اولین روش‌های هک ضربان ساز قلب تقریبا یک دهه پیش ظاهر شدند. اما آخرین نوع این فناوری وحشتناک به دستکاری فرمان‌های رادیویی وابسته نیست و بدافزار را مستقیما در ضربان ساز نصب می‌کند!

بیلی ریوس و جاناتان باتس دو متخصص امنیت هستند که به مدت دو سال روی تولیدکننده ضربان ساز Medtronic مطالعه کرده‌اند. این تولیدکننده پروگرامرهای ضربان ساز Carelink 2090 را ارائه می‌کنند که به گفته متخصصان آسیب‌پذیری‌های زیادی دارد. حتی سازمان امنیت ملی و سازمان غذا و داروی ایالات متحده هم به این مسئله ورود کرده است. اگرچه Medtronic برخی از این اشکالات را برطرف کرده، رویس و باکس معتقدند بسیاری از ایرادها همچنان پابرجا هستند و بیماران قلبی همچنان در معرض ریسک قرار دارند.

ریوس و باتس می‌گویند یک زنجیره از آسیب‌پذیری‌ها را در زیرساخت‌های Medtronic کشف کرد‌ه‌اند که هکرها می‌توانند از آن برای کنترل دستگاه از راه دور استفاده کنند. به این ترتیب می‌توان شوک‌هایی در دستگاه ایجاد کرد که بیمار به آنها نیاز ندارد یا شوک‌های مورد نیاز بیمار را حذف کرد.

باتس درباره اشکالات محصولات Medtronic می‌گوید: «اگر شرکت همان وقتی که صرف مباحثه با ما کرد را صرف رفع مشکلات کرده بود، بسیاری از مشکلات ساختاری رفع شده بود. حالا دو سال گذشته و هنوز بیماران در معرض خطر هک شدن فرایند درمان‌شان هستند. این یعنی هر کس می‌تواند یک شوک اضافی تولید کند یا شوک‌های ضروری را حذف کند. این بسیار وحشتناک است.»

ریوس و باتس باگ‌هایی که در شبکه تحویل نرم‌افزار Medtronic کشف کرده‌ بودند را افشا کردند. شبکه تحویل نرم‌افزار پلتفرمی است که مستقیما با ضربان ساز ارتباط برقرار نمی‌کند و به‌روزرسانی‌ها را به تجهیزات پشتیبان مثل مانیتورهای خانگی و پروگرامرها ارسال می‌کند. این به‌روزرسانی‌ها وظیفه تنظیم ضربان ساز قلب متناسب با وضعیت بیمار را دارند. از آنجایی که شبکه تحویل نرم‌افزار یک زیرساخت ابری اختصاصی است، نفوذ ریوس و باتس در آن برای پیدا کردن حفره‌های امنیتی غیرقانونی محسوب می‌شد. به همین خاطر آنها از طریق نقشه‌کشی از بیرون یک اثبات مفهوم طراحی کردند که آسیب‌پذیری‌ها را شبیه‌سازی می‌کرد. به این ترتیب یک پلتفرم مناسب و قانونی برای آزمایشات امنیتی به دست آوردند.

در ساختنی بخوانید :
ساخت کارخانه شبیه سازی دام در چین برای تامین غذای مردم

ده ماه طول کشید تا Medtronic به تحقیقات این دو نفر توجه کند و بعد از آن ترجیح دادند کاری برای ایمنی شبکه انجام ندهند. آنطور که در بیانیه شرکت آمده: «آسیب‌پذیری‌ها را در فرایند‌های داخلی بررسی کردیم و مشخص شد هیچ خطر ایمنی بالقوه‌ای در محصولات فعلی وجود ندارد. ریسک‌ها کاملا تحت کنترل هستند و مقدار ریسک باقیمانده هم پذیرفتنی است.

این بیاینه نتوانست نگرانی‌های اولیه محققان را برطرف کند. محققان که دیگر نمی‌توانستند روی زیرساخت ابری اختصاصی Medtronic تحقیق کنند، سراغ سایر جنبه‌های سیستم رفتند و چندتا ضربان ساز قلب خریدند و آنها را مستقیما دستکاری کردند. ریوس و باتس در یک کنفرانس نشان دادند هکرها چطور با اتصال به شبکه تحویل نرم‌افزار، پروگرامر ضربان ساز Medtronic را دستکاری می‌کنند. این حمله‌ها از فقدان امضای کد دیجیتال هم بهره می‌برند – یک روش ارزیابی رمزنگاری برای سنجش قانونی بودن کدها – تا به روز‌رسانی‌های دستکاری شده را نصب کنند و به این ترتیب کنترل پروگرامر را به دست بگیرند.

ریوس درباره اهمیت این موضوع می‌گوید: «اگر فقط کدها را امضا کنند، همه این مشکلات حل می‌شود اما به دلایلی از اینکار امتناع می‌کنند. ما یکی از رقبای این شرکت را پیدا کردیم که این تغییر را اعمال کرده است. آنها ضربان ساز قلب را با سیستمی مشابه Medtronic می‌سازند و کنترل می‌کنند اما از امضای کد دیجیتال هم استفاده می‌کنند. به همین خاطر به کمپانی Medtronic توصیه می‌کنیم این ویژگی را به محصولاتش اضافه کند.

اریکا وینکلز درباره این اظهارات می‌گوید: «همه دستگاه‌ها چند ریسک دارند و ما هم دائما در راستای برقراری تعادل بین ریسک‌ها و مزایای تولیدات‌مان تلاش می‌کنیم. Medtronic یک فرایند افشای قوی طراحی کرده و تمام آسیب‌پذیری‌های سابری را در محصولات و سیستم‌ در نظر دارد. در گذشته WhiteScope و LCC آسیب‌پذیری‌های بالقوه‌ای که قبلا خودمان بررسی کرده بودیم را پیدا کردند و ما با انتشار نوتیفیکیشن‌های مربوطه کاربران را از آنها مطلع کردیم. ما از آسیب‌پذیری‌های بالقوه دیگر مطلع نیستیم.»

در ساختنی بخوانید :
دوربین پولاروید جدید که به جوهر احتیاج ندارد

کمپانی Medtronic آسیب‌پذیری ابری شناسایی شده توسط ریوس و باتس را برطرف کرده است. این آسیب امکان دسترسی از راه دور به ضربان ساز قلب و تغییر برنامه آن را به هکرها می‌داد. اطلاعیه مربوط به این اصلاحات هم راهنمای کنترل سیستم‌های صنعتی سازمان امنیت ملی ایالات متحده ثبت شده است.

با این وجود ریوس و باتس معتقدند این راهنما ابهامات زیادی دارد و به نظر می‌رسد ضعف‌های امنیتی را بی‌اهمیت جلوه می‌دهد. مثلا در تمام بخش‌های راهنما آمده که «آسیب‌پذیری‌ها امکان دسترسی از راه دور را ندارد» حتی اگر هکرها از طریق اینترنت به سرور HTTP وصل بشوند یا سیگنال‌های رادیویی را دستکاری کنند. این درحالی است که آزمایشات این دو محقق نشان می‌دهد آسیب‌پذیری‌ها بسیار زیاد و قوی هستند و هر کسی که از دستگاه‌های ایمپلنت استفاده کند را در معرض خطر حمله و هک قرار می‌دهند.

در این بین Medtronic همچنان مدعی است نگرانی‌های محققان را بررسی کرد و در راستای بهبود امنیت دستگاه‌های ضربان ساز قلب تلاش می‌کند. اما ریوس می‎گوید ما آسیب‎پذیری‌ها و باگ‌های امنیتی این محصولات را به صورت عملی نشان داده‌ایم و امیدواریم بیماران درباره استفاده از این محصولات تصمیم درست بگیرند.

منبع