Lỗ hổng bảo mật của máy tạo nhịp tim
15:02 | 28/06/2017 | LỖ HỔNG ATTT
Hàng triệu người sử dụng máy tạo nhịp tim trên khắp thế giới đang phải đối mặt với rủi ro bị tin tặc tấn công.
Máy tạo nhịp tim (Thiết bị kích tim) là một thiết bị điện tử nhỏ, hoạt động bằng pin và được cấy ghép vào lồng ngực để giúp bệnh nhân kiểm soát nhịp tim. Những xung điện năng lượng thấp do chúng phát ra giúp tim của bệnh nhân đập ở nhịp độ bình thường. Tuy nhiên, những thiết bị y tế này vẫn đang tồn tại nhiều lỗ hổng mà tin tặc có thể tấn công làm thay đổi các thông số của máy, đe doạ cuộc sống của người bệnh.
Trong một nghiên cứu gần đây, các nhà nghiên cứu của công ty bảo mật White Scope đã phân tích 7 loại máy tạo nhịp tim từ bốn nhà cung cấp khác nhau và phát hiện ra những sản phẩm của các hãng này sử dụng hơn 300 thư viện của các bên thứ ba, 174 trong số đó chứa hơn 86.000 lỗ hổng có thể bị tin tặc lợi dụng.
Các nhà nghiên cứu nhận định rằng, dù FDA (cơ quan quản lý thực phẩm và dược phẩm liên bang Mỹ) đã có nhiều nỗ lực để hoàn thiện quy trình cập nhật an toàn thông tin mạng cho các thiết bị y tế, nhưng tất cả các bộ lập trình được xem xét đều sử dụng phần mềm lạc hậu, với những lỗ hổng đã biết và họ tin rằng các số liệu thống kê này cho thấy hệ thống sản xuất máy tạo nhịp tim có một số thách thức nghiêm trọng trong việc đảm bảo cập nhật các hệ thống. Không có nhà cung cấp nào thực sự tốt hơn trong vấn đề cập nhật phần mềm để đảm bảo an toàn thông tin cho thiết bị.
White Scope phân tích các thiết bị tim mạch cấy ghép, các thiết bị theo dõi tại gia, các bộ lập trình cho thiết bị tạo nhịp tim và các hệ thống trên đám mây để gửi dữ liệu của bệnh nhân đến cho bác sỹ kiểm tra. Tất cả các bộ lập trình được xem xét đều sử dụng phần mềm lạc hậu với những lỗ hổng đã tồn tại, nhiều đơn vị vẫn còn chạy Windows XP. Điều nguy hiểm hơn là các thiết bị tạo nhịp tim không cần xác thực nhà phát triển, điều đó có nghĩa là bất kỳ ai có thiết bị giám sát bên ngoài cũng có thể xâm nhập gây hại, hay thậm chí giết chết bệnh nhân được cấy ghép máy tạo nhịp tim.
Các nhà nghiên cứu còn phát hiện ra một vấn đề khác liên quan đến việc phân phối các bộ lập trình cho máy tạo nhịp tim. Đúng ra thì việc phân phối các bộ lập trình cho thiết bị này phải được kiểm soát chặt chẽ, nhưng các nhà nghiên cứu có thể mua tất cả các thiết bị cho thử nghiệm của họ trên eBay. Điều này có nghĩa là kẻ xấu cũng có thể làm như thế và dễ dàng gây hại cho những bệnh nhân được ghép thiết bị.
Theo các nhà nghiên cứu, thiết bị của tất cả các nhà sản xuất đều có thể mua được trên các website đấu giá. Các bộ lập trình có giá từ 500 đến 3000 đô la, các thiết bị theo dõi tại gia có giá từ 15 đến 300 đô la, máy tạo nhịp tim có giá từ 200 đến 3.000 đô la.
Nguy hiểm hơn, trong một số trường hợp, dữ liệu của khách hàng không được mã hoá (bao gồm tên, số điện thoại, mã số an sinh xã hội, thông tin y tế…) được lưu trong bộ lập trình máy tạo nhịp tim, cho phép kẻ xấu dễ dàng đánh cắp thông tin này nếu cần.
Ngoài ra, các hệ thống kích tim không có cả quy trình xác thực đơn giản nhất như tên đăng nhập và mật khẩu, cho phép mọi người tự do sử dụng các bộ lập trình và các thiết bị cấy ghép mà không cần xác thực gì. Điều này có nghĩa là bất kỳ ai ở gần đều có thể thay đổi thiết lập của máy tạo nhịp tim của bệnh nhân bằng cách sử dụng một bộ lập trình của cùng nhà sản xuất.
Matthew Green, Phó Giáo sư khoa học máy tính ở trường Johns Hopkins, chỉ ra trên Twitter rằng các bác sỹ không muốn để những hệ thống bảo mật ngăn chặn quá trình chăm sóc bệnh nhân. Nói cách khác, nhân viên y tế không muốn bị buộc phải đăng nhập bằng mật khẩu trong những tình huống cấp cứu. Phó Giáo sư Green nói "Nếu bạn yêu cầu các bác sỹ đăng nhập vào thiết bị bằng mật khẩu, bạn sẽ phải dán một tờ giấy ghi mật khẩu lên thiết bị”.
Các lỗ hổng bảo mật được phát hiện trong các thiết bị của bốn nhà cung cấp bao gồm: mã đăng nhập gắn cứng, kết nối USB không bảo mật, không để phần mềm nhúng trong vùng nhớ bảo vệ, không mã hoá các bản cập nhật phần mềm nhúng của máy tạo nhịp tim, dùng một mã xác thực chung để ghép nối tất cả các thiết bị cấy ghép.
Hiện tại, White Scope đã liên hệ với đội phản ứng khẩn cấp các hệ thống kiểm soát công nghiệp (Industrial Control Systems Cyber Emergency Response Team) thuộc Bộ An ninh nội địa Mỹ, để các nhà sản xuất có liên quan tìm cách khắc phục những lỗ hổng mà nhóm nghiên cứu phát hiện.
