Nieuws
image

Onderzoekers: hartslag als wachtwoord voor pacemaker

donderdag 26 september 2013, 16:44 door Redactie, 12 reacties

Onderzoekers van een Amerikaanse universiteit hebben een nieuwe manier gevonden om medische apparatuur, zoals pacemakers, defibrillatoren en insulinepompjes, tegen ongeautoriseerde toegang te beschermen door de hartslag van een patiënt te gebruiken.

Deze apparatuur, die vaak in of op het lichaam is aangebracht, beschikt over draadloze mogelijkheden, zodat medisch personeel de patiënt kan monitoren. Dit heeft ook een nadeel, namelijk dat de apparaten te hacken zijn, aldus onderzoekers van de Rice University. Medische implantaten beschikken niet over een wachtwoord, zoals bij een wifi-router thuis het geval is, omdat medisch personeel vaak snel toegang tot het apparaat nodig heeft. Dat zorgt er ook voor dat de apparaten kwetsbaar voor aanvallen zijn.

"Als je een apparaat in je lichaam hebt, kan een persoon voorbij lopen, op een knop drukken en je privacy schenden, of je zelfs een schok geven", aldus onderzoeker Masoud Rostami. Een aanvaller zou een insulinepomp ook insuline kunnen laten geven of de software van de pacemaker updaten. "Maar onze voorgestelde oplossing dwingt iemand die het apparaat wil uitlezen om je eerst aan te raken", merkt de onderzoeker op.

Hartslag

Om eventuele ongeautoriseerde toegang te voorkomen ontwikkelden de onderzoekers het Heart-to-Heart authenticatiesysteem, dat de hartslag van de patiënt als een wachtwoord gebruikt. Het systeem vereist dat de software in het medische implantaat met het "aanraak" apparaat communiceert. Dit apparaat wordt de 'programmer' genoemd.

Als medisch personeel de patiënt aanraakt, detecteert de programmer een elektrocardiogram (EKG) handtekening van het kloppende hart. De interne en externe apparaten vergelijken de details van de EKG en voeren een "handshake" uit. Als de signalen die door beide apparaten op hetzelfde moment zijn verzameld overeenkomen, worden ze het wachtwoord dat toegang tot het apparaat geeft.

"Het signaal van je hartslag is elke seconde anders, dus is het wachtwoord ook elke keer anders", aldus Rostami. "Je kunt het zelfs een minuut later niet meer gebruiken." Het systeem zal in november tijdens de Computer and Communications Security conferentie in Berlijn worden gepresenteerd.

Image

Reacties (12)
26-09-2013, 17:35 door vimes
Dus als een kwaadwillende zo'n extern apparaatje kan namaken hoeft ie je alleen maar even aan te raken om je hart in de disco stand te zetten?
26-09-2013, 21:08 door [Account Verwijderd]
[Verwijderd]
26-09-2013, 23:16 door schele
Euh... heb je nou niet net een pacemaker om onregelmatig kloppen van ht hart tegen te gaan?
Maw, onregelmatig klinkt niet als een betrouwbaar wachtwoord...
27-09-2013, 00:27 door Anoniem
Als medisch personeel de patiënt aanraakt, detecteert de programmer een elektrocardiogram (EKG) handtekening van het kloppende hart.
Dit is wat anders dan de PDF beschrijft:
"touch-to-access": A medical instrument (e.g., commercial device programmer), which we call generically a Programmer, obtains access to a patient's IMD if and only if it has significant physical contact with the patient's body.
Het is dus niet zo dat medisch personeel dat de programmer bij zich draagt alleen maar zelf fysiek contact met de patiënt moet maken om de hartslag van de patiënt op te vangen (wat ik een indrukwekkende prestatie zou vinden, op het ongelofelijke af), de programmer zelf moet in significant contact gebracht worden met het lichaam van de patiënt. Dat maakt misbruik in het voorbij lopen door iemand die zo'n apparaat weet te bemachtigen ondoenlijk. De PDF bevat niet het plaatje dat hier is getoond maar een ander plaatje waar de programmer rechtstreeks in contact met de patiënt wordt gebracht.
27-09-2013, 06:19 door Anoniem
Door vimes: Dus als een kwaadwillende zo'n extern apparaatje kan namaken hoeft ie je alleen maar even aan te raken om je hart in de disco stand te zetten?

Dat namaken van een gewone draadloze programmer is al gelukt en aangetoond dat je dat van een afstand aanpassing kan doen, deze oplossing verkleint voorlopig de cirkel vanaf waar de 'aanval' kan plaatsvinden.
Nu de vraag hoe gedetailleerd moet het ECG zijn, als je bijvoorbeeld de hals slagader ziet kloppen van een afstand kan dat al nauwkeurig genoeg informatie op leveren?
27-09-2013, 06:28 door Anoniem
Hoelang houdt it stand? Er wordt toch al druk gewerkt aan medische analyze apparatuur die van buiten scanned, zoals in de Science Fiction. Dus dat Near Field Communicatoon idee (benodigd aanraken an patient) is maar tijdelijk denk ik.
En in de stand even aanraken is voldoende.

Ik heb geen idee hoe snel je zo'n implantaat kan aanpassen, maar misschien de gehele communicatie encryptie van deze hartslag methode?
27-09-2013, 08:31 door N4ppy
Door AnonymousSecurity: Hebben ze gelijk de hartslag in kaart..hoezo privacy?
Hahahahahaha alsof een cardioloog niet 80 meter (digitale) hart filmpjes heeft (check even je alu hoedje)

@Shele het gaat om het tempo, subtiele verschillen etc. Elk hart klopt net even anders, spieren zijn anders kleppen etc etc

Vraag me alleen af hoe dit werkt als het hart (even) niet klopt?
27-09-2013, 08:35 door Anoniem
Jullie begrijpen blijkbaar niet hoe het werkt.

Door aanraking ontstaat bij beide apparaten een identiek hartritme. Al klopt het hart maar 1 keer per minuut, het gaat erom dat het patroon aan beide kanten hetzelfde is.
27-09-2013, 09:10 door Anoniem
"Hebben ze gelijk de hartslag in kaart..hoezo privacy?"

Lol, is jouw hartslag altijd gelijk ofzo. Zie ook de reactie van 8:35.

Leg eens uit wat dit in hemelsnaam met privacy te maken heeft.
27-09-2013, 09:14 door Anoniem
"alsof een cardioloog niet 80 meter (digitale) hart filmpjes heeft (check even je alu hoedje)"

Kennelijk wil AnonymousSecurity indien hij behandeld wordt door een cardioloog zijn hartslag verbergen, omdat hij vindt dat zijn arts geen need to know heeft om te weten wat zijn hartslag is. Waarbij de cardioloog alleen die hartslag te weten kan komen indien AnonymousSecurity zichzelf vrijwillig op deze manier authenticeert, en daarbij naar zijn mening zijn eigen privacy schendt.

Sommige mensen zijn nu eenmaal paranoia ;)
27-09-2013, 17:49 door [Account Verwijderd]
[Verwijderd]
27-09-2013, 17:51 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search