2023,
Москва |
Конференция
для профессионалов в ИТ и здравоохранении (16+) |
е-здравоохранение
стандартытелемедицина инфраструктураМИС ЕГИСЗэффективность инфобезопасность кадрыправо автоматизация |
|
|
Поделиться с коллегами
Хакеры рассекретили «дыру» в кардиостимуляторах, чтобы заработать на обвале акций производителя
30.08.2016
Сотрудники стартапа MedSec, который занимается информационной безопасностью, нашли уязвимости в кардиостимуляторах и дефибрилляторах производителя St. Jude Medical. Вместо того чтобы обратиться в саму компанию, они предложили главе крупной инвестиционной фирмы разыграть эту информацию на бирже.
Группа хакеров нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Medical. Вместо того чтобы сообщить компании об уязвимостях в ее продуктах, хакеры обратились к Карсону Блоку (Carson Block), главе инвестиционной фирмы Muddy Waters Capital, с беспрецедентным коммерческим предложением, которое поможет им вместе заработать.
Взломщики работают на стартап MedSec, который специализируется на информационной безопасности медицинского оборудования. Они вызвались обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.
Если бы акции St. Jude Medical остались на месте, убытки понесла бы только MedSec, которая потратила средства на исследования кардиостимуляторов и дефибрилляторов. Но этого не произошло – акции упали на 4,4% и стали торговаться по $77,5. На тот момент в обороте на бирже было 25 млн акций St. Jude Medical, таким образом при игре на понижение акций St. Jude Medical прибыль «медведей» могла превысить $80 млн.
По словам хакеров, уязвимость продуктов St. Jude Medical заключается в отсутствии шифрования и возможности подключаться к кардиостимуляторам и дефибрилляторам с неавторизованных устройств. MedSec утверждает, что кто угодно может подключиться к имплантам, вживленным в тела пациентов, и вызвать их фатальный сбой. О подобных угрозах говорят уже десять лет, но до сих пор риск, которому подвергаются сотни тысяч людей с имплантами St. Jude Medical, считался скорее теоретическим. Однако хакеры также скомпрометировали рентген-оборудование, анализаторы газов крови и другую технику в больницах и домах инвалидов, чтобы получить персональные данные пациентов. Ни MedSec, ни Muddy Waters пока не предают огласке ключевые технические подробности взлома.
Инцидент прокомментировала Кэндес Стил Флиппин (Candace Steele Flippin), вице-президент St. Jude Medical по внешним коммуникациям. Она заявила, что защита персональных данных является важнейшим приоритетом компании, и что St. Jude Medical осуществляет программу по тестированию информационной безопасности своего оборудования. В чем заключается программа, и какие изменения будут внесены в нее после происшествия, Флиппин не уточнила.
Обязательное условие этичного исследования безопасности – дать компании-производителю возможность ликвидировать уязвимости, прежде чем они станут широко известны массам потенциальных преступников. Но генеральный директор MedSec Джастин Боун (Justine Bone) заявил, что не может пойти этим путем, поскольку St. Jude Medical в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. MedSec и Muddy Waters ссылаются на данные расследования деятельности St. Jude Medical, предпринятого в 2014 г. Министерством внутренней безопасности США.
По словам Боуна, MedSec обратилась к Muddy Waters, поскольку у той уже есть опыт в привлечении крупных корпораций к ответственности. Боун считает, что St. Jude Medical могла бы уже многое сделать для обеспечения безопасности своих устройств – например, сменить ПО – но компания не предприняла никаких шагов.
Обратиться в инвестиционную фирму с предложением сделать деньги на обнаруженных уязвимостях – это очень нетривиальное решение для хакеров. Обычно они монетизируют найденные баги более избитым способом, обращаясь непосредственно к компании, которая производит скомпрометированное оборудование или ПО. Компания может заплатить им гонорар – так называемый bug bounty – а может и не заплатить. Но в любом случае она публично признает достижение хакеров, что создает им репутацию и в перспективе приводит к трудоустройству на перспективную вакансию. Впрочем, многие компании отказываются сотрудничать.
Еще один способ заработать на уязвимостях – продать код атаки на сером рынке какой-нибудь государственной структуре или кибероружейному дилеру. Такая сделка приносит до нескольких сотен тысяч долларов, и после нее использование атаки выходит из-под контроля хакера.
MedSec пошла по самому агрессивному пути, который некоторые разочарованные специалисты по информационной безопасности считают единственно верным. Компания считает, что только потеря значительных сумм заставит производителей техники обратить действительно серьезное внимание на кибер-защиту продуктов. При этом стартап сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь.