅仅只有医疗设备,还会有更多其他需求的植入式IoT涌现。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 互联网
    +关注

    关注

    54

    文章

    11067

    浏览量

    102565
  • 物联网
    +关注

    关注

    2900

    文章

    43994

    浏览量

    369874

原文标题:Hacking Humans,天才黑客对物联网最后的警告

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    浅谈联网的优缺点

    联网(IoT)已成为现代人类世界的一部分,这项技术通过将日常物品连接到互联网并让它们收发有用的数据,改变了各个行业,当然也包括我们的日常生
    的头像 发表于 09-06 09:43 1641次阅读

    工业互联网远程监控平台是什么

    工业互联网远程监控平台:赋能智能制造的利器 在当今快速发展的工业领域,工业互联网远程监控平台正逐渐成为推动工业升级和数字化转型的重要力量。工业互联网平台,也被称为工业云平台或工业
    的头像 发表于 08-29 14:11 149次阅读

    esp8266已连接到Wifi但无法连接到互联网,为什么?

    首先,我想说对不起,如果我的帖子在错误的线程中。在那之后,我想问一个问题,我的 esp12E 已连接到 Wifi,但它无法连接到互联网,即使 wifi 连接到互联网和其他设备,它仍然完美地使用互联网
    发表于 07-09 07:11

    工业互联网平台中什么是关键

    工业互联网平台是工业领域数字化转型的重要支撑,其关键要素包括以下几个方面: 网络基础设施 网络基础设施是工业互联网平台的基础,包括有线网络、无线网络、联网等。工业
    的头像 发表于 07-02 09:37 604次阅读

    新基建工业互联网是什么?

    ”领域之一,是工业系统与高级计算、分析、感应技术以及互联网连接融合的大网络系统。它以平台为载体,汇聚了企业的上下游和生态链,改变了生产要素的生产关系,提高了生产力,产生了许多新的商业模式、服务能力和经济制度等。
    的头像 发表于 05-24 14:44 320次阅读

    传感器的工业互联网时代

    来源:传感器技术,谢谢 编辑:感知芯视界 Link 工业互联网 工业互联网的最早概念来自于美国,工业互联网时代,通过万互联的方法,将生产设
    的头像 发表于 05-23 09:24 295次阅读

    联网+uwb定位:打通万互联最后0.1米

    互联网时代进入联网时代?百科词条里对于“联网”的描述如下:
    的头像 发表于 05-13 12:04 1022次阅读
    <b class='flag-5'>物</b><b class='flag-5'>联网</b>+uwb定位:打通万<b class='flag-5'>物</b><b class='flag-5'>互联</b>最后0.1米

    什么是卫星互联网?卫星互联网的组成

    卫星互联网是指基于卫星通信技术接入互联网,其业务可覆盖全球。通过一定数量卫星的规模组网,构建具备实时信息传输能力的星座系统,卫星互联网可向终端用户提供以宽带互联网接入为主的通信服务。
    发表于 04-17 10:01 941次阅读
    什么是卫星<b class='flag-5'>互联网</b>?卫星<b class='flag-5'>互联网</b>的组成

    IPv6是互联网通信的未来

    开发出来的原因。通过提供几乎无限数量的IP地址,IPv6将彻底改变我们在互联网上的通信方式。IPv6在未来互联网通信中的重要性IPv6是最新的互联网协议,包含更多
    的头像 发表于 03-29 14:17 386次阅读
    IPv6是<b class='flag-5'>互联网</b>通信的未来

    工业互联网平台是什么

    工业互联网平台(Industrial Internet Platform)是面向工业领域的一种综合性的云计算和大数据分析平台。它将互联网联网、大数据、人工智能等新一代信息技术与传统
    的头像 发表于 03-28 15:38 1419次阅读

    工业互联网实训是什么?工业互联网实训包括哪些?

    工业互联网实训是一种针对工业互联网领域的培训课程,旨在帮助学员掌握工业互联网的基本概念、技术、应用和发展趋势。通过实训,学员可以了解工业互联网的体系架构、平台功能、应用场景和解决方案,
    的头像 发表于 01-17 17:00 936次阅读

    为什么选择无线SoC进行联网硬件开发?如何选择用于联网的无线SoC?

    如果说互联网改变了我们的工作和交流方式,那么,联网则通过一次将多个设备连接到互联网,实现了人与机器和机器与机器的交互。
    的头像 发表于 01-10 16:09 1324次阅读
    为什么选择无线SoC进行<b class='flag-5'>物</b><b class='flag-5'>联网</b>硬件开发?如何选择用于<b class='flag-5'>物</b><b class='flag-5'>联网</b>的无线SoC?

    跨周期,创未来!华秋喜获中国产业互联网十周年-杰出企业

    互联网、到移动互联网,再到产业互联网,中国互联网发展已经有20多年,近十年则是产业互联网迅猛发展的十年。近几年,随着中国数字经济的高速发展
    发表于 01-04 11:57

    华秋荣获亿邦动力2023产业互联网千峰奖,引领电子产业数字化变革

    喜讯! 继华秋荣获2023中国产业数字化百强榜企业 2023深圳行业领袖企业100强后 华秋再次荣获亿邦动力2023产业互****联网“千峰奖·数字供应链 12月1日晚,在2023亿邦产业互联网
    发表于 12-15 09:57

    华秋荣获亿邦动力2023产业互联网千峰奖

    喜讯! 继华秋荣获2023中国产业数字化百强榜企业 2023深圳行业领袖企业100强后 华秋再次荣获亿邦动力2023产业互****联网“千峰奖·数字供应链 12月1日晚,在2023亿邦产业互联网
    发表于 12-15 09:53