Bardzo lubię oglądać Black Mirror. Jest to jeden z moich ulubionych seriali, którego scenariusz jest niby mocno futurystyczny, ale… czy na pewno. Jeden z odcinków dotyczył kasowania pamięci, dlatego tym bardziej miałem wrażenie, że wiadomość o pojawieniu się podobnej sytuacji w świecie rzeczywistym jest opisem jakiegoś filmu, a nie tym, co dzieje się teraz. W końcu, jak uwierzyć w to, że da się resetować pamięć poprzez urządzenie do pracy serca?

Coraz częściej mam wrażenie, że wiele z tych historii będzie miało odzwierciedlenie w rzeczywistości szybciej, niż nam się wydaje. Normalnie, pomyślałem na początku, że to opis jakiegoś nowego filmu rodem ze stajni Netflixa. Później zacząłem spokojnie wertować newsy w sieci. Okazało się, że nie mam do czynienia, ani z opowiadaniem si-fi, ani z dowcipem, tylko z artykułem ze świata realistycznego.

Sprawa dotyczy problemow z aparatami wspomagającymi pracę serca firmy Medtronic.

Słyszałem już o zaszytych narzędziach w ciele ludzi po operacjach, ale o podatnościach w urządzeniach medycznych niekoniecznie. Muszę jednak przyznać, że tak z uwagi na pracę w IT, nie powinno mnie to dziwić. Po prostu jeszcze nie mogę się przyzwyczaić, że technologia poszła w ostatnich latach tak mocno do przodu. Podatnych jest podobno kilkanaście linii urządzeń. Ta liczba jeszcze nas nie martwi, ale ilość 750 000 może już wprawić w osłupienie. To tak, jakby skasować średniej wielkości miasto wojewódzkie — a dokładnie to wymazać pamięć urządzeń.

Podatność CVE-2019-6538 bowiem jest naprawdę niebezpieczna.

Co innego, gdy mówimy o niebezpieczeństwie kasowania naszych danych, czy ukradzenia oszczędności. Tutaj mamy do czynienia z o wiele poważniejszych problemem z bezpieczeństwem, bo może ono dotyczyć naszego mózgu, a dokładnie to wspomnieć. Krytyczność zagrożenia określono na 9.3/10, gdzie zakładam, że maksymalne osiągi miałoby pewnie zagrożenie wysadzające całą kulę ziemską. Nie jest to błąd, który samoczynnie uszkadza urządzenia. Luka, o której mowa pozwala na bezprzewodową, szacowaną na około kilkadziesiąt metrów zmianę pamięci wszczepionego urządzenia. Nie wiem, czy na świecie znajdzie się debil, który spróbuje wypróbować tę lukę, ale kretynów nie brakuje. Co więcej, US CERT oświadczył, że atak nie wymaga jakiś specjalnych nakładów czy możliwości.

CVE-2019-6538, us cert

Wspomniana zmiana pamięci, to nic innego jak podmianka firmware.

Sprawa jest o tyle poważna, że sam protokół kontrolny — ten, który zapewnia telemetrię, nie wspomaga uwierzytelnienia ani sprawdzenia uprawnień. Wiadomo także, że nie jest też szyfrowany. Sprawa wygląda naprawdę nieciekawie. Żeby tego było mało, okazuje się, że można zaatakować również sam programator. Sprawa wygląda tak, że z backdoorem mógłby infekować kolejne urządzenia klienckie. Wygląda to naprawdę jak dobry scenariusz na film si-fi, ale ostatnimi czasy coraz więcej tego typu wizualizacji mamy wychodząc na ulicę.

Wczoraj nawet oglądałem trylogię „Powrót do Przyszłości” Stevena Spielberga.

Pojawiła się kilka dni temu na Netflixie i zastanawiałem się, ile z wynalazków z filmu jest w obiegu na co dzień. Byłem w szoku, że wyobraźnia scenarzystów stała się rzeczywistością. Nic dziwnego, że medycyna także poszła do przodu i bardziej poszła w stronę telemedycyny. W czasach, kiedy studiowałem, mówiło się o tym, jako ciekawostce na wykładzie z Usług Multimedialnych. Teraz, takie rzeczy są w światowej klasy szpitalach i ośrodkach medyczno-naukowych. Co prawda, w Polsce żyjemy na etapie skalpela, a świat medycyny jest daleko do przodu. Może dlatego sobie nie zdajemy sprawy.

Zapewne zastanawiacie się, kiedy może dojść do takiego ataku?

Sprawa jest zasadniczo jasna – w momencie gdy urządzenie ma włączoną transmisję radiową. Producent chciałby jednak uspokoić zarówno zainteresowanych, jak i opinie publiczną. Według nich, żaden taki atak jeszcze nie został przeprowadzony na rzeczywistej osobie. Dla mnie, wcale nie oznacza to, że ktoś się o to nie pokusi. Co prawda, atak wymaga sporej wiedzy z zakresu telekomunikacji, elektroniki, algorytmiki etc, ale przecież takich ludzi na świecie nie brakuje. Może nie spotkamy ich na targu kupując kartofle, ale istnieją i mają się naprawdę dobrze. Samo podejście US CERT też jest mocno niepokojące. Przypomina firmy IT, które nie radzą sobie z pojawiającym się problemem. „Nikt ataku nie przeprowadził, to nie musimy tego łatać”. Coś jest chyba nie tak? Rozumiem, że dodanie szyfrowania pożera energię, pamięć i procesor, ale do cholery – mówimy o ludzkim ciele!

Oczywiście, mamy nadzieję, że łatki i aktualizację się pojawią jak najszybciej.

Nie wiem, czy pomyślałbym o zaszyfrowaniu urządzenia telemedycznego, więc nie dziwię się twórcom. Jednakże problem jest i nie można go kopać pod dywan. Zwłaszcza, że nie chodzi o zawieszający się system operacyjny, tylko o życie ludzkie. Mam też nadzieję, że ta podatność wiele nauczy twórców takiego sprzętu, aby kilka razy myśleli, z czym mają do czynienia. Żyjemy w świecie, gdzie toster podłączony jest do Wi-Fi, a nie myślimy o tym, że sprzęt medyczny też może mieć taką właściwość. Co więcej – będzie tylko gorzej! Mam nadzieję, że nie dożyję czasów, kiedy odcinki Black Mirror staną się rzeczywistością. Będzie to naprawdę smutna i straszna rzeczywistość.

BS
Bernard to redaktor naczelny SpeedTest.pl. Jest analitykiem i pasjonatem gier. Studiował na Politechnice Wrocławskiej informatykę i zarządzanie. Lubi szybkie samochody, podróże do egzotycznych krajów oraz dobre książki z kategorii fantastyka.