Teknologia

Sydämen­tahdistimesta löytyi tietoturvapuutteita – Tutkijat onnistuivat ujuttamaan laitteeseen hengenvaarallisen haittaohjelman

Sydämentahdistimien ohjelmointilaite toimii käyttöjärjestelmällä, jota ei enää päivitetä, lähettää ohjelmistoja suojaamattomalla verkkoyhteydellä.

Sydämentahdistimenkin voi hakkeroida hengenvaarallisin seurauksia, todistettiin jo vuonna 2012.

Silloin uusiseelantilainen tietoturvatutkija Barnaby Jack esitteli hakkerointitempun, jolla sai tahdistimen antamaan ylimääräisen 830 voltin iskun.

Luulisi, että mahdollisuus tahdistimen käyttäjän huomaamattomaan murhaamiseen olisi saanut jokaisen tahdistimien valmistajan hätääntymään potilaidensa turvallisuudesta.

Ikävä kyllä näin ei käynyt, vaan uusia tietoturvapuutteita löytyy yhä, eivätkä kaikki valmistajat vaikuta edes kiinnostuneilta korjaamaan haavoittuvia laitteitaan.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tietoturvatutkijat Billy Rios ja Jonathan Butts esittelivät löytönsä torstaina maailman suurimmassa tietoturvatapahtumassa Blackhatissa Yhdysvaltojen Las Vegasissa.

Asiasta kertoivat teknologiajulkaisut Wired ja Ars Technica.

Tällä kertaa hengenvaaraa aiheuttaa tahdistimien ohjelmointiin käytettävä Medtronic-valmistajan Carelink-mallia 2090.

Alunperin tietoturvatutkijat epäilivät, että valmistajan ohjelmistoja välittävässä verkossa oli puutteita. Yhtiö käyttää verkkoa laitteiden ohjelmistopäivityksien lataamiseen. Tällaisia ovat monitorointilaitteet ja tahdistimien ohjelmointiin käytettävät laitteet, joita hoitohenkilökunta käyttää asiakkailla olevien laitteiden hienosäätöön.

Sitten Rios ja Butts kiinnittivät tarkempaa huomiota hoitohenkilökunnan käyttämään laitteeseen, Carelinkiin.

He löysivät useita tietoturvapuutteita. He pystyivät jopa saamaan tahdistimia hallintaansa ja ujuttamaan laitteisiin haittaohjelmia.

Tämä tapahtui tietysti simuloidussa ympäristössä. Tietoturvatutkijat eivät lähtökohtaisesti murtaudu käytössä oleviin laitteisiin tai järjestelmiin ja vaaranna näin ihmisten turvallisuutta, vaan osoittavat simuloinneilla, mitä pahantekijät voivat tehdä.

”Puhuimme siitä, että toisimme mukanamme [tietoturvakonferenssin esitykseen] elävän sian, koska meillä on puhelimissamme sovellukset joilla sen voisi tappaa pelkällä iPhonella. Tämä olisi todella demonstroinut, miten merkittävät seuraukset asialla on”, sanoi Butts asiasta Wired-lehdelle.

Suunnitelma jäi kuitenkin toteuttamatta.

”Mutta ongelma itsessään koskettaa suuria määriä ihmisiä. Lähes jokainen, jolla on jokin implanttilaite itsessään, on tämän hakkeroinnin seurausten mahdollinen kohde.”

Hakkeroinnin mahdollisti muun muassa se, ettei ohjelmistopäivityksiä välitetä suojatun https-yhteyden kautta. Lisäksi laiteohjelmistoille ei annettu digitaaliseksi allekirjoitukseksi kutsuttua tunnistetta.

Näiden puutteiden takia Rios ja Butts saivat ujutettua laitteen käsiteltäväksi väärennetyn laiteohjelmiston, jollaista laitteella tahdistimia ohjelmoiva lääkäri tuskin pystyisi tunnistamaan.

Laiteohjelmiston avulla tahdistimia voi etähallita tai ohjelmoida ne potilaiden kannalta hengenvaarallisiksi. Rytmihäiriötahdistimen voi esimerkiksi käskeä antamaan ylimääräisiä ja liian voimakkaita sähköiskuja.

Tietoturvatutkijat Rios ja Butts ottivat Medtronic-laitevalmistajaan yhteyttä alunperin jo tammikuussa 2017 arveltuaan, että ohjelmistoja välittävässä verkossa saattaa olla puutteita.

Asiasta kertoneen Wired-lehden mukaan yhtiöllä kesti kymmenen kuukautta tutkia asia, jonka jälkeen se päätti ettei uusia turvallisuusuhkia ollut tullut ilmi ja ettei asia johda mihinkään toimenpiteisiin.

Wiredille yhtiön edustaja kommentoi, että se puuttuu havaintoihin jämäkästi ja koordinoidusti ja että kaikkien laitteiden käyttöön liittyy väistämättä riskejä. Joitakin Riosin ja Buttsin aiemmassa vaiheessa löytämiä puutteita Carelink-laitteiden käyttämästä verkoista oli korjattukin.

Carelink-laitteen käyttöjärjestelemänä on Windows XP, jonka ensimmäinen versio julkaistiin vuonna 2001.

Windows ei enää aktiivisesti päivitä kyseistä käyttöjärjestelmää, minkä takia uudet tietoturvauhat iskevät siihen kaikkein kivuliaimmin.

Esimerkiksi keväällä 2017 kansainvälisesti levinnyt kiristyshaittaohjelma Wannacry saastutti Britannian julkisessa terveydenhuollossa ainakin 47 terveydenhoitopiirin verkot. Niistä 90 prosenttia käytti edelleen Windowsin XP -käyttöjärjestelmää.

    Seuraa uutisia tästä aiheesta

  • Tietoturva
  • Lääketiede
  • Laura Halminen

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Tomi Metsäkedon törkeästä kunnianloukkauksesta syytetään neljää naista

    2. 2

      Touko Aallon tapaus tarjosi Venäjän medialle varsinaisen herkkupalan – siihen yhdistyi kolme keskeistä mielikuvaa, joita suomalaisista yritetään iskostaa venäläisiin

    3. 3

      Suomalaiset naistenlehdet julkaisivat viime vuonna 268 kansikuvaa, joista seitsemässä oli ”person of color” – ei ihme, ettei termille ole edes suomennosta

    4. 4

      ”Teen tyhjänpäiväistä mukatyötä” – Sari tekee viikon hommat päivässä, ja moni muukin kokee työnsä turhaksi

      Tilaajille
    5. 5

      Suomalaisia miniasuntoja kauhistellaan jo ulkomailla, sanoo kaupunkiprofessori Mari Vaattovaara – ”Köyhille rakennetaan hellahuoneita”

    6. 6

      Yksityistetty vankila luisui niin pahaan kaaokseen, että brittihallitus joutui ottamaan sen takaisin haltuunsa

    7. 7

      Juutalainen seurakunta: Weekend-festivaalin aikana hajotettu hautausmaan muuri on historiallisesti arvokas – ”Käsivoimin on revitty kiviä alas”

    8. 8

      Yhä useampi meistä saa syövän, mutta miksi? Jopa 40 prosenttia syövistä voisi jäädä syntymättä, jos ihmiset eläisivät paremmin

      Tilaajille
    9. 9

      Miksi valtio velkaantuu yhä, vaikka Suomi elää nousukauden huippua? HS selvitti, mihin rahamme nyt menevät

    10. 10

      Hallituspuolueet jyräsivät opposition: Eduskunnan sote-valiokunta ei enää kuule asiantuntijoita

    11. Näytä lisää
    1. 1

      Miksi valtio velkaantuu yhä, vaikka Suomi elää nousukauden huippua? HS selvitti, mihin rahamme nyt menevät

    2. 2

      Pastan ja riisin välttelyllä voi olla vakavia seurauksia, kertoo tuore tutkimus – asiantuntijat neuvovat, miten vähentää hiilihydraatteja turvallisesti

    3. 3

      Sikiön sydän löi, vaikka Susannan munanjohtimet oli poistettu – Lääkärit eivät ymmärrä, miten hän voi olla raskaana

      Tilaajille
    4. 4

      Hietaniemen hautausmaan ylipuutarhuri kuvailee Weekend Festivalin aiheuttamia ongelmia pitkän uransa pahimmiksi – festivaalin edustaja ja poliisi eivät jaa näkemystä tuhoista

    5. 5

      Suomalaisia miniasuntoja kauhistellaan jo ulkomailla, sanoo kaupunkiprofessori Mari Vaattovaara – ”Köyhille rakennetaan hellahuoneita”

    6. 6

      Trump ihastui tosi-tv-tähden häikäilemättö­myyteen mutta ei arvannut, mihin se johtaisi – Näin Omarosa Manigault-Newmanista tuli Valkoisen talon uusi vihollinen

    7. 7

      ”Teen tyhjänpäiväistä mukatyötä” – Sari tekee viikon hommat päivässä, ja moni muukin kokee työnsä turhaksi

      Tilaajille
    8. 8

      Yhä useampi meistä saa syövän, mutta miksi? Jopa 40 prosenttia syövistä voisi jäädä syntymättä, jos ihmiset eläisivät paremmin

      Tilaajille
    9. 9

      Tomi Metsäkedon törkeästä kunnianloukkauksesta syytetään neljää naista

    10. 10

      New York Times: #metoo-johto­hahmo Asia Argento maksoi satoja­tuhansia dollareita häntä seksuaalisesta ahdistelusta syyttäneelle miehelle

    11. Näytä lisää
    1. 1

      Yali Liu hämmästyi, kun suomalaiskollegat ottivat lounaspuheet tosissaan – Kolme Suomessa työskentelevää ulkomaalaista kertoo, miten me teemme töitä

      Tilaajille
    2. 2

      Solakka mies, joka myi huumeita, lakanoita ja seuraansa – Jari Sillanpään hovihankkija rakasti huippuhotelleja ja kärähti lapsipornosta

      Tilaajille
    3. 3

      Kuplavolkkarin nimi oli Jenny, ja sen lokasuojassa kulki maailmalle jotain poikkeuksellista – Kolme suomalaista taltioi Tšekkoslovakian miehitystä 1968, ja nyt HS näyttää ainutlaatuisen materiaalin

    4. 4

      ”Tule kotiin <3”, kirjoitti Eveliina Rimpeläinen – Sitä ennen hänen miehensä humalainen kaahailu oli katkennut piikkimattoon ja epäilyyn poliisin murhan yrityksestä

      Tilaajille
    5. 5

      Hermostunut polkupyöräilijä pysäytti Onnibusin keskelle Mannerheimin­tietä, poliisi nuhteli osapuolet – ”Minusta oli täydellisen perusteltua jäädä kaistalle”

    6. 6

      Sikiön sydän löi, vaikka Susannan munanjohtimet oli poistettu – Lääkärit eivät ymmärrä, miten hän voi olla raskaana

      Tilaajille
    7. 7

      Festareiden silmiinpistävät: Flow’hun kultaisiin legginseihin pukeutuneet miehet: “Missään muualla kuin Mummotunnelissa mua ei ole kähmitty näin paljon”

    8. 8

      Genovan alueelle julistettiin vuoden hätätila tiistain siltaromahduksen vuoksi – Video näyttää täpärän pelastumisen

    9. 9

      Helsinkiläiskoulu jakoi oppilaat eri ryhmiin sukupuolen mukaan – Jenni Korkeaojan lapsi lähti tunnille, jonka nimi on lukujärjestyksessä ”Pojat”

    10. 10

      Kuvia Suomesta, osa 34: Akseli Valmunen palasi kesällä Lappiin kuvaamaan autioita turistikohteita

    11. Näytä lisää