Teknologia

Sydämen­tahdistimesta löytyi tietoturvapuutteita – Tutkijat onnistuivat ujuttamaan laitteeseen hengenvaarallisen haittaohjelman

Sydämentahdistimien ohjelmointilaite toimii käyttöjärjestelmällä, jota ei enää päivitetä, lähettää ohjelmistoja suojaamattomalla verkkoyhteydellä.

Sydämentahdistimenkin voi hakkeroida hengenvaarallisin seurauksia, todistettiin jo vuonna 2012.

Silloin uusiseelantilainen tietoturvatutkija Barnaby Jack esitteli hakkerointitempun, jolla sai tahdistimen antamaan ylimääräisen 830 voltin iskun.

Luulisi, että mahdollisuus tahdistimen käyttäjän huomaamattomaan murhaamiseen olisi saanut jokaisen tahdistimien valmistajan hätääntymään potilaidensa turvallisuudesta.

Ikävä kyllä näin ei käynyt, vaan uusia tietoturvapuutteita löytyy yhä, eivätkä kaikki valmistajat vaikuta edes kiinnostuneilta korjaamaan haavoittuvia laitteitaan.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tietoturvatutkijat Billy Rios ja Jonathan Butts esittelivät löytönsä torstaina maailman suurimmassa tietoturvatapahtumassa Blackhatissa Yhdysvaltojen Las Vegasissa.

Asiasta kertoivat teknologiajulkaisut Wired ja Ars Technica.

Tällä kertaa hengenvaaraa aiheuttaa tahdistimien ohjelmointiin käytettävä Medtronic-valmistajan Carelink-mallia 2090.

Alunperin tietoturvatutkijat epäilivät, että valmistajan ohjelmistoja välittävässä verkossa oli puutteita. Yhtiö käyttää verkkoa laitteiden ohjelmistopäivityksien lataamiseen. Tällaisia ovat monitorointilaitteet ja tahdistimien ohjelmointiin käytettävät laitteet, joita hoitohenkilökunta käyttää asiakkailla olevien laitteiden hienosäätöön.

Sitten Rios ja Butts kiinnittivät tarkempaa huomiota hoitohenkilökunnan käyttämään laitteeseen, Carelinkiin.

He löysivät useita tietoturvapuutteita. He pystyivät jopa saamaan tahdistimia hallintaansa ja ujuttamaan laitteisiin haittaohjelmia.

Tämä tapahtui tietysti simuloidussa ympäristössä. Tietoturvatutkijat eivät lähtökohtaisesti murtaudu käytössä oleviin laitteisiin tai järjestelmiin ja vaaranna näin ihmisten turvallisuutta, vaan osoittavat simuloinneilla, mitä pahantekijät voivat tehdä.

”Puhuimme siitä, että toisimme mukanamme [tietoturvakonferenssin esitykseen] elävän sian, koska meillä on puhelimissamme sovellukset joilla sen voisi tappaa pelkällä iPhonella. Tämä olisi todella demonstroinut, miten merkittävät seuraukset asialla on”, sanoi Butts asiasta Wired-lehdelle.

Suunnitelma jäi kuitenkin toteuttamatta.

”Mutta ongelma itsessään koskettaa suuria määriä ihmisiä. Lähes jokainen, jolla on jokin implanttilaite itsessään, on tämän hakkeroinnin seurausten mahdollinen kohde.”

Hakkeroinnin mahdollisti muun muassa se, ettei ohjelmistopäivityksiä välitetä suojatun https-yhteyden kautta. Lisäksi laiteohjelmistoille ei annettu digitaaliseksi allekirjoitukseksi kutsuttua tunnistetta.

Näiden puutteiden takia Rios ja Butts saivat ujutettua laitteen käsiteltäväksi väärennetyn laiteohjelmiston, jollaista laitteella tahdistimia ohjelmoiva lääkäri tuskin pystyisi tunnistamaan.

Laiteohjelmiston avulla tahdistimia voi etähallita tai ohjelmoida ne potilaiden kannalta hengenvaarallisiksi. Rytmihäiriötahdistimen voi esimerkiksi käskeä antamaan ylimääräisiä ja liian voimakkaita sähköiskuja.

Tietoturvatutkijat Rios ja Butts ottivat Medtronic-laitevalmistajaan yhteyttä alunperin jo tammikuussa 2017 arveltuaan, että ohjelmistoja välittävässä verkossa saattaa olla puutteita.

Asiasta kertoneen Wired-lehden mukaan yhtiöllä kesti kymmenen kuukautta tutkia asia, jonka jälkeen se päätti ettei uusia turvallisuusuhkia ollut tullut ilmi ja ettei asia johda mihinkään toimenpiteisiin.

Wiredille yhtiön edustaja kommentoi, että se puuttuu havaintoihin jämäkästi ja koordinoidusti ja että kaikkien laitteiden käyttöön liittyy väistämättä riskejä. Joitakin Riosin ja Buttsin aiemmassa vaiheessa löytämiä puutteita Carelink-laitteiden käyttämästä verkoista oli korjattukin.

Carelink-laitteen käyttöjärjestelemänä on Windows XP, jonka ensimmäinen versio julkaistiin vuonna 2001.

Windows ei enää aktiivisesti päivitä kyseistä käyttöjärjestelmää, minkä takia uudet tietoturvauhat iskevät siihen kaikkein kivuliaimmin.

Esimerkiksi keväällä 2017 kansainvälisesti levinnyt kiristyshaittaohjelma Wannacry saastutti Britannian julkisessa terveydenhuollossa ainakin 47 terveydenhoitopiirin verkot. Niistä 90 prosenttia käytti edelleen Windowsin XP -käyttöjärjestelmää.

    Seuraa uutisia tästä aiheesta

  • Tietoturva
  • Lääketiede
  • Laura Halminen

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Sotilaslähde HS:lle: Venäläiskytkyinen Airiston Helmi ollut vuosia Puolustusvoimien ja Supon tarkkailun alla – ”Ne hankkivat strategisia kohteita ja me olemme hölmöjä, kun olemme myyneet”

    2. 2

      Kiihtelysvaaran kirkko tuhoutui tulipalossa – ”Raunioita tässä jo sammutetaan”

    3. 3

      Markku hakee Viipurista bensaa, seksiä ja puolisolle kukkia – Yhä useampi itärajan mies tuo myös hiv:n, mutta testeihin Markku ei mene

      Tilaajille
    4. 4

      Keskellä Pitäjänmäkeä seisoo ainutlaatuinen omakotitalo – Se muistuttaa siitä, että taksikuski Alvi Hirvosella oli yksi aivan erityinen asiakas

      Tilaajille
    5. 5

      Mitä Nokian johdossa tapahtui? Kirjan julkaiseva Risto Siilasmaa kertoo HS:lle yhtiön vaikeista vuosista Jorma Ollilan aikana 

      Tilaajille
    6. 6

      ”Miljoona suomalaista pitää kouluttaa uudelleen” – Mutta kuka keksi hurjan luvun, joka vakiintui politiikan hokemaksi?

    7. 7

      Jorma Ollila vastaa Siilasmaan kuvailemiin ongelmiin yhtiön johtamisessa – Väitteet ovat hänen mukaansa kärjistettyjä tai vääriä

      Tilaajille
    8. 8

      En haluaisi olla myrkyllinen mies, ja siksi tutkin itseni naistenlehden testissä

    9. 9

      HS Paraisilla: Poliisi tutki vanhoja sotilasveneitä Airiston Helmi Oy -yrityksen laiturissa

    10. 10

      Kun kaljatölkki osui Konsta Pylkkäsen, 28, selkään, hän muisti, etteivät nämä olekaan oikeita kavereita – Moni vammainen kokee kiusaamista ja syrjintää

    11. Näytä lisää
    1. 1

      Krp otti kaksi kiinni laajoissa etsinnöissä Turun seudulla, myös Puolustusvoimat osallistui operaatioon – tämä etsinnöistä ja epäillyistä talous­rikoksista tiedetään päivän jälkeen

    2. 2

      ”Hän ei lopeta koskaan” – Tällainen mies on rahalla, viinalla ja nuuskalla lapsia Helsingin keskustassa houkutellut sarjahyväksikäyttäjä

      Tilaajille
    3. 3

      Luksusautoja myydään verkossa muutamalla tonnilla – Mutta onko käytetty Jaguar S-Type hyvä ostos?

    4. 4

      Sotilaslähde HS:lle: Venäläiskytkyinen Airiston Helmi ollut vuosia Puolustusvoimien ja Supon tarkkailun alla – ”Ne hankkivat strategisia kohteita ja me olemme hölmöjä, kun olemme myyneet”

    5. 5

      Kaikki naiset eivät kohta kelpaa naisiksi yleisurheilun huipulla, ja tulkinta kohdistuu vahvasti yhteen juoksijaan – ”Ajassa voidaan palata sata vuotta taaksepäin”

    6. 6

      Nykylasten normaali on jotain, mitä me nelikymppiset emme edes olisi voineet nähdä

    7. 7

      Suomalainen turisti, älä luota poliisiin!

    8. 8

      HS Paraisilla: Poliisi tutki vanhoja sotilasveneitä Airiston Helmi Oy -yrityksen laiturissa

    9. 9

      Kokoomus hyökkäsi pääministeri Sipilää vastaan, Sipilä suuttui ja ryhtyi vasta­hyökkäykseen – Soini-äänestyksestä syttyneen riidan syy ilmeisesti väärin­ymmärrys

    10. 10

      Uusi nopea testi paljastaa, kuinka suuri on riski sairastua muistisairauteen

    11. Näytä lisää
    1. 1

      ”Ihmisroskana” esitetty asunnoton alkoholisti Markku Korhonen ahdistui ja suuttui niin, että teki rikos­ilmoituksen – entinen yrittäjä auttoi pitkään muita, mutta päätyi itse sillan alle

    2. 2

      Virpi oli luokan priimus ja lääkäriperheen kultahippu – Hänestä tuli kirurgi, joka leikkasi potilaita lääkehuuruissa ja joutui lopulta vankilaan

      Tilaajille
    3. 3

      Puolella miljoonalla suomalaisella on riittämätön lukutaito – Testaa, kuinka hyvin itse ymmärrät lukemaasi

    4. 4

      Äiti riehui, ryyppäsi ja teki lopulta itsemurhan – Kun Sari Järn halusi ymmärtää miksi, hän löysi suvun synkän historian

      Tilaajille
    5. 5

      Krp otti kaksi kiinni laajoissa etsinnöissä Turun seudulla, myös Puolustusvoimat osallistui operaatioon – tämä etsinnöistä ja epäillyistä talous­rikoksista tiedetään päivän jälkeen

    6. 6

      Helsinkiläisnaisen auto saarrettiin traktorilla Nuuksiossa – ”Espoon sumputtaja” Lucas Heimsch perheineen kertoo nyt, mikä kaupunkilaisten käytöksessä mättää

    7. 7

      Espoolainen oppilas kuoli saatuaan sairaus­kohtauksen liikunta­tunnilla, jolla tehtiin piip-testiä – Testistä on annettu tarkat ohjeet kouluille, sanoo sivistys­toimen johtaja

    8. 8

      Miehet ovat usein tajuamattaan henkisen väkivallan uhreja – ”Miehillä voi olla parinkymmenen vuoden kokemus alistamisesta”

    9. 9

      ”Ongelmista ykkönen on viina, kakkonen on viina ja kolmonen on viina” – Ensihoidon eläköityvä vastuulääkäri Teuvo Määttä on nähnyt Helsingin pimeän puolen

    10. 10

      Siirtämäänsä autoa tuhonnut hinaus­auton kuljettaja herätti hämmennystä Vantaan Koivu­haassa – auto oli tarkoituskin viedä romutettavaksi, kertoo kuljettaja

    11. Näytä lisää