Evgeny_CD, Архитектор (29.07.2013 20:07, просмотров: 135) ответил Evgeny_CD на Хакер, нашедший дыру в кардиостимуляторах, умер при таинственных обстоятельствах ->-
- нафига в кардиостимуляторах вообще оставлять такие дыры типа обновления прошивки по радиоканалу? Сделали бы радиоканал для слива данных с него, да некоторые настройки менять с жестким контролем допустимых пределов. Нет же, всё этим koyodza(55 знак., 29.07.2013 20:22)
- Many medical devices use wireless technology, and authorisation that requires only a user name and password that can be remotely extracted from them. Jack said these were designed to be easy to crack by a doctor needing to give treatment in an Snaky(11 знак., 30.07.2013 04:27, ссылка)
- фиг знает - может заливка прошивке есть альтернатива хирургической операции для смены кардиостимулятора - ыыыы(29.07.2013 20:42)
- да и ставят их сейчас малоинвазивным способом, на груди только небольшой надрез, чтобы сам стимулятор спрятать - koyodza(29.07.2013 20:47)
- смена стимулятора делается в основном по причине батарейки, а не алгоритма работы. Иногда ещё электроды смещаются, в инструкции прямой запрет на пользование виброинструментом имеется - koyodza(29.07.2013 20:45)
- Ндя. Езда по нашим дороги ничем не хуже виброинструмента. - Сodavr(29.07.2013 20:48)
- К счастью, в кардистимуляторе мало энергии, и WinCE туда пока засунуть сложновато. И еще, мы с Вами ОБС обсуждаем. Чтобы говорить по делу, надо было бы бумаги с конференции почитать, а еще лучше - человека послушать. Но это, увы, несколько Evgeny_CD(21 знак., 29.07.2013 20:35)
- я образно про WinCE. Пусть даже простой бутлоадер по радиоканалу - нафига? Типа звонят клиенту "мы в софте ошибку нашли, давайте сейчас вам апдейт пришлём"? Пошли они нахер с таким подходом, лучше на 555 таймере (образно) использовать, чем такое koyodza(6 знак., 29.07.2013 20:42)
- Зато fail апдейта прошивки будет смотреться прикольненько :) Успей перепрошить пациента до того, как в этом отпадет необходимость... - Evgeny_CD(29.07.2013 21:23)
- вот именно. Такие вещи должны тщательно тестироваться и обкатываться на стендах, а уже потом идти в эксплуатацию. Глюк банкомата - мелочь по сравнению с глюками стимуляторов, сюда никаких жабописателей и близко пускать нельзя koyodza(458 знак., 29.07.2013 21:48)
- Э нет, это скорее джабо-писатели научно докажут, что С программеров к кардиостимуляторам допускать нельзя! Как можно программить такое ответственное изделие на языке, который даже run time проверку индекса массива не поддерживает :) - Evgeny_CD(29.07.2013 22:04)
- я буду молиться за то, чтобы они сами стали первыми тестерами своих изделий - koyodza(29.07.2013 23:00)
- Э нет, это скорее джабо-писатели научно докажут, что С программеров к кардиостимуляторам допускать нельзя! Как можно программить такое ответственное изделие на языке, который даже run time проверку индекса массива не поддерживает :) - Evgeny_CD(29.07.2013 22:04)
- вот именно. Такие вещи должны тщательно тестироваться и обкатываться на стендах, а уже потом идти в эксплуатацию. Глюк банкомата - мелочь по сравнению с глюками стимуляторов, сюда никаких жабописателей и близко пускать нельзя koyodza(458 знак., 29.07.2013 21:48)
- "Современные электрокардиостимуляторы могут накапливать и сохранять данные о работе сердца. В последующем, врач, с помощью специального компьютерного аппарата — программатора, может считать эти данные и проанализировать ритм сердца, его нарушения. Сodavr(1985 знак., 29.07.2013 20:59)
- Ясно. Даже XOR 0xAA они пока не научились делать :( - Evgeny_CD(29.07.2013 21:25)
- дополнительная функция типа Холтеровского мониторинга не требует возможности управления критическими параметрами самого стимулятора или обновления прошивки. Вероятнее просто оставили дыру именно для обновления. Только это не то изделие, где можно koyodza(143 знак., 29.07.2013 21:10)
- Неправ. Возможность перепрограммирования нужна всегда т.к. ненулевая вероятность обнаружения в будущем каких-нибудь эпик фэйлов типа проблемы 2038 года. - Shura(29.07.2013 23:34)
- там алгоритм может (и должен) быть упрощён до опупения, поддаваться анализу и жестко тестироваться. Никаких календарей. За попытки прикрутить рюшечки к стимулятору надо сжигать на костре - koyodza(29.07.2013 23:37)
- Ага, холтеровский мониторинг ннада? Без календаря? - Shura(29.07.2013 23:44)
- в стимуляторе он не обязателен. Просто приятный бонус. В конце концов можно отделить стимулятор от монитора, сделать на разных МК, взаимодействие между ними не нужно - koyodza(29.07.2013 23:47)
- Ага, поставить вместо 1-й батарейки 2 и так далее... Реальность такова, что предлагающие "приятные бонусы" захватывают рынок, а все остальные в жопе. - Shura(29.07.2013 23:54)
- вот в этом и проблема - koyodza(29.07.2013 23:58)
- Проблема несколько глубже. Серьёзные научные исследования стоят аццких денег, которые не отбиваются. Платить за них никто не хочет. А рюшечки экономически выгодны! - Shura(30.07.2013 00:05)
- ну да - koyodza(30.07.2013 00:05)
- Проблема несколько глубже. Серьёзные научные исследования стоят аццких денег, которые не отбиваются. Платить за них никто не хочет. А рюшечки экономически выгодны! - Shura(30.07.2013 00:05)
- вот в этом и проблема - koyodza(29.07.2013 23:58)
- Ага, поставить вместо 1-й батарейки 2 и так далее... Реальность такова, что предлагающие "приятные бонусы" захватывают рынок, а все остальные в жопе. - Shura(29.07.2013 23:54)
- в стимуляторе он не обязателен. Просто приятный бонус. В конце концов можно отделить стимулятор от монитора, сделать на разных МК, взаимодействие между ними не нужно - koyodza(29.07.2013 23:47)
- Ага, холтеровский мониторинг ннада? Без календаря? - Shura(29.07.2013 23:44)
- там алгоритм может (и должен) быть упрощён до опупения, поддаваться анализу и жестко тестироваться. Никаких календарей. За попытки прикрутить рюшечки к стимулятору надо сжигать на костре - koyodza(29.07.2013 23:37)
- А что значит фраза "не реже 1 раза в 6 месяцев, иногда и чаще" - Сodavr(29.07.2013 21:20)
- данные мониторинга, видимо, сливают. Это не основная функция - koyodza(29.07.2013 21:43)
- "подобрать адекватные параметры стимуляции" что значит? - Сodavr(29.07.2013 21:58)
- возможно, связано с физиологическими особенностями, типа таймаут ожидания и прочее. Наверняка требуемый диапазон изменения параметров не столь широк, чтобы приводить к летальному исходу, скорее речь о комфортности ощущения. koyodza(283 знак., 29.07.2013 23:00)
- Я и не сомневаюсь, что так оно и есть. Думаю что были серьезные причины, чтобы прищемить нос не в меру любопытному хакеру. Мудило он. Миллионы людей через его доклад окзались бы если не под угрозой, то по крайней мере серьезно напуганы, а для Сodavr(44 знак., 29.07.2013 23:10)
- не всё так однозначно: если не обращать внимания на наличие угрозы, она никуда не денется. Только будет отложена во времени, но из-за этого масштабы могут стать ещё более катастрофическими - koyodza(29.07.2013 23:21)
- так что основной мудак не хакер, а те, кто хотят выпускать гуано делая вид что всё ок - koyodza(29.07.2013 23:22 - 23:25)
- Думаю не все так просто. Аппарат и так не дешевый, да еще и проблемы с энергетикой. А любая критозащита это дополнительное потребление. Техника подтянется и криптозащита станет на уровне. Есть те кто такой аппарат уже лет 10 в себе носит. Тогда ни Сodavr(73 знак., 29.07.2013 23:25 - 23:27)
- там батарейка, из-за этого современный аппарат менять приходится где-то раз в 5 лет. Раньше там криптозащиты не было потому как и контроллера там не было, основные функции вполне реализуются и без него - koyodza(29.07.2013 23:34)
- Времена меняются. Раньше старались добиться чтобы выжил, а теперь пытаются сделать чтобы и одышка не мучила, и не только семеня мог ходить но и трусцой пробежаться. - Сodavr(29.07.2013 23:51)
- нахер не нужна там никакая криптозащита, если исключить возможность перепрошивки аппарата и ввода параметров за пределами допустимого. Хоть вообще ASCII передавай. Нет же, чмошники всунули своё жабье рыло, "понаприкручивали" "компонентов" - koyodza(29.07.2013 23:30)
- Человек хрупкое устройство, а больной человек вдесятеро уязвимее и тербует тонкой настройки. Не думаю, что от балды там понаприкручивали. - Сodavr(29.07.2013 23:49)
- именно от балды. Функции поддержания жизни стимуляторы обеспечивали ещё в 70-х без всяких контроллеров. Вначале происходило улучшение важных характеристик, а когда улучшать стало уже почти нечего (кроме потребления и размеров) начали прикручивать koyodza(182 знак., 29.07.2013 23:55)
- По правде говоря, пока что не было продемонстрировано никаких признаков "непродуманного подхода". Я согласен с Сodavr-ом что хакер мудак. Сломать можно что угодно! - Shura(29.07.2013 23:59)
- Хакерам бы еще в мозгах выжечь каленым железом принцип "не навреди". - Сodavr(30.07.2013 00:02)
- так его специально нанимали для поиска уязвимостей - koyodza(30.07.2013 00:01)
- Если бы его специально нанимали, хрен бы ему кто разрешил публиковать результаты. - Shura(30.07.2013 00:03)
- Да канешна. Обычный принцип - наймите меня за указаную мною сумму, а то растрезвоню на весь мир и потеряете больше. - Сodavr(30.07.2013 00:03)
- Тыщи банков расплачивается с десятками тыщ хакеров во избежание огласки. - Сodavr(30.07.2013 00:04)
- Не хочу дальше спорить ибо я не специалист в кардиологии. Но сильно подозреваю что не все так просто как ты описываешь, ты ведь тоже не кардиолог. - Сodavr(29.07.2013 23:57)
- я сознательно упрощаю даже ту малость, которую знаю - koyodza(30.07.2013 00:00)
- По правде говоря, пока что не было продемонстрировано никаких признаков "непродуманного подхода". Я согласен с Сodavr-ом что хакер мудак. Сломать можно что угодно! - Shura(29.07.2013 23:59)
- именно от балды. Функции поддержания жизни стимуляторы обеспечивали ещё в 70-х без всяких контроллеров. Вначале происходило улучшение важных характеристик, а когда улучшать стало уже почти нечего (кроме потребления и размеров) начали прикручивать koyodza(182 знак., 29.07.2013 23:55)
- Человек хрупкое устройство, а больной человек вдесятеро уязвимее и тербует тонкой настройки. Не думаю, что от балды там понаприкручивали. - Сodavr(29.07.2013 23:49)
- там батарейка, из-за этого современный аппарат менять приходится где-то раз в 5 лет. Раньше там криптозащиты не было потому как и контроллера там не было, основные функции вполне реализуются и без него - koyodza(29.07.2013 23:34)
- Думаю не все так просто. Аппарат и так не дешевый, да еще и проблемы с энергетикой. А любая критозащита это дополнительное потребление. Техника подтянется и криптозащита станет на уровне. Есть те кто такой аппарат уже лет 10 в себе носит. Тогда ни Сodavr(73 знак., 29.07.2013 23:25 - 23:27)
- так что основной мудак не хакер, а те, кто хотят выпускать гуано делая вид что всё ок - koyodza(29.07.2013 23:22 - 23:25)
- не всё так однозначно: если не обращать внимания на наличие угрозы, она никуда не денется. Только будет отложена во времени, но из-за этого масштабы могут стать ещё более катастрофическими - koyodza(29.07.2013 23:21)
- Я и не сомневаюсь, что так оно и есть. Думаю что были серьезные причины, чтобы прищемить нос не в меру любопытному хакеру. Мудило он. Миллионы людей через его доклад окзались бы если не под угрозой, то по крайней мере серьезно напуганы, а для Сodavr(44 знак., 29.07.2013 23:10)
- возможно, связано с физиологическими особенностями, типа таймаут ожидания и прочее. Наверняка требуемый диапазон изменения параметров не столь широк, чтобы приводить к летальному исходу, скорее речь о комфортности ощущения. koyodza(283 знак., 29.07.2013 23:00)
- "подобрать адекватные параметры стимуляции" что значит? - Сodavr(29.07.2013 21:58)
- данные мониторинга, видимо, сливают. Это не основная функция - koyodza(29.07.2013 21:43)
- Неправ. Возможность перепрограммирования нужна всегда т.к. ненулевая вероятность обнаружения в будущем каких-нибудь эпик фэйлов типа проблемы 2038 года. - Shura(29.07.2013 23:34)
- Зато fail апдейта прошивки будет смотреться прикольненько :) Успей перепрошить пациента до того, как в этом отпадет необходимость... - Evgeny_CD(29.07.2013 21:23)
- я образно про WinCE. Пусть даже простой бутлоадер по радиоканалу - нафига? Типа звонят клиенту "мы в софте ошибку нашли, давайте сейчас вам апдейт пришлём"? Пошли они нахер с таким подходом, лучше на 555 таймере (образно) использовать, чем такое koyodza(6 знак., 29.07.2013 20:42)
- нафига в кардиостимуляторах вообще оставлять такие дыры типа обновления прошивки по радиоканалу? Сделали бы радиоканал для слива данных с него, да некоторые настройки менять с жестким контролем допустимых пределов. Нет же, всё этим koyodza(55 знак., 29.07.2013 20:22)