image

Onderzoekers hacken pacemakers en insulinepompen

dinsdag 29 november 2016, 11:04 door Redactie, 12 reacties
Laatst bijgewerkt: 29-11-2016, 13:10

Onderzoekers van de Katholieke Universiteit Leuven zijn erin geslaagd verschillende medische implantaten van een bekende fabrikant te hacken. Het gaat onder andere om pacemakers en insulinepompen. De implantaten zijn via een draadloze verbinding te programmeren en uit te lezen.

De Leuvense onderzoekers konden, bijvoorbeeld als de patiënt langs een arts voor controle gaat, op de verbinding inbreken en zo bijvoorbeeld de dosis of andere gegevens wijzigen. Ook zou het mogelijk zijn om het hartritme te veranderen of de drager van de pacemaker hartritmestoornissen te bezorgen. "Het is erg gevaarlijk en kan in het slechtste geval mensen doden", stellen de onderzoekers. Na te zijn ingelicht heeft de fabrikant van de gekraakte toestellen alvast een update uitgebracht om de pacemakers beter te beveiligen.

Onderzoekers hebben in het verleden vaker kwetsbaarheden in pacemakers en insulinepompen aangetoond. VVD-Kamerlid Ockje van Tellegen ziet in het onderzoek aanleiding voor de invoering van de wet Computercriminaliteit III. "Hoogste tijd dus voor de wet op de computercriminaliteit!", zo laat ze via Twitter weten. Volgens het Kamerlid is de wet nodig zodat de politie "die hackers" kan aanpakken. Tellegen diende onlangs met CDA-Kamerlid Van Toorenburg een motie in om het wetsvoorstel met spoed te behandelen. Waarschijnlijk zal dit in de eerste of tweede week van december gebeuren.

Image

Reacties (12)
29-11-2016, 11:07 door Anoniem
Jammer dat de kans op een motie door zon onvoorzichtige uitspraak niet zo groot is. If-anything maakt de hackwet het aannemelijker dat criminelen illegitieme kansen heeft groter dan dat de politie legitieme kabs heeft dit soort misdaad te voorkomen. Zeker in gevallen met een mogelijk dodelijke afloop een wel heel belangrijke crux.
29-11-2016, 11:19 door Anoniem
Mij is altijd verteld dat medische implantaten nooit gebruik maken van encryptie en/of authenticatie omdat in een noodgeval een (ambulance)broeder te allen tijde het device moet kunnen bedienen. Je wilt tijdens een hartaanval geen vragen over wachtwoorden en certificaten hoeven stellen aan de patiënt :-). Echter, als deze 'openheid' schadelijke gevolgen voor de gezoendheid en/of het welbehagen van de patiënt kan hebben, dan moet die gedachte opnieuw tegen het licht worden gehouden.
29-11-2016, 11:36 door Anoniem
Ockjes licence to kill : Ockje Tellegen wil hacken van pacemakers legaliseren.

In de nieuwe wet wordt immers het hacken van pacemakers door politie gelegaliseerd.
Op deze manier kunnen hackers en 'andere' criminelen op afstand worden uitgeschakeld.
Een heel christelijk nette schone aanpak waar je geen vieze handen van krijgt.

CDA, voor de doodgewon(d)e burger.
29-11-2016, 11:41 door Anoniem
De grote vraag is waar gaat zo'n wet je tegen beschermen..
Naar mijn idee niet zo heel veel.
Het is beter om de bron aan te pakken, wanneer je de hackers aan pakt is de patient al overleden.
Het op de markt brengen van medische apparatuur zou ook een security check moeten doorstaan.
Daar kun je (ethical) hackers voor gebruiken, zoals in dit geval is aangetoond.
29-11-2016, 12:06 door Anoniem
Dus de oplossing is volgens deze mevrouw om iedereen als crimineel te bestempelen ipv. de leveranciers boetes te geven op ondeugdelijke hardware. Totaal omgekeerde wereld, en laat maar weer eens zien dat overheid en ICT niet samen gaan.

Als de overheid nou eens een boete clausule maakt, waarin voor elke gehakt apparaat / persoon dosier 1000 euro boete oplevert. Hierdoor wordt het niet beveiligen een duurdere kostenpost (als je gehackt wordt) dan wel beveiligen. Dit maakt de boel veiliger.

Overheid praat dus slecht programmeren en hardware ontwikkeling goed ipv dat ze het aanpakt...

TheYOSH
29-11-2016, 15:34 door Anoniem
Hoogste tijd dus voor de wet op de computercriminaliteit!", zo laat ze via Twitter weten. Volgens het Kamerlid is de wet nodig zodat de politie "die hackers" kan aanpakken.
Ja zo gemakkelijk is het, je maakt een wet en de hackers worden opgepakt.
Dit laat weer eens zien, ict en overheid dat werkt niet samen.
Ze begrijpen niets en dan ook niets over soft en of hardware, en ze onder schatten de kennis van sommige hackers.
De soft en of hardware hoort veilig te zijn voor het op de markt komt, en niet te snel op de markt gebracht
te worden om snel geld te verdienen.
29-11-2016, 20:31 door Anoniem
De vraag is en blijft natuurlijk, zijn het 'hackers' die kwade plannen in het achterhoofd hebben of zijn het 'hackers' die de aandacht willen vestigen op dat er 'gaten' in die systemen zitten die best zouden opgevangen worden.

Mocht het over computercriminaliteit zelf gaan, die gaat in stijgende lijn.

Persoonlijk ben ik totaal geen fan van alles wat met Wi-Fi te maken heeft. Ik gebruik de kabel en de Wi-Fi toestanden staan overal uit of blocked. Ik heb er dan ook totaal geen vertrouwen in.

Pijnlijk detail is dat men het steeds meer en meer gaat opdringen aan de mensen.
29-11-2016, 22:22 door Anoniem
Waar BOF mogelijk op doelt de beoogde 'terughack-bevoegdheid' van de politie. Wat dus gewoon 'hacken' is. Zonder de verplichting om een spoor achter te laten. Eindelijk 'ns iemand uitschakelen zonder kogel of wat dan ook. En vooral zonder effectief toezicht.
29-11-2016, 23:15 door Anoniem
Dit was toch al veel langer bekend? Allemaal (R.I.P.) Barnaby Jack vergeten?
29-11-2016, 23:22 door Anoniem
Door Anoniem: Mij is altijd verteld dat medische implantaten nooit gebruik maken van encryptie en/of authenticatie omdat in een noodgeval een (ambulance)broeder te allen tijde het device moet kunnen bedienen. Je wilt tijdens een hartaanval geen vragen over wachtwoorden en certificaten hoeven stellen aan de patiënt :-). Echter, als deze 'openheid' schadelijke gevolgen voor de gezoendheid en/of het welbehagen van de patiënt kan hebben, dan moet die gedachte opnieuw tegen het licht worden gehouden.

Dat is een heel terechte zorg .

Dit is weer een geval waarin het security model "deny tenzij alle credentials kloppen" hard botst met reliability/availability "toegang moet altijd mogelijk zijn in noodgevallen" .

Toegang is maar zelden nodig, en dat maakt sleutelbeheer erg lastig - wil je de patient één of ander token laten bewaren, wat alleen nodig is in de monitor van de hartspecialist zo af en toe ?

Dat gaat _gegarandeerd_ mis - verloren en vergeten .
Toegang alleen voor het management systeem van de specialist ? [wat wel eens stuk gaat, en soms natuurlijk is toegang nodig door een andere specialist ]
Toegang voor alle 'gecertificeerde' apparaten ? Dat gaat gehacked worden, met dezelfde bangmakerij die we nu zien .

Normaal kun je een hoop problemen omzeilen door de noodgeval toegang op basis van een fysieke connectie te regelen. (console poort e.a. ) . Die fysieke toegang scherm je af, maar is mogelijk.

Alleen een huiddoorvoer (bedrade stekker) is medisch _heel onwenselijk_ . Het beste wat ik zo kan verzinnen is iets draadloos (met spoel in het lichaam) en zodanig gekozen parameters dat extreem nabij contact nodig is.
Misschien (ook) ultrasoons , wat goed gaat met huidcontact door gel (echo) maar ontzettend slecht door lucht .
- kortom iets wat merkbaar fysiek contact vereist met de drager van het implantaat .
29-11-2016, 23:30 door Anoniem
Oud nieuws...
http://www.trouw.nl/tr/nl/39683/nbsp/article/detail/4421103/2016/11/24/Ziekenhuizen-melden-elke-dag-datalek.dhtml
30-11-2016, 01:30 door Anoniem
Hackers terughacken? LOL! Daar zullen ze echt niet wakker van liggen.
Wel voor een lange celstraf. Dus aanpakken die hap.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.