Разработчики полгода чинили «дыру», позволяющую дистанционно отключать кардиостимуляторы

Безопасность Стратегия безопасности Пользователю Бизнес Инвестиции и M&A
мобильная версия
, Текст: Роман Георгиев
Производитель кардиостимуляторов St. Jude Medical закрыл критически опасную брешь в программном обеспечении для системы дистанционного мониторинга кардиоимплантатов Merlin@home. Эта уязвимость теоретически позволяла проводить кибератаки прямо на кардиостимуляторы, подвергая опасности жизни людей. С момента публикации сведений об уязвимости и до момента выхода критического обновления для нее прошли пять месяцев.

Удар в сердце

Корпорация St. Jude Medical, производитель кардиостимуляторов и кардиовертеров-дефибрилляторов, выпустила программное обновление для своей системы Merlin@home - радиопередатчика, который используется для постоянного мониторинга состояния сердечных имплантатов. В августе 2016 г. стало известно, что Merlin@home содержит критические уязвимости, которые позволяют производить кибератаки прямо на кардиостимуляторы и кардиовертеры-дефибрилляторы, подвергая физической угрозе жизнь и здоровье пациентов, вынужденных носить подобные устройства.

Сведения об этой уязвимости опубликовала инвестиционная фирма Muddy Waters при участии медицинских специалистов из компании MedSec. Авторы публикации утверждали, что Merlin@home лишен даже самых базовых средств защиты, и «может эксплуатироваться на каждом уровне технологической цепочки кардиологических устройств St. Jude».

Исследователи утверждают, что любые устройства St. Jude Medical, которые используются вместе с Merlin@home, можно хакнуть: передатчик обменивается данными с кардиоустройствами, используя незащищенный протокол, который очень легко взломать. Экспертам MedSec удалось без труда получить администраторский (root) доступ к программным компонентам Merlin@home. При наличии рут-доступа хакеры могут заставить кардиоимплантаты работать неправильно, создавая всамделишный риск для жизни пациента, утверждают эксперты.

Отступление от традиционной практики

Эксперты MedSec утверждают, что изучали устройства St. Jude в течение 18 месяцев. Вопреки общепринятой практике, результаты исследования были представлены не руководству St. Jude, а почему-то инвестиционной фирме Muddy Waters, которая и сделала их всеобщим достоянием.

St. Jude Medical закрыла брешь в своем ПО, позволяющую проводить кибератаки на кардиостимуляторы

На последующий скандал представители MedSec заявили, что признают, «что наше отступление от традиционной практики кибербезопасности вызовет массу осуждения, но мы уверены, что это был единственный способ заставить St. Jude Medical действовать. А что самое важное, мы убеждены, что и будущие, и нынешние пациенты должны знать, чем рискуют. Потребителям следует требовать от производителей кардиоустройств всей полноты информации, особенно когда речь идет о качестве и функциональности их разработок».

Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности», говорит, что «существует традиционное «джентльменское соглашение», по которому исследователи, нашедшие какую-нибудь уязвимость, сначала информируют о ней разработчика, затем дают ему время выпустить исправления, и только потом, обычно месяца через три, открыто публикуют сведения о найденной ошибке. В данном же случае MedSec повели себя скорее как blackhat-хакеры, которые продают информацию об уязвимости тому, кто больше заплатит. То есть, объективно говоря, закон не нарушен, но интересы конечных потребителей могут пострадать».

В короткой позиции

С подачи MedSec Muddy Waters открыла «короткую» позицию в отношении St. Jude Medical, ожидая падения продаж и стоимости акций производителя кардиостимуляторов. В Muddy Waters предполагали, что капитализация St. Jude упадет в значительной степени и на долгий срок, поскольку исправление найденных уязвимостей предположительно должно было уйти до двух лет. Представители MedSec признали, что «короткая» позиция была открыта по их предложению, и что они полагали получить прибыль в случае, если прогноз Muddy Waters сбудется.

Этот «альянс» вызвал неудовольствие у некоторых экспертов, заявивших, что исследователи должны в первую очередь думать о безопасности потребителей и только потом - о собственном благосостоянии. С другой стороны, эксперты признали, что скорее всего подобные альянсы будут возникать и впредь: исследователи безопасности всегда стремятся монетизировать свою работу и не станут отказываться от взаимовыгодных сделок, предлагаемых хедж-фондами.

Вам повестка

Корпорация St. Jude Medical довольно быстро перешла в активную оборону: последовало довольно агрессивное опровержение заявлениям MedSec и Muddy Waters, в котором говорилось, что у MedSec отсутствует понимание принципов работы оборудования St. Jude и что оно оснащено всеми надлежащими средствами защиты.

Исследователи из Университета штата Мичиган заявили, что провели собственный аудит безопасности устройств St. Jude и не смогли воспроизвести некоторые ошибки, обнаруженные MedSec.

Позднее со стороны St. Jude последовал иск в суд, поданный, по словам представителей компании, для того, чтобы «защитить репутацию имплантируемых устройств» фирмы. Muddy Waters ответили встречным иском, плюс к расследованию подключилось Управление по контролю за продуктами питания и лекарственными средствами США.

«Медведи» не пройдут

На фоне происходящего компания St. Jude Medical сменила владельца: компанию выкупила корпорация Abbott Laboratories. Сделка планировалась еще до начала скандала вокруг Merlin@home.

Прогнозы Muddy Waters по серьезному снижению цены акций St. Jude не сбылись: сегодня они на несколько долларов дороже, чем в августе 2016 года. Никакого массового отзыва устройств не состоялось, но наличие уязвимостей в системе Merlin компания St. Jude все-таки признала. Патч был выпущен 9 января 2017 г. И Muddy Waters, и MedSec прокомментировали эту новость. «Мы приветствуем усилия St. Jude Medical по исправлению уязвимости, - говорится в заявлении генерального директора MedSec Джастина Боуна (Justine Bone), - и с нетерпением ждем, когда будут исправлены оставшиеся уязвимости, в том числе возможность направлять [имплантатам] несанкционированные команды с иных, нежели Merlin@home, устройств. MedSec всегда готов помочь Abbot Laboratories в решении проблемы».

«Проблемы с кибербезопасностью медицинского оборудования, так же, как и, например, автомобилей, представляют на порядок большую угрозу, чем уязвимости в ПО общего пользования, - говорит технический директор «Монитора безопасности» Георгий Лагода. - И в теории контроль качества тут должен быть соответствующим. На практике же зачастую оказывается, что разработчики программных оболочек рассматривают информационную безопасность как нечто второстепенное, притом, что допущенные ими ошибки могут в самом буквальном смысле стоить людям жизни и здоровья».

Между тем, Управление по контролю за продуктами питания и лекарственными средствами США заняло лояльную позицию в отношении St. Jude Medical, объявив, что разработками этой фирмы можно продолжать пользоваться без опаски.