В прошлый четверг, 25 августа 2016 года, исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Capital заявили, что медицинское оборудование компании St. Jude Medical содержит многочисленные уязвимости и представляет опасность для пациентов. Исследователи и инвесторы представили совместный аналитический отчет (PDF), который содержал мало конкретных данных о найденных уязвимостях, но все равно спровоцировал стремительное падение акций St. Jude Medical. Теперь производитель кардиостимуляторов и имплантируемых кардиовертеров утверждает, что исследователи лгут и объединились с Muddy Waters, преследуя финансовую выгоду.

Дебаты о том, этично ли раскрывать информацию о некоторых уязвимостях и о том, как именно это следует делать, ведутся не первый десяток лет. Ситуация, разворачивающаяся сейчас вокруг компании St. Jude Medical и ее якобы уязвимого оборудования, весьма интересна с этих позиций.

Исследователи компании MedSec, основанной в 2015 году, не скрывают того факта, что обратились к представителям Muddy Waters, преследуя финансовую выгоду. Обвал акций St. Jude Medical представлял собой идеальную возможность заработать на продажах без покрытия, о чем инвесторы и условились с исследователями.

Вместе с тем, в интервью изданию Bloomberg, исследователи заявили, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к проблеме.

«Мы понимаем, что нас будут критиковать за отступление от традиционных практик кибербезопасности, но мы считаем, что это единственный способ, который заставит St Jude Medical действовать», — пишет глава MedSec в официальном блоге.

Привлечь внимание к проблеме определенно удалось, особенно учитывая тот факт, что в совместном отчете MedSec и Muddy Waters рекомендуют St. Jude Medical отозвать почти половину своих устройств, и прогнозируют, что производитель потеряет порядка половины своих доходов в ближайшие два года. Также исследователи охотно описывали журналистам Bloomberg «худший сценарий развития событий», в ходе которого кто-нибудь может запустить массовую дистанционную атаку на имплантируемые девайсы, вызвав отказ в их работе. При этом в самом докладе сказано, что «прямой угрозы безопасности пациентов на данный момент нет».

Исследователи MedSec утверждают, что они изучали устройства St. Jude Medical почти полтора года и установили, что девайсы уязвимы для удаленных атак, которые могут либо привести к сбою (к примеру, атакующий может задать опасный для пациента сердечный ритм), либо к разрядке батареи девайса.

Кроме того, для настройки и мониторинга показаний кардиостимуляторов и дефибрилляторов используются программаторы Merlin.net, а также трансмиттеры Merlin@home. Решения Merlin@home устанавливаются дома у пациентов и на радиочастоте собирают данные о работе кардиоприборов, а затем переправляют информацию на серверы Merlin.net. Исследователи утверждают, что приобрести продукты Merlin@home можно даже на EBay, где они стоят не более $35. Согласно отчету, эти устройства практически никак не защищены, не имеют нормального механизма аутентификации, а значит, и могут быть использованы для атак на продукцию St. Jude Medical.

Capture

Специалисты MedSec сообщают, что даже создали proof-of-concept эксплоит, а представители Muddy Waters уверяют, что смогли воспроизвести работу эксплоита и атаку, «даже не имея опыта в сфере кибербезопасности».

Представители St. Jude Medical ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивает, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра.

«Все это ставит под вопрос методику тестирования, на которой основывается отчет Muddy Waters Capital и MedSec, — пишут St. Jude Medical. — Кроме того, описанный [в докладе] сценарий потребовал бы, чтобы пинги с расстояния двух метров продолжались на протяжении сотен часов, без перерыва. Проще говоря, пациент должен оставаться неподвижен много дней подряд, а хакеру придется провести это время на расстоянии двух метров от него. И хотя подобное крайне маловероятно, имплантируемые устройства спроектированы таким образом, что они предупреждают пациента вибрацией, если уровень заряда батареи снижается ниже определенной критической отметки».

Данный ответ позволил St. Jude Medical отыграть 3% стоимости акций, которые к тому моменту потеряли 8% своей стоимости. Однако неизвестно, как сложатся дела компании дальше. Весной 2016 года сообщалось, что компания Abbott Laboratories намерена приобрести  St. Jude Medical за $25 млрд, и какая судьба теперь ждет эту сделку, которую планировали завершить до конца года, неясно. Многие эксперты считают, что представителям St. Jude Medicalпора уже обращаться в суд, а также в Государственную комиссию по ценным бумагам и фондовому рынку.

2 комментария

  1. GingerBeard

    30.08.2016 at 10:58

    Я вообще не понимаю такой ситуации, когда есть потенциально уязвимое устройство, в стране-производителе есть достаточная скамья смертников (ожидающих исполнения приговора по 10-15 лет и содержащихся за счёт налогоплательщиков, между прочим), и им почему-то некие псевдо-этические нормы мешают совместить «приятное с полезным» и предоставить исследователям нескольких подопытных зверушек.

  2. Jeffrey Davis

    30.08.2016 at 11:39

    Молодцы.

    MedSec и Muddy Waters рекомендуют St. Jude Medical отозвать почти половину своих устройств

    Ага, прям из сердца?
    Тема отличная, конечно.

Оставить мнение

Check Also

Новая версия банкера Dridex взяла на вооружение технику «атомной бомбардировки»

Специалисты IBM X-Force обнаружили новую версию трояна Dridex, и это первая малварь, приме…