13. maaliskuuta 2008

Sydämentahdistimetkin hakkeroitavissa langattomasti!

Nyt alkaa jo mennä pelottavaksi tämä tietotekniikan ja etenkin langattomuuden yleistyminen. New York Times uutisoi, että tutkijat ovat onnistuneet hakkeroimaan etäältä sydämentahdistimen.

Hakkeroinnin seurauksena he pystyivät esimerkiksi antamaan defibrilointikäskyjä tahdistimelle, joka tietysti olisi antanut niitä omistajalleen, luultavasti kuolettavin seurauksin.

Miten tämä on mahdollista?

Vastaus on jälleen yksinkertainen ja olen sen jo useasti ennenkin todennut: Tietoteknisiä järjestelmiä suunnitellaan ja otetaan käyttöön ilman pienintäkään ajatusta niiden turvallisuudesta. Etenkin langattomissa järjestelmissä, ihmisten terveyden kannalta kriittisistä järjestelmistä nyt puhumattakaan, tietoturvan olisi oltava huippuluokkaa. "Sinnepäin" ei riitä. Tietoturva tulisi ottaa jo suunnitteluvaiheessa huomioon vakavissaan.

Olisi jo pikkuhiljaa aika uskoa, että langattomat järjestelmät, jotka eivät käytä vahvaa salausta ja autentikointia, ovat erittäin suuressa vaarassa paitsi salakuuntelun, niin myös hakkeroinnin suhteen. Luulisi, että vähitellen olisi opittu jo vuosikausia vanhoista WEP-salauksen murtamisesta ja GSM-salakuuntelustakin, mutta ei niin ei. Bluetoothinkin salaus ja tietoturva on toteutettu päin seiniä, vaikka Bluetoothia markkinoidaan "turvallisena" langattomana järjestelmänä. Huvittavinta on, että vieläkin langattomasti siirtyy valtavasti tietoa, jota ei mitenkään salata tai autentikoida, kuten vaikkapa tavanomaisissa WLAN-verkoissa.

Langattoman tiedonsiirron saaminen turvalliseksi ei ole mitenkään ylitsepääsemättömän vaikeaa. Itse asiassa sitä varten on jo ollut pitkään olemassa selkeät ja turvalliset standardit, kuten vaikkapa WPA2. Mutta valmistajat eivät niistä välitä, eivätkä kuluttajat ymmärrä vaatia sellaisia käytettäväksi. Mutta langattomuus silti kiinnostaa. Moni laittaa kotiinsakin langattoman verkon pystyyn, eikä osaa tai viitsi suojata sitä, vaikka se kävisi käden käänteessä.

Helppo ja tietoturvallinen ratkaisu on tietysti käyttää langallista järjestelmää langattoman sijaan aina kun mahdollista. Vaikka langalliset järjestelmät ovat nekin salakuunneltavissa (tempest-hyökkäys), se on paljon vaikeampaa ja onnistumiseltaan epävarmempaa kuin langattoman järjestelmän salakuuntelu.

Sydämentahdistimen tilanteessa langattomuudesta on toki monta hyötyä. Laitetta ja sen keräämiä tietoja voidaan tarkastella ilman että potilasta tarvitsee vielä leikkauspöydälle. Langattomuus on tässä tapauksessa todellakin kätevä ominaisuus, eikä sen korvaamista johdoilla voi pitää mitenkään järkevänä. Sitä suuremmalla syyllä se tulisikin hoitaa kunnolla.



Sivuhuomautuksena kerrottakoot, että tätäkin tekstiä kirjoitan langattomalla näppäimistöllä (eikä mokoma ole edes bluetooth-pilipalisalaus-kryptattu), mutta sillä ei ole väliä, koska tämä tekstini tarkoitus onkin päätyä julkiseen levitykseen. Salasanani ja tärkeät sähköpostini kirjoitan tietysti langallisella näppäimistöllä. Heh.



20.3.2008, päivitystä:
Sydämentahdistimia on mahdollista hakkeroida myös langattoman lähiverkon (WLAN) kautta, kuten tämä artikkeli hyvin kertoo. Pelottavaa.

1 kommentti:

Anonyymi kirjoitti...

Minkä tahansa sydämentahdistimen saa kaiketi "hakkeroitua" viemällä voimakkaan magneetin sen lähelle? Kadulla kävellessä joku saattaa yhtäkkiä tehdä yllätyshyökkäyksen.

Autojen ns. proximy keyt on suojattu yllättävänkin hyvin. No, toisaalta se on kyllä ymmärrettää, koska muuten autovarkaudet olisivat todella yleisiä. Hoidettaisiinpa muut salaukset yhtä hyvin.