研究員成功駭進心律調節器!製造商卻推拖不修漏洞

在近期舉辦的黑帽資安研討會,2 位資安研究人員成功示範駭進美國智慧醫療器材公司 Medtronic 生產的心律調節器及植入式胰島素幫浦中,並且可以直接發出電擊或停止電擊的指令。
評論
Doctor Peters explains details of an X-ray picture on a monitor showing of the world's first cardiac re-synchronisation therapy defibrillator device '...
Doctor Bjoern Peters explains details of an X-ray picture on a monitor showing the world's first cardiac re-synchronisation therapy defibrillator device 'Consulta CRT-D', made by U.S. company Medtronic Inc., implanted to German patient Monique Pachalek at the German Heart Institute Berlin (DHZB) in Berlin, April 29, 2008. Pachalek is the first patient worldwide to have the device implanted on April 23. The product makes it possible to the hospital to communicate with the patient's pacemaker over a phone line. REUTERS/Fabrizio Bensch (GERMANY) - BM2E44T14PX01
評論

根據 WiredArsTechnicaThe Guardian 報導,在近期舉辦的黑帽資安研討會,2 位資安研究人員成功示範駭進美國智慧醫療器材公司 Medtronic 生產的心律調節器及植入式胰島素幫浦中,揭露了攸關生死的智慧醫療器材安全漏洞,而且經回報後 Mertronic 並無修補此漏洞的打算。

兩位研究員分別為來自 QED Secure Solutions 的 Jonathan Butts 以及 Whitescope.io 的 Billy Kim Rios。在開始示範前,研究員特別警告身上有安裝這兩款產品者先離開會議室。他們現場駭進醫生用的心律調整器設定系統,還把系統背景改成了骷髏以展示成功覆寫系統,當然他們也強調真實應用中可以完全無聲無息地駭入。

他們接著就能對所有連接到系統的心律調整器發出任意指令,包括發出電擊,或者相反過來讓心律調節器失效而停止電擊,這些都可能威脅到病患的生命。

而促使他們公開這項漏洞的原因在於,其實他們早就在 155 天前發現漏洞並警告 Medtronic,但 Meditronic 似乎想息事寧人,僅簡單回應這漏洞「不太可能使用遠端攻擊」,而且沒有確實告知大眾這漏洞可能的影響範圍有多大。Meditronic 的公告說法是攻擊者「可能影響」傳送到資料更新系統的資料,Rios 認為,這種說詞會讓大眾低估問題的嚴重性。

Medtronic 當時表明不會對漏洞進行修補,而是建議病患與醫生多加注意裝置連結的網路,並表示此漏洞對病人安全產生的風險較低(是可接受的風險)。

事件爆發後,美國食品藥物管理署 FDA 指出這是產業生態中的青黃不接,並表示會確保這些裝置及病患的生活品質受到妥善保護。

而 Medtronic 則回應一開始是將 Whitescope 傳來的潛在漏洞「獨立評估」,且「當下對他們指出的其他漏洞並不知情。」,也強調「Medtronic 總是將產品安全放在第一。」「所有的裝置都有某種程度的風險,而就像官方規範一樣,我們也時時致力為我們提供的產品優勢與風險間找到平衡。」

 

 

最新發展:


2023 資安產業日:新秀育成、跨域合作,資安培育基地在沙崙

11 月 24 日,數位發展部數位產業署於沙崙資安服務基地舉辦「2023 資安產業日」,結合產業研討、資安講堂、企業攤位展示以及互動遊戲等形式,創造資安產業與產業資安交流媒合的舞台,匯聚產官學研等領域,打開臺灣資安新氣象。
評論
Photo Credit:數位發展部數位產業署
Photo Credit:數位發展部數位產業署
評論

疫情後,全球數位化的腳步更加迅速,網路惡意攻擊形式也不斷翻新,對臺灣造成許多資安威脅。因此,政府將資安產業列為國家重要產業之一,2021 年底於臺南沙崙啟用的「ACW SOUTH 數位產業署沙崙資安服務基地」(下稱沙崙基地),就以推動資安產業發展、提升產業資安防護能量、推動產業資安、創造資安跨域合作為核心使命,積極推動人才育成、驗測實證產業技術、跨域合作等計畫,打造臺灣指標性的資安場域。

啟用至今,沙崙基地已培育超過 2300 人次的資安人才、已開發 23 套攻防演練劇本,並協助 23 家次廠商完成 33 項次資安產品驗測。為進一步凝聚臺灣資安產業,上週五(11/24)數位發展部數位產業署於沙崙基地舉辦「2023 資安產業日」,結合產業研討、資安講堂、企業攤位展示以及互動遊戲等形式,創造資安產業與產業資安交流媒合的舞台,匯聚產官學研等領域,打開臺灣資安新氣象。

2023 資安產業日盛大開幕:臺廠深耕、國際肯定,見證臺灣資安領先全球

今年資安產業日聚焦於臺灣IT(資訊科技)、OT(營運技術)領域的資安研發、供應鏈聯防、產品驗測及人才培訓等亮點成果。數產署也在開幕儀式中加入巧思,展現各界深耕資安技術、提升產業資安韌性的歷程,並透過授贈資安新秀榮譽獎狀,凸顯沙崙基地攜手產業共育新秀的不遺餘力。此外,為了促進資安產業與產業資安進一步的交流與對話,也邀集資安領域專家,分享 AI 協防、公私協力及 CMMC 等最新資安趨勢;並於主會場中透過 23 家攤位展示,構築產官學研之間的交流平台,促進研發技術及創新服務的產業能量流動。

開幕式的成果短講中,榮獲 2023 年全球百大科技研發獎 R&D 100 Awards 的代表黃鼎傑組長表示「工控資安近年來逐漸受到產業重視,ICSentry 工控資安威脅分析平台榮獲 R&D 100 Awards 的肯定,代表臺灣資安創新研發能量受到國際的注目與肯定。」對所有為資安產業奉獻心力的人來說,這座獎項是國際對臺灣資安研發能量的肯定,也鼓舞了在資安道路上持續努力前行的產業夥伴。綜觀今年臺灣資安的成果,數位發展署林俊秀副署長讚嘆,「臺灣資安真的是十年磨一劍。如今能夠收穫如此亮眼的成果,都是奠基於許多人多年來的共同努力,才終於走到今日這一步,真正把臺灣資安發揚光大。」

為產業注入新活力:業師領銜、接軌產業,從理論到實務的新秀實戰

不過,資安產業若要持續發展,帶來更多的創新技術及服務,後進的人才培育絕對是不可或缺的關鍵。因此,今年沙崙基地也延續去年沙崙資安新秀大賽「育才」的核心精神,辦理「2023 沙崙資安新秀媒合培育計畫」,攜手產業師資,幫助對資安領域有熱忱、有興趣的新秀們找到學習的環境與資源,更上一層樓。

開幕式中,數位發展部唐鳳部長也蒞臨現場,親自頒贈今年度入選參與資安新秀媒合培育計畫的企業與同學們榮譽獎狀。授贈前,唐鳳部長也在致詞中肯定「企業出專題,學生來解題」的媒合模式。資安新秀代表陳躍心同學表示,計畫過程最特別的是接受業界導師的專業指導,不僅加深他們對資安理解,也在過程中體會到理論學習和產業實務的差異,對未來的課業學習及職涯發展都影響深遠。下午時段的新秀快講活動中,新秀們更充分展現對於資安領域的熱情、以及對業師輔導的感謝與肯定。

開幕式結束後,新秀們在「Testbed 資安應用多元展區」展出此次的專題成果,同時亦將想傳達給大眾的計畫成果資訊,透過有趣的闖關遊戲進行推廣;除此之外,現場還有「新秀成果導覽活動」,由專人詳盡地介紹沙崙計畫的發展脈絡與成果亮點,並帶領觀眾逐關導覽,深入認識不同新秀隊伍在培訓過程的點點滴滴:例如來自長庚大學資管系的「什麼時候要吃藏壽司」隊,運用叡揚資訊提供的培訓平台及漏洞檢測工具,開發出具備安全框架的「智慧安全會議室管理系統」;以及跨校組隊的「吃飯皇帝大_白飯北科大」隊,透過菱鏡提供的硬體設備進行實作,進行資安攻擊的觀測與分析,並且在專題期間偵測到一起真實的 DDos 攻擊。

Photo Credit:數位發展部數位產業署

有趣的是,分享過程中新秀們不約而同的表示,參與計畫最大的收穫是他們從一次次的挫折與困難中,領悟到實作與理論的差距。而當自己從單純解題、答題的「解題者」,進階為找到問題、解決問題的「出題者」後,他們對資安領域也產生更多熱情。另一方面,參與育才的企業導師也相當肯定新秀們的認真,他們學習過程的衝勁和態度,就是成功解題的關鍵,也期待未來沙崙基地的人才培育計畫能夠更大、更廣,為臺灣資安產業注入更多活水。

新秀人培 x 產業對話:臺灣資安的關鍵節點

開幕式時,唐鳳部長曾提到,「數位部為了彌平『資安產業』和『產業資安』的距離,長期致力於推動各項資安計畫,以期未來新的服務或需求出現時,雙方能在毫無知識隔閡的狀態下連結,最大化技術迭代的速度。」而 ACW SOUTH 數位產業署沙崙資安服務基地就是兩者交會的關鍵節點,不只培訓更多產業資安人才,同時挖掘更多潛在的新秀投入資安產業,也促成臺灣各界企業的相互交流,啟發越來越多的正向循環。也期許未來在數位發展部數位產業署的帶領下,沙崙基地能匯聚更多資安人才,凝聚產業資安能量,攜手產官學研朝更靈活、多元的資安未來邁進。

(數位發展部數位產業署廣告)