seerozha (seerozha) wrote,
seerozha
seerozha

Кардиостимуляторы и информационная безопасность

"

Рассказать ли на конференции Defcon об уязвимости в кардиостимуляторах, которая позволяет убивать людей по Bluetooth? На первый взгляд, ответ очевидный — нет, нельзя, это неэтично, такую информацию следует держать в секрете от широкой публике, а только сообщить производителю в рамках стандартной практики информирования об уязвимостях нулевого дня.

Но если копнуть глубже, то ситуация не так проста, пишет Роберт Грэхем (Robert Graham) из Errata Security.

Во-первых, производители тех же кардиостимуляторов на десятилетия отстали в обеспечении безопасности своих продуктов. Часто там бэкдоры с простым дефолтным паролем (для сервисных целей), которые исключительно просто обнаружить — на это способен даже школьник, потратив несколько минут. Скрывать такие уязвимости мало смысла.

Во-вторых, производители практически не реагируют на сообщения от независимых специалистов по безопасности. Они прекрасно знают о наличии очевидных бэкдоров. И если им сообщают об уязвимости, они говорят: да, есть, мы об этом знаем, и в следующих моделях продукта исправим её. Ну а что касается старых устройств, то проще забыть про них, они постепенно выходят из строя, так сказать, естественным путём.

В сообществе ИБ принято считать, что публичное раскрытие 0day-уязвимостей, если вендор не реагирует на них, — правильное и хорошее дело, которое в перспективе улучшает общую ситуацию на рынке безопасности и стимулирует производителя к более активным действиям. Под давлением общественного мнения он всё-таки может что-то предпринять, а не просто отмахнуться от проблемы.

Но что, если публичное раскрытие информации будет стоить чьей-то жизни? Ведь это сложно оправдать нормами, которые сложились в индустрии информационной безопасности. К тому же, против исследователя могут завести настоящее уголовное дело, хотя в теории он защищён правом на свободу слова.

Может быть, подходящим вариантом было бы обращение в прессу, которая независима от медицинского лобби, с демонстрацией конкретного эксплойта для конкретного кардиостимулятора. Но если поднимется скандал в прессе, то информация о бэкдоре всё равно быстро попадёт в открытый доступ.

В общем, раскрытие 0day-уязвимостей к кардиостимуляторам поднимает ряд моральных и этических проблем. В связи с этим можно вспомнить историю хакера Джека Барнаби, который собирался выступить на Black Hat с докладом о дистанционном воздействии на кардиостимуляторы в августе 2013 года, но неожиданно умер за несколько дней до начала конференции.
"

Источник

Tags: ИБ, ИТ, информационно-технические системы
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment