|
|||||||
|
|
|
 |
|
|
Strumenti |
02-09-2017, 09:01
|
#1 |
|
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75173
|
Link alla notizia: http://www.hwupgrade.it/news/sicurez...ali_70834.html
Un'azienda farmaceutica statunitense deve aggiornare il firmware di quasi 500 mila pacemaker perché affetti da vulnerabilità che potrebbero consentire di prenderne il controllo da remoto Click sul link per visualizzare la notizia. |
|
|
|
02-09-2017, 09:09
|
#2 |
|
Senior Member
Iscritto dal: Jan 2010
Messaggi: 7271
|
non vedo la novità, mi pare che tutto ciò che è "informatico" sia a rischio attacco, anche un tostapane "smart"
__________________
Telegram: @shutter1sland |
|
|
|
|
02-09-2017, 09:25
|
#3 |
|
Senior Member
Iscritto dal: Apr 2006
Città: Viareggio
Messaggi: 1499
|
Per favore recatevi al più presto ad una clinica LIMB per l'update.
__________________
Things are going to change Trattative concluse positivamente con molti utenti sul forum (non ci stanno più in firma!) |
|
|
|
|
02-09-2017, 09:43
|
#4 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Zena - Pegli
Messaggi: 1729
|
Se non ricordo male in un episodio della serie tv Homeland
c'era proprio un hackeraggio di pacemaker per uccidere una persona.
__________________
Intel Core i5 12500 Msi Pro Z690-P 32Gb Corsair Dominator Platinum GTX1660Super Sk Hynix P41 1Tb Crucial P5+ 1Tb Netac NV5000 2Tb AC Baydream LG 29WK500 Beelink Mini S12Pro N100 16Gb Ssd 512Gb Samsung Galaxy Tab A7 Realme XT |
|
|
|
02-09-2017, 10:30
|
#5 |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 20025
|
nel caso serva una pass, piuttosto che impronte strane e difficili da decifrare, io la farei tatuare sul corpo del paziente, magari come codice a barre o anche direttamente in chiaro, magari sotto il piede o in qualche altro posto poco visibile ma prontamente accessibile x emergenze.
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
02-09-2017, 10:42
|
#6 | |
|
Senior Member
Iscritto dal: Jan 2010
Messaggi: 7271
|
Quote:
__________________
Telegram: @shutter1sland |
|
|
|
|
|
02-09-2017, 11:49
|
#7 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 20025
|
Quote:
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
02-09-2017, 11:51
|
#8 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 20025
|
Quote:
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
02-09-2017, 12:19
|
#9 |
|
Senior Member
Iscritto dal: Jun 2004
Messaggi: 5615
|
solitamente gli upgrade riguardano il riconoscere o meno aritmie mortali, ma questo vale per quelli che sono anche defibrillatori.
Cioè, capita a volte che un eccessivo rallentamento o una particolare sequenza venga riconosciuta come pericolosa e al tizio venga data una scarica elettrica per far ripartire il cuore. In quei casi il software viene aggiornato e quella particolare sequenza esclusa dagli interventi...
__________________
I love old school pentium mmx 166@420 153% celeron 300@733 145% celeron 400@846 111% celeron 1300@2471 mhz a-data 3200 bh-5@330 mhz cas 2 2 2 5 abit nf7-s fsb@274,1 mhz I love homemade Tolotto per ram homemade Vaso dewar homemade Freezer cooling homemade -210,3° on LN2
|
|
|
|
|
02-09-2017, 17:08
|
#10 |
|
Senior Member
Iscritto dal: Nov 2007
Messaggi: 8368
|
esagero nel ritenere inaccettabile la cosa?
mica si parla di un pc, e che cacchio spero almeno che il tutto sia a carico dell'azienda |
|
|
|
|
02-09-2017, 18:17
|
#11 | |
|
Senior Member
Iscritto dal: Sep 2006
Città: Aprilia
Messaggi: 12597
|
Quote:
__________________
Quelli che dicevano che era impossibile non hanno mai fatto un tentativo Inventario Steam contattatemi se interessati |
|
|
|
|
|
02-09-2017, 18:38
|
#12 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 20025
|
Quote:
purtroppo gli scenari di attacco ormai sono sempre più vasti e quindi...
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
02-09-2017, 18:47
|
#13 |
|
Senior Member
Iscritto dal: Nov 2007
Messaggi: 8368
|
sarebbe cmq interessante sapere cosa prevede l'aggiornamento, ma è una cosa che spero non sarà divulgata
cmq sia, è vero che un sw bug free è impossibile, tuttavia ci sono vari livelli, a seconda dell'uso. e questo non è trattabile come un buco di un sw da ufficio ps: sempre se buco è, in effetti... |
|
|
|
|
03-09-2017, 12:46
|
#14 |
|
Bannato
Iscritto dal: May 2001
Messaggi: 6246
|
questi giocattoli hanno già un firmware con digital signature e la quasi totalità dei problemi di sicurezza risiedono non nel firmware del pacemaker, ma nell'OS che gestisce l'intefraccia di controllo con cui fanno il peer.
aggiungiamoci che queste interfacce possono essere acquistate tranquillamente su ebay ed il presupposto della sicurezza non esiste piu'. molte di queste interfaccie servono piu' modelli di dispositivi e basta dire che non hanno nemmeno un OS che prevede l'uso di autenticazione sicura, oltre al fatto che sono propriamente queste ad essere vulnerabili per l'adozione di software notoriamente buggato e mai patchato. sono comuni interfacce, macchinette, che usano windows (quasi sempre), e tra l'altro delle annate piu' vecchie (spesso windows CE); mai aggiornati per via di un sistema di validazione decisamente laborioso o per la totale assenza di supporto da parte del produttore del software. microsoft non certifica nulla sui suoi software; è tutto a carico degli sviluppatori. qualora si trovasse una falla, oggi, su WCE, si dovrebbe pagare di tasca propria Microsoft per un intervento straordinario (e non è detto che accetti, visto le implicazioni). quando si presenta una vulnerabilità sul core del sistema si dovrebbe patchare e ricertificare il tutto (procedura che porta via molto tempo, decisamente costosa, e che molto spesso verrebbe invalidata da ulteriori bug che nel frattempo vengono trovati, invalidando la procedura di aggiornamento software). è come quando ci si chiedeva perchè le aziende hanno difficoltà nell'aggiornare i propri sistemi informatici. per lo stesso motivo: stare al passo, cercando di verificare tutte le singole possibilità ed influenze del cambiamento di una qualsiasi dll su tutti i software in uso nell'azienda (anche se non ne fanno esplicito uso) significa dover investire ininterrottamente ed adeguatamente su un campo totalmente estraneo al proprio core business, in un periodo in cui non solo la sicurezza, ma proprio tutto quello inerente l'IT viene demandato a terzi esternalizzando. in un'articolo di qualche mese fa si faceva presente che molte di queste interfaccie usano dll di terze parti con bug noti che annoveravano, solo queste, 8600 vulnerabilità sfruttabili.... e le interfaccie le trovi su ebay. ora non sono a conoscenza se, in questo caso, è quel particolare pacemaker ad avere un firmware buggato, ma... la maggiorparte sono hackerabili da chiunque (e non da esperti, ma proprio il primo ragazzino brufoloso che ci vuole provare e trova i tools per scardinare gli OS standard delle interfacce di peer). tra l'altro rendere questi apparecchi invulnerabili per questo aspetto comprometterebbe la salute dei pazienti, perchè sarebbe possibile forzare l'apparecchio a comunicare solo con interfaccie certificate, come avviene oggi, ed in piu' forzarli a comunicare solo con la versione dell'interfaccia specifica con validazione software certificata per il peer, facendoli andare a braccetto tra apparecchio ed interfaccia ed escludendo cosi' le versioni precedenti e non superiori, ma... se il paziente non ha il firmware del pacemaker aggiornato? quale meccanismo previene che il digital signature dell'interfaccia possa essere valido per la stessa versione del firmware ma anche per quelle superiori, quando potrei tranquillamente modificare la signature dell'interfaccia con versione vecchia per farla sembrare una nuova? check di conferma remoto? e se in quel momento non ho la possibilità di connettermi? ed anche se fosse, se ho una versione dell'interfaccia vecchia? (mettiamo il caso che hai 2 scatolette, per fare questo, con una di back up, e che hai aggiornato solo quella di uso corrente, perchè forzata da remoto all'aggiornamento, ma non quella di backup... e sfortuna vuole che in quel momento si guasta quella principale e devi andare a prendere il backup... poi che fai? aspetti che fa gli aggiornamenti mentre non puoi intervenire sul paziente in nessun modo a causa del pacemacker?!) diventano meccanismi molto elaborati, che renderebbero gli interventi sul paziente piu' laboriosi e complicati, a danno della salute di questo. non sono giochi cosi' facili. sta di fatto che l'industria proprio non ha preso in considerazione la possibilità di una politica di sicurezza attiva non solo su questi prodotti, ma su tanti e tanti altri... l'IoT distruggerà il mondo per come lo conosciamo, se non si trovano modi per fare queste cose bene da subito, e la guerra tra open souce vs closed source non centra nulla... trovato il bug ( CHE E' SINTOMATICO NEI SOFTWARE) l'imperativo è riuscire a capire come curarlo in ogni macchina che lo processa, indipendentemente se è in linea o offline, forzatamente e senza reticenze... la metà dei sistemi linux che ci sono sulla terra sono buggati tanto quanto quelli windows, perchè se non si ha volontà o capacità per revisionare il software di qualsiasi cosa, ci saranno sempre e comunque problemi dovuti alla scarsa sensibilità sulla sicurezza... |
|
|
|
|
03-09-2017, 13:51
|
#15 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 20025
|
Quote:
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
03-09-2017, 14:01
|
#16 | |
|
Senior Member
Iscritto dal: Jun 2004
Messaggi: 5615
|
Quote:
__________________
I love old school pentium mmx 166@420 153% celeron 300@733 145% celeron 400@846 111% celeron 1300@2471 mhz a-data 3200 bh-5@330 mhz cas 2 2 2 5 abit nf7-s fsb@274,1 mhz I love homemade Tolotto per ram homemade Vaso dewar homemade Freezer cooling homemade -210,3° on LN2
|
|
|
|
|
|
03-09-2017, 14:12
|
#17 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 20025
|
Quote:
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
03-09-2017, 18:58
|
#18 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 404
|
Vi prego, 'interfacce'.
Ogni volta che ho letto 'interfaccie' si è fermato un peacemaker. |
|
|
|
|
04-09-2017, 08:01
|
#19 |
|
Senior Member
Iscritto dal: Aug 2000
Città: r0m@
Messaggi: 999
|
scusate, però un conto è il "programmatore" del PM ossia quella specie di portatile dedicato al quale si collega l'elettromagnete che serve per trasferire i parametri nella eprom dello stimolatore, un conto è lo stimolatore che, di norma, per essere influenzato richiede di appoggiare al petto, nel punto di impianto, la suddetta interfaccia magnetica o a carica conduttiva.
Quindi l'hackeraggio malevolo dovrebbe consentire di trasferire dal programmatore al PM dei parametri tali da danneggiare il paziente, ad esempio aumentando troppo le soglie di sensing per la stimolazione e lasciando in bradicardia un paziente con BAV di III grado e sensing/stimolazione con cateterismo bicamerale |
|
|
|
|
04-09-2017, 22:26
|
#20 |
|
Bannato
Iscritto dal: May 2001
Messaggi: 6246
|
se attacchi il programmatore puoi inserire firmware che lo facciano in una data, posteriore, prestabilita, ad esempio; ed è sufficiente un virus ad hoc.
per certi pazienti è comunque tanto essere ancora vivi... alcuni richiedono continui controlli da parte del pacemaker; reso inoperativo questo, il paziende è destinato a morire... è elettronica... basterebbe una brutta tempesta solare per metterlo in sovraccarico. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:52.
