0day-уязвимость для кардиостимуляторов: рассекречивать?
Рассказать ли на конференции Defcon об уязвимости в кардиостимуляторах, которая позволяет убивать людей по Bluetooth? На первый взгляд, ответ очевидный — нет, нельзя, это неэтично, такую информацию следует держать в секрете от широкой публике, а только сообщить производителю в рамках стандартной практики информирования об уязвимостях нулевого дня.
Но если копнуть глубже, то ситуация не так проста, пишет Роберт Грэхем (Robert Graham) из Errata Security.
Во-первых, производители тех же кардиостимуляторов на десятилетия отстали в обеспечении безопасности своих продуктов. Часто там бэкдоры с простым дефолтным паролем (для сервисных целей), которые исключительно просто обнаружить — на это способен даже школьник, потратив несколько минут. Скрывать такие уязвимости мало смысла.
Во-вторых, производители практически не реагируют на сообщения от независимых специалистов по безопасности. Они прекрасно знают о наличии очевидных бэкдоров. И если им сообщают об уязвимости, они говорят: да, есть, мы об этом знаем, и в следующих моделях продукта исправим её. Ну а что касается старых устройств, то проще забыть про них, они постепенно выходят из строя, так сказать, естественным путём.
В сообществе ИБ принято считать, что публичное раскрытие 0day-уязвимостей, если вендор не реагирует на них, — правильное и хорошее дело, которое в перспективе улучшает общую ситуацию на рынке безопасности и стимулирует производителя к более активным действиям.
Под давлением общественного мнения он всё-таки может что-то предпринять, а не просто отмахнуться от проблемы.
Но что, если публичное раскрытие информации будет стоить чьей-то жизни? Ведь это сложно оправдать нормами, которые сложились в индустрии информационной безопасности. К тому же, против исследователя могут завести настоящее уголовное дело, хотя в теории он защищён правом на свободу слова.
Может быть, подходящим вариантом было бы обращение в прессу, которая независима от медицинского лобби, с демонстрацией конкретного эксплойта для конкретного кардиостимулятора. Но если поднимется скандал в прессе, то информация о бэкдоре всё равно быстро попадёт в открытый доступ.
В общем, раскрытие 0day-уязвимостей к кардиостимуляторам поднимает ряд моральных и этических проблем. В связи с этим можно вспомнить историю хакера Джека Барнаби, который собирался выступить на Black Hat с докладом о дистанционном воздействии на кардиостимуляторы в августе 2013 года, но неожиданно умер за несколько дней до начала конференции.
Комментарии
В инструкции было указано - избегать сильных электромагнитных полей, высоковольтных линий электропередач, беспроводных телефонов, магнитных рамок в магазинах и т.п. Про Wi-Fi двадцать лет назад ещё разговора не было.
Убить человека можно и по другому, даже здорового, или основательно навредить, с помощью инфразвука определенной частоты.
А колебания, кратные пульсу человеческого сердца, могут быть действительно опасны.
В одном бюро персонал загибался, оказалось - в коробе вентиляции за окном боковая стенка вибрировала, с частотой в несколько Герц.
Мне в школе попалась книжка поляка Войцеховского "Радиоэлектронные игрушки". Начали с друзьями всякие штучки оттуда мастерить. Так я себе "Электросон" смастерил - генератор определённых сигналов , подаваемых на веки и затылок.
Главное, нужный для безопасности сетевой разделительный трансформатор поленился мотать, а нужного напряжения добился , просто подобрав включённый последовательно к розетке гасящий конденсатор.... К тому же, как на грех, не нашлось потенциометра нужного номинала с линейной характеристикой "А", а подвернулся с "С". Т.е. напряжение прибавлялось не плавно, а скачком, по экспоненте...
Прилепил электроды (причём пара была на глазах), добавил напруги... Одного эксперимента хватило...
Живой, как видите, хотя и других испытаний было предостаточно, бог меня миловал...
А в институте лаборант(!) на кафедре радиоэлектроники, чтобы получить 450 Вольт переменного тока, додумался соединить две соседние розетки последовательно. Шикарное К.З. получилось, студентам на радость... :))
У нас, сосед с фазами экспериментировал, сноп искр, орлавленная отвёртка и две многоэтажки без света. От соседских люлей, его спасли две крепкие металлические двери квартиры. Всё равно, потом начесали ему репу и столкнули с лестницы. Итог - сломанная нога горе-электрика и фингал на пол морды.))) Теперь, вообще к электричеству не подходит.
Как фильмец этот называется? Навредить сигналом инфразвука можно, но надо так продумать, чтоб и самому под его прослушивание не попасть.