Teenreaksie op insulien pomp inbraak, veiligheidskwessies
Wanneer die insulien pomp inbraak storie eerste uitgebreek het twee weke gelede, het ons gesien dit meestal as `n publisiteitsfoefie. Maar dit het `n paar interessante gevolge. Veral, twee congreslid het optrek en versoek dat die Regering Aanspreeklikheid Kantoor (GAO) hersien benadering die Federal Communications Commission se mediese toestelle met wireless vermoëns om te verseker dat die toestelle is "veilige, betroubare en veilige." Wel, dit lyk soos `n goeie nuus ...
Die herrie was genoeg vir aanhitser Jay Radcliffe, rekenaar sekuriteit deskundige en tipe 1 PWD, om `n follow-up webinar hou verlede Donderdag. Hier is `n samevatting van Allison se notas van so `n geval:
* Vanaf verlede Donderdag, die vervaardiger van die pomp Jay gekap in geopenbaar aan Medtronic Minimed wees.
* Sy redenasie en motivering vir die doen van die hack? Jay beweer hy is geïnspireer deur die storie van twee mans inbraak in `n stad park
ing meter in San Francisco `n paar jaar gelede. Die stad is gedwing om sekuriteitsmaatreëls vir die meter herevalueer. Jay blykbaar "het dieselfde ding in gedagte" toe hy in sy eie insulien pomp gekap. Hy sê hy wil die maatskappye te help deur aan te toon hul "sekuriteit probleme."
* Reaksies op oorspronklike aanbieding Jay se die spektrum uit te voer, maar die meeste vertel aan Jay dusver was dat van Medtronic self. Die maatskappy grootliks verwerp die idee van `n potensiële risiko`s. Dis hoekom Jay besluit om te gaan openbaar met die naam van die vervaardiger, sê hy. "Blowing my af is nie `n etiese reaksie."
Die gevolg hiervan is dat hy blyk te wees in `n bietjie van `n pis wedstryd met die maatskappy - of ten minste `n "sê hy, sê sy" situasie waarin die waarheid lê waarskynlik iewers tussenin:
* Jay verduidelik: "Die Electronic Frontier Foundation en ek gewerk baie oor hierdie kwessie Dikwels in die sekuriteit gemeenskap ons sal `n probleem in te samel sonder kontak met `n ondernemer Maatskappye wat nie die huidige is met veiligheid kwessies sal dikwels probeer litigeer om navorsing te voorkom.. uit te kom aan die lig. Dit is maklik om wettige navorsing begrawe van `n individu in `n berg van wettige papierwerk. die antwoord is etiese bekendmaking ... Gewoonlik is die maatskappy is dankbaar vir hierdie gebaar, en stel die probleem sonder openbare ondersoek of druk om iets te jaag. Sommige doen nie. "
* Jay opgetel uitmekaar Medtronic se reaksie, punt vir punt:
Medtronic sê: "inligting-sekuriteit toestelle ... is `n integrale deel van die hele struktuur van ons produk ontwerp prosesse."
Jay sê: "dit duidelik nie die geval is," soos hy in sy inbraak daar was "geen verifikasie of enkripsie gebruik" en dat hy in die openbaar het in Vegas dat daar is kwesbaarhede.
Medtronic sê: "Baie dankie aan (ons) inligting sekuriteitsmaatreëls, ons glo dit sal baie moeilik wees vir `n derde party te draadloos peuter met jou insulien pomp."
Jay sê: "Daar is geen veiligheidsmaatreëls Hoef te weet die reeksnommer van die toestel is nie sekuriteit.." Hy beweer dit sou redelik maklik vir enige hacker te bedink wat die ses-syfer reeksnommer is vir `n insulien pomp wees. (Ons is nie seker hoe ...?)
Medtronic sê: "Om ons kennis, is daar nog nooit `n enkele berig voorval van draadlose peuter buite beheer laboratorium eksperimente in meer as 30 jaar van toestel telemetrie gebruik, wat miljoene toestelle wêreldwyd sluit nie."
Jay sê: "Tot nou toe." Dit is duidelik dat, dit is net omdat niemand het ooit gedink te hak in `n insulien pomp. Maar net omdat niemand nog ooit gedink om dit te doen nog nie ooit bedoel niemand wil. (Raai ons wil daar eens: die kruising van jou vingers is nie veel van `n veiligheidsmaatreël.)
Medtronic sê: "Hy ... het op die draadloos funksie en het toegang tot gespesialiseerde toerusting ... jy kan enige onsekerheid deur die aanskakel van die draadlose kommunikasie op jou toestel verwyder."
Jay sê: "dit is plat uit nie waar" en dat die draadlose vermoë van `n insulien pomp nie kan afgeskakel word. Dit is die rede waarom hy in staat is om enige instelling of opset op sy toestel verander was. Daarbenewens het hy bedenkinge met die etiket "gespesialiseerde toerusting," sê hy gebruik sy 
Carelink USB-toestel. Hoewel hy nie gee stap-vir-stap instruksies oor hoe Hy gebruik hierdie toerusting, Jay het uit te voer die hele hack op die verhoog in Las Vegas in wat hy sê is "oor `n minuut."
Jay beweer ook dat hy saam met die Departement van Binnelandse Veiligheid kantoor en links boodskappe CEO`s Medtronic se daar kontak op 10 Augustus.
Natuurlik, het ons `n bietjie dieper kyk na die ander kant van die storie. Hier is hoe Medtronic gereageer het op ons navrae:
John Mastrototaro, Medtronic se vise-president van navorsing Ontwikkeling, het ons in `n telefoonoproep op 26 Augustus dat hy net met die Departement van Binnelandse Veiligheid het gepraat in `n informele bespreking ten einde te volg om die eise wat Jay gemaak. " Hy sê dit was sy eerste gesprek met DHS en hy was nie bewus daarvan dat hulle probeer om ons te kontak Medtronic oor hierdie kwessie vroeër.
Spesifiek, sê hy: "Daar is `n paar sekuriteit en verifikasie in die produk Maar daar is nie enkripsie Diegene twee verskillende betekenisse aan hierdie sekuriteit kundiges..." Hy het beklemtoon dat hulle "primêre metode van sekuriteit" is in die geheim van die ses-syfer reeksnommer, geleë op die rug van `n insulien pomp. Nog `n reaksie post op die maatskappy se blog wat opgetrek het Vrydag gesê: "Ons beveel aan dat jy die reeksnommer van jou pomp te beskerm as jy sou jou sosiale sekerheid nommer, wagwoorde en ander belangrike persoonlike inligting." Hmmm.
John het ook gesê: "Een van die uitdagings vir ons as `n organisasie is wat ons moet kompromieë te maak oor waar ons gaan ons navorsing dollars sit en watter probleme ons gaan oplos Ons het al baie gefokus in. die kunsmatige pankreas Projek ... Ons nuwe platforms sal die nuutste kodering tegnologie het in dié toestelle. Probeer om weg voor die bal is baie moeilik bly. Dit kan 5-7 jaar neem vir nuwe tegnologie om uit te klim. Daar is altyd iets om `n potensiële risiko dat daar `n evolusie van die tegnologie wat verder kry voor die produkte wees. ons benadering het beslis proaktiewe en ernstige, selfs al is dit `n afgeleë risiko as Jay het gesê. ons wil oplossings te neem aan ons toekoms iterasies van die produk, sodat ons maak dit nog harder vir hierdie soort ding te voorkom. "
Een interessante factoid is dat die sekuriteit in die Paradigm insulien pomp is 12-14 jaar oud. "Dit is gemaak voor 9/11, voor kwaadwillige regtig tot stand gekom het - toe jy gebruik om in staat wees om `n bottel water neem op die vliegtuig," sê John. Twaalf tot 14 jaar? Het nie genoeg nuwe insulienpompies uit te kom sedertdien dat hulle net `n kon gedoen klein opgradering op sekuriteit? Ons sal erken, waarskynlikheid van inbraak lyk redelik laag. Maar nog steeds, meer as `n dekade en geen sekuriteit opgraderings?
Die twee verteenwoordigers toetrede tot die geveg is Reps. Anna Eshoo van Kalifornië en Edward Markey van Massachusetts, beide Demokrate. In hul brief aan die regering Aanspreeklikheid Kantoor (GAO), hulle vra vir `n verslag oor die mate waarin FCC is:
- Identifisering van die uitdagings en risiko`s van die verspreiding van mediese inplantings en ander toestelle wat gebruik maak van breëband en draadlose tegnologie maak.
- Die neem van stappe om die doeltreffendheid van die regulerende prosesse van toepassing op breëband en draadlose enabled mediese toerusting te verbeter.
- Verseker wireless enabled mediese toestelle sal nadelige steuring vir ander toerusting veroorsaak nie.
- Toesig te hou oor sulke toestelle om te verseker hulle is veilig, betroubaar, en veilige.
- Koördinering van die aktiwiteite met die Food and Drug Administration. "
Hulle skryf ook: "In vervroeging innoverende draadlose tegnologie en toerusting vir gesondheidsorg, dit is van kritieke belang dat hierdie toestelle in staat is om saam en met ander hospitaal toerusting bedryf, en nie inmeng met mekaar se aktiwiteite en data uitsendings."
Jay Radcliffe is, natuurlik, baie opgewonde oor hierdie ontwikkeling. Hom het die gedrag van die maatskappy in reaksie op hierdie openbaring is meer kommerwekkend as die werklike inbraak self.
Op daardie noot, het Jay aangekondig dat hy nie meer `n Medtronic gebruiker maar het oorgeskakel na Animas. Hy beplan om hul insulien pomp hack in `n soortgelyke wyse. Indien dit suksesvol is, sê hy, "ek sal dieselfde aksies Ek voorheen gedoen het nie. Hopelik Animas / JJ sal beter wees as Medtronic het gedra." Wees op die uitkyk, Animas!
So, wat beteken dit alles vir die res van ons pomper? Natuurlik kan ons net oor ons vingers dat dit sal nie verder moeras af die reeds-pynlik-stadige FDA proses vir goedkeuring van nuwe diabetes toestelle, soos die Medtronic veo stelsel met `n lae-glukose op te skort funksie (hopelik hacker-veilig!).
Moet ons ook bekommerd oor die werklike en onmiddellike risiko`s vir ons persoonlike veiligheid wees? Ek dink SecurityWatch gesê dat dit die beste wanneer hulle onlangs gesê: ". Radcliffe se hack is interessant en nuttig vir druk vervaardigers toestel om hul veiligheid te verbeter, maar nie veral skrikwekkend"
* * *
Cabinedruk Veiligheid:
Asof ons bekommernisse as pomper was nie baie genoeg, nou `n endokrinoloog in Australië het ontdek dat kajuit druk veranderinge in vlug mag van tyd tot tyd mors met dosering.
Na die aanhoor van `n 10-jarige meisie het `n lae een uur na opstyg (en ons re-aanvaarding van hulle uitgesluit elke ander moontlike oorsaak van `n lae bloedsuiker ?!), Bruce King van John Hunter Children`s Hospital in Newcastle, Australië, en sy kollegas ontdek ander gevalle van insulien pomper wat ook gegaan lae na opstyg. Blykbaar dit was genoeg om `n mini-studie waarin hulle gestuur 10 insulien pomp in die lug en ontdek dat hulle het gemiddeld 1-1,4 bykomende eenhede van insulien tydens opstyg vonk. Tydens afkoms, wanneer kajuit druk is aan die toeneem, sommige insulien is terug in die pompe gesuig, met sowat 1 eenheid.
Natuurlik, 10 insulienpompies is skaars `n statisties beduidende aantal, en `n eenheid van insulien is waarskynlik nie van plan om deal-breaker vir die meeste volwasse pasiënte (maar dit het `n groot verskil aan die 10-jarige!). Ons wil sê dat ouers van klein kindertjies wat geneig is laag tydens lugvervoer te gaan dalk wil om kennis te neem, en daarvolgens aan te pas.
Wat insulien pomp inbraak storie- `N implant insulien pomp: sou jy, as jy kon?
- Medtronic minimed 530g insulien pomp met CGM - hersiening
- Omnipod insulien pomp - hersiening
Op diabetes toestelle en cyber- No-wiskunde insulien
Op regulering en kuber-sekuriteit van ons diabetes toestelle- Cool gereedskap vir bloedsuiker beheer
Nuusflits: onetouch ping meter produk herroep- Diabetes op my troudag
Wat die cozmo vermoor?- Lughawe sekuriteit x-strale kan diabetes toestelle beskadig
- Asante`s gewaagde diabetes bemarking: te veel, of net `n goeie pret ??
- Medtronic minimed paradigma insulien pomp - hersiening
- Mysnap insulien pomp - hersiening
- Asante snap insulien pomp - hersiening
- Aandag cozmo pomp gebruikers: Medtronic tot die redding
A techie tipe 1 resensies die nuwe Medtronic `revel` insulien pomp + CGM stelsel
Insulien pomp inbraak risiko in ANIMAS onetouch ping? (Don `t worry)
All`s stil op die tandem voor
Diabetes toestel `hacker` snoer kragte met FDA
Op diabetes toestelle en cyber
Op regulering en kuber-sekuriteit van ons diabetes toestelle
Nuusflits: onetouch ping meter produk herroep
Wat die cozmo vermoor?