研究員成功駭進心律調節器!製造商卻推拖不修漏洞

在近期舉辦的黑帽資安研討會,2 位資安研究人員成功示範駭進美國智慧醫療器材公司 Medtronic 生產的心律調節器及植入式胰島素幫浦中,並且可以直接發出電擊或停止電擊的指令。
評論
Doctor Bjoern Peters explains details of an X-ray picture on a monitor showing the world's first cardiac re-synchronisation therapy defibrillator device 'Consulta CRT-D', made by U.S. company Medtronic Inc., implanted to German patient Monique Pachalek at the German Heart Institute Berlin (DHZB) in Berlin, April 29, 2008. Pachalek is the first patient worldwide to have the device implanted on April 23. The product makes it possible to the hospital to communicate with the patient's pacemaker over a phone line. REUTERS/Fabrizio Bensch (GERMANY) - BM2E44T14PX01
評論

根據 WiredArsTechnicaThe Guardian 報導,在近期舉辦的黑帽資安研討會,2 位資安研究人員成功示範駭進美國智慧醫療器材公司 Medtronic 生產的心律調節器及植入式胰島素幫浦中,揭露了攸關生死的智慧醫療器材安全漏洞,而且經回報後 Mertronic 並無修補此漏洞的打算。

兩位研究員分別為來自 QED Secure Solutions 的 Jonathan Butts 以及 Whitescope.io 的 Billy Kim Rios。在開始示範前,研究員特別警告身上有安裝這兩款產品者先離開會議室。他們現場駭進醫生用的心律調整器設定系統,還把系統背景改成了骷髏以展示成功覆寫系統,當然他們也強調真實應用中可以完全無聲無息地駭入。

他們接著就能對所有連接到系統的心律調整器發出任意指令,包括發出電擊,或者相反過來讓心律調節器失效而停止電擊,這些都可能威脅到病患的生命。

而促使他們公開這項漏洞的原因在於,其實他們早就在 155 天前發現漏洞並警告 Medtronic,但 Meditronic 似乎想息事寧人,僅簡單回應這漏洞「不太可能使用遠端攻擊」,而且沒有確實告知大眾這漏洞可能的影響範圍有多大。Meditronic 的公告說法是攻擊者「可能影響」傳送到資料更新系統的資料,Rios 認為,這種說詞會讓大眾低估問題的嚴重性。

Medtronic 當時表明不會對漏洞進行修補,而是建議病患與醫生多加注意裝置連結的網路,並表示此漏洞對病人安全產生的風險較低(是可接受的風險)。

事件爆發後,美國食品藥物管理署 FDA 指出這是產業生態中的青黃不接,並表示會確保這些裝置及病患的生活品質受到妥善保護。

而 Medtronic 則回應一開始是將 Whitescope 傳來的潛在漏洞「獨立評估」,且「當下對他們指出的其他漏洞並不知情。」,也強調「Medtronic 總是將產品安全放在第一。」「所有的裝置都有某種程度的風險,而就像官方規範一樣,我們也時時致力為我們提供的產品優勢與風險間找到平衡。」

 

 


上雲猶如太空探險之旅,iKala Cloud AIOps Services協助企業輕鬆穿梭多雲環境

人類從上個世紀積極探索外太空,為了將太空人送上天際必須克服各式挑戰,而現代企業要從「地端」飛向「雲端」,困難程度有過之而無不及。iKala Cloud AIOps Services 提供多項關鍵服務,幫助 IT 團隊輕鬆悠遊多雲環境。
評論
評論

探索外太空,曾經是國際間的科技競賽,近年 Tesla 創辦人馬斯克更準備把太空旅行當成商業服務,預計 2026 年要帶著人類登陸火星。完成一趟星際旅行,需仰賴嶄新的科技及跨科學精密計算,但你知道嗎?現代企業要從「地端」飛上「雲端」,其實挑戰程度不亞於飛向太空。

對企業資訊管理者來說,有限的 IT 資源無法應付繁重的維運項目,加上同時管理公私有雲架構更顯困難、資安管理複雜,例如需要人工執行過濾警示,各種大大小小挑戰不勝枚舉。換言之,企業想航行雲端,就像打造火箭需要龐大資源及人力。不過,現在有更輕鬆穿梭雲端的方式,就是使用雲端技術服務商 iKala 所提供的 AIOps Services(自動化雲端託管服務)

火箭升空前的全盤規劃:iKala AIOps 擬定系統架構規劃、教育訓練

完成一趟太空之旅,必須做足各種研究,例如精準計算飛行軌道、降落定位點、燃料耗用數、與地球通訊設定…等。

對沒有雲端架構經驗的企業來說,就如同當時的科學家,必須用土法煉鋼的方式檢查數據是否有誤。換言之,企業 IT 在升級之前,就需要有經驗的「雲端顧問」來釐清需求、協助規劃「升雲」之旅。而 iKala 就是企業的最佳雲端顧問,旗下 iKala Cloud AIOps Services 會搭配一位專責的技術客戶經理,協助企業提供即時的技術服務與專業建議。

究竟 IT 升級之前,iKala Cloud AIOps Services 有哪些服務?首先是「系統設計規劃」,涵蓋系統架構規劃書、系統上線/遷移計畫書,可因應客戶產業需求,提供對應的解決方案以及顧問服務。而越來越多企業會使用到 Google 的雲端資源,iKala 也有提供 Google 雲端平台訓練服務。

GCP 教育訓練課程多元,包含 GCP 基礎架構(網路設定規劃、權限控管、計算資源等)、大數據與機器學習(大數據分析 Pipeline、BigQuery、ML 模型訓練與應用)、軟體開發技術與流程(容器化、CI/CD、DevOps)等。因為 iKala 團隊取得 10 多項 Google 專業技術證照,才能在企業規劃雲端轉型的前期就一步到位,規劃出整體藍圖,提供更全面的解決方案建議。

火箭升空中的精密操作:iKala AIOps 輔助即時技術維運、資安管理

當火箭準備就緒、升空倒數之際便是決定這趟太空之旅能否成功的關鍵時刻。從太空人的行前訓練與身體檢查,到火箭的引擎測試完成,如果有靜電或一點火花都可能引發爆炸事故。光是在升空階段,太空總部就要有結構、熱控、姿態控制、資料處理、電能、遙傳指令、推進以及飛行軟體等龐大的系統工程師在旁待命。

換言之,企業 IT 移轉雲端過程就像火箭發射的當下,需要有專業、經驗足夠的工程師,才能即時協助企業順利上雲,甚至快速排除緊急的狀況。對此,iKala Cloud AIOps Services 提供兩大關鍵的幫助:技術維運、資訊安全管理。

iKala Cloud AIOps Services 的技術維運服務內容,提供 7 x 24 的 Help Desk,像是緊急 GCP 問題報修、產品使用技術諮詢;或是事故管理,如搭建監控系統、設定規劃告警政策、規劃日誌收集與留存。每月也會提供企業維運報告,報告書有營運效率檢討、流程優化、新服務項目、營運系統建議等。

至於資訊安全管理方面,除了基本的 GCP 專案權限控管掃描、應用程式 OWASP(Open Web Application Security Project)前 10 大項目資安弱點掃描,同時也針對近年相當受重視的 DDoS 防護,iKala 可協助企業導入 GCP 平台的 DDOS 防禦機制。iKala 掌握多年軟體開發和雲端管理經驗,可分享給客戶 DevOps、AI 第一手實務的作法與經驗。

火箭升空後啟動自動導航:iKala AIOps 提供 AI 自動化監控、帳務管理

當火箭成功升空後,太空人為了執行下一階段任務,這時候火箭就需要轉換成自動駕駛模式,或在探索其他星球時,出動機器人來協助執行人力無法負荷的任務,讓太空人專心處理更關鍵的工作。換言之,上雲後的 IT 架構就像升空後的火箭,應該減少 IT 人員的負擔,甚至不需浪費例行時間,就能夠快速掌握整體資訊系統的運作狀況。

不過要讓 IT 架構像火箭具備自動駕駛功能,勢必需要相當高的技術門檻,而 iKala Cloud AIOps Services 正好有相對應的服務。如此一來,IT 人員的生產力就能投入在更具商業價值的研發專案,讓 IT 部門轉型成可創造產值的單位,而非單純的後勤支援角色。

盤點 iKala Cloud AIOps Services 在此環節共有三大類服務。其中一項是 AI 自動化監控與通報服務,幫助 IT 成員主動監控系統,掌握是否有異常操作狀況。其二是帳務方面的管理,幫助企業產出雲端服務月用量帳務分析報告,針對軟體授權需求,整合出帳至  Marketplace 與第三方服務商,自動化做到 License 採購管理。

第三項則是針對服務級別協定(SLA)iKala Cloud AIOps Services 提供 24 x 7、5 x 8 兩種模式,在重大 GCP 服務異常中斷服務時,提供電話、e-mail 聯繫。而且每月會舉辦 1 次月會(以 on-site 或遠端視訊會議方式)提交書面報告。目前 iKala 的企業客戶服務超過 400 多家、涵蓋數 10 種產業,可說是企業成功上雲,最能安心託付的合作夥伴。 

事實上,雲端託管服務(CMS)是目前最夯的新趨勢,根據市調公司 MarketsandMarkets Research 報告指出,全球雲端託管服務的市場規模,預計從 2020 年的 624 億美元,到 2025 年成長至 1,162 億美元,複合年增長率(CAGR)為 13.3%。代表未來有大量企業採用 CMS,以降低 IT 基礎設施的投資成本及風險,藉此提升企業營運的競爭力。

由此看來,企業的數位轉型,就像上個世紀的太空軍備競賽一樣。「時間就是決勝點」,越晚起步的公司與其他數位能力領先群的企業相比,差距只會越來越大。現在就攜手 iKala 嘗試 iKala Cloud AIOps Services,打造穩定的 IT 系統、邁向數據驅動的商業模式,讓企業在數位世代站穩腳步,輕鬆穿梭多雲之間。

了解更多 iKala Cloud AIOps Services