Исследователи слили данные об уязвимостях в медицинском оборудовании на сторону

Дебаты о том, этично ли раскрывать информацию о некоторых уязвимостях и о том, как именно это следует делать, ведутся не первый десяток лет. Ситуация, разворачивающаяся сейчас вокруг компании St. Jude Medical и ее якобы уязвимого оборудования, весьма интересна с этих позиций.

Исследователи компании MedSec, основанной в 2015 году, не скрывают того факта, что обратились к представителям Muddy Waters, преследуя финансовую выгоду. Обвал акций St. Jude Medical представлял собой идеальную возможность заработать на продажах без покрытия, о чем инвесторы и условились с исследователями.

Вместе с тем, в интервью изданию Bloomberg, исследователи заявили, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к проблеме.

«Мы понимаем, что нас будут критиковать за отступление от традиционных практик кибербезопасности, но мы считаем, что это единственный способ, который заставит St Jude Medical действовать», — пишет глава MedSec в официальном блоге.

Привлечь внимание к проблеме определенно удалось, особенно учитывая тот факт, что в совместном отчете MedSec и Muddy Waters рекомендуют St. Jude Medical отозвать почти половину своих устройств, и прогнозируют, что производитель потеряет порядка половины своих доходов в ближайшие два года. Также исследователи охотно описывали журналистам Bloomberg «худший сценарий развития событий», в ходе которого кто-нибудь может запустить массовую дистанционную атаку на имплантируемые девайсы, вызвав отказ в их работе. При этом в самом докладе сказано, что «прямой угрозы безопасности пациентов на данный момент нет».

Исследователи MedSec утверждают, что они изучали устройства St. Jude Medical почти полтора года и установили, что девайсы уязвимы для удаленных атак, которые могут либо привести к сбою (к примеру, атакующий может задать опасный для пациента сердечный ритм), либо к разрядке батареи девайса.

Кроме того, для настройки и мониторинга показаний кардиостимуляторов и дефибрилляторов используются программаторы Merlin.net, а также трансмиттеры Merlin@home. Решения Merlin@home устанавливаются дома у пациентов и на радиочастоте собирают данные о работе кардиоприборов, а затем переправляют информацию на серверы Merlin.net. Исследователи утверждают, что приобрести продукты Merlin@home можно даже на EBay, где они стоят не более $35. Согласно отчету, эти устройства практически никак не защищены, не имеют нормального механизма аутентификации, а значит, и могут быть использованы для атак на продукцию St. Jude Medical.

Специалисты MedSec сообщают, что даже создали proof-of-concept эксплоит, а представители Muddy Waters уверяют, что смогли воспроизвести работу эксплоита и атаку, «даже не имея опыта в сфере кибербезопасности».

Представители St. Jude Medical ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивает, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра.

«Все это ставит под вопрос методику тестирования, на которой основывается отчет Muddy Waters Capital и MedSec, — пишут St. Jude Medical. — Кроме того, описанный [в докладе] сценарий потребовал бы, чтобы пинги с расстояния двух метров продолжались на протяжении сотен часов, без перерыва. Проще говоря, пациент должен оставаться неподвижен много дней подряд, а хакеру придется провести это время на расстоянии двух метров от него. И хотя подобное крайне маловероятно, имплантируемые устройства спроектированы таким образом, что они предупреждают пациента вибрацией, если уровень заряда батареи снижается ниже определенной критической отметки».

Данный ответ позволил St. Jude Medical отыграть 3% стоимости акций, которые к тому моменту потеряли 8% своей стоимости. Однако неизвестно, как сложатся дела компании дальше. Весной 2016 года сообщалось, что компания Abbott Laboratories намерена приобрести  St. Jude Medical за $25 млрд, и какая судьба теперь ждет эту сделку, которую планировали завершить до конца года, неясно. Многие эксперты считают, что представителям St. Jude Medicalпора уже обращаться в суд, а также в Государственную комиссию по ценным бумагам и фондовому рынку.

Дебаты о том, этично ли раскрывать информацию о некоторых уязвимостях и о том, как именно это следует делать, ведутся не первый десяток лет. Ситуация, разворачивающаяся сейчас вокруг компании St. Jude Medical и ее якобы уязвимого оборудования, весьма интересна с этих позиций.

Исследователи компании MedSec, основанной в 2015 году, не скрывают того факта, что обратились к представителям Muddy Waters, преследуя финансовую выгоду. Обвал акций St. Jude Medical представлял собой идеальную возможность заработать на продажах без покрытия, о чем инвесторы и условились с исследователями.

Вместе с тем, в интервью изданию Bloomberg, исследователи заявили, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к проблеме.

«Мы понимаем, что нас будут критиковать за отступление от традиционных практик кибербезопасности, но мы считаем, что это единственный способ, который заставит St Jude Medical действовать», — пишет глава MedSec в официальном блоге.

Привлечь внимание к проблеме определенно удалось, особенно учитывая тот факт, что в совместном отчете MedSec и Muddy Waters рекомендуют St. Jude Medical отозвать почти половину своих устройств, и прогнозируют, что производитель потеряет порядка половины своих доходов в ближайшие два года. Также исследователи охотно описывали журналистам Bloomberg «худший сценарий развития событий», в ходе которого кто-нибудь может запустить массовую дистанционную атаку на имплантируемые девайсы, вызвав отказ в их работе. При этом в самом докладе сказано, что «прямой угрозы безопасности пациентов на данный момент нет».

Исследователи MedSec утверждают, что они изучали устройства St. Jude Medical почти полтора года и установили, что девайсы уязвимы для удаленных атак, которые могут либо привести к сбою (к примеру, атакующий может задать опасный для пациента сердечный ритм), либо к разрядке батареи девайса.

Кроме того, для настройки и мониторинга показаний кардиостимуляторов и дефибрилляторов используются программаторы Merlin.net, а также трансмиттеры Merlin@home. Решения Merlin@home устанавливаются дома у пациентов и на радиочастоте собирают данные о работе кардиоприборов, а затем переправляют информацию на серверы Merlin.net. Исследователи утверждают, что приобрести продукты Merlin@home можно даже на EBay, где они стоят не более $35. Согласно отчету, эти устройства практически никак не защищены, не имеют нормального механизма аутентификации, а значит, и могут быть использованы для атак на продукцию St. Jude Medical.

Специалисты MedSec сообщают, что даже создали proof-of-concept эксплоит, а представители Muddy Waters уверяют, что смогли воспроизвести работу эксплоита и атаку, «даже не имея опыта в сфере кибербезопасности».

Представители St. Jude Medical ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивает, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра.

«Все это ставит под вопрос методику тестирования, на которой основывается отчет Muddy Waters Capital и MedSec, — пишут St. Jude Medical. — Кроме того, описанный [в докладе] сценарий потребовал бы, чтобы пинги с расстояния двух метров продолжались на протяжении сотен часов, без перерыва. Проще говоря, пациент должен оставаться неподвижен много дней подряд, а хакеру придется провести это время на расстоянии двух метров от него. И хотя подобное крайне маловероятно, имплантируемые устройства спроектированы таким образом, что они предупреждают пациента вибрацией, если уровень заряда батареи снижается ниже определенной критической отметки».

Данный ответ позволил St. Jude Medical отыграть 3% стоимости акций, которые к тому моменту потеряли 8% своей стоимости. Однако неизвестно, как сложатся дела компании дальше. Весной 2016 года сообщалось, что компания Abbott Laboratories намерена приобрести  St. Jude Medical за $25 млрд, и какая судьба теперь ждет эту сделку, которую планировали завершить до конца года, неясно. Многие эксперты считают, что представителям St. Jude Medicalпора уже обращаться в суд, а также в Государственную комиссию по ценным бумагам и фондовому рынку.