LINUX.ORG.RU

Киберпанк который мы заслужили

 , ,


0

3

https://nplus1.ru/news/2019/03/23/critical-flaws Ъ:

Два десятка моделей кардиовертеров-дефибрилляторов компании Medtronic, одного из крупнейших производителей медицинских приборов, не требуют аутентификации при беспроводном подключении. Это позволяет злоумышленнику нарушить сердечный ритм пациента, изменив настройки прибора или подав прямую команду на дефибриллятор.

#ИНТЕРНЕТВЕЩЕЙ #ГЛОБАЛЬНОИНАДЁЖНО

★★★★★

Вот поэтому IoT-девайсы должны быть строго клиентами. И связь должна быть строго через TLS/SSL.

shkolnick-kun ★★★ ()
Последнее исправление: shkolnick-kun (всего исправлений: 1)

Пишешь программу, которая при каждом приближении к тян будет подключаться к её кардиостимулятору и немножко учащать биение сердца. Спустя неделю тян думает, что влюбилась в тебя, вы женитесь, рожаете детишек.

alexferman ()
Ответ на: комментарий от alexferman

Ты же по лолям специализируешься, а кардиостимуляюторы обычно ставят женщинам предпенсионного или пенсионного возраста.

te111011010 ()

С разморозкой. Про дырявость IoT уже только ленивый не писал и не говорил.

CaveRat ()

потому что, эти устройства надо было на node.js писать и через npm ставить библиотеки безопасности

Int0l ()

Это уязвимость, но такое будет караться законом, так как здесь потенциальный какер будет угрожать жизни больного.

TillCoyote ()
Ответ на: комментарий от TillCoyote

Статья за убийство уже есть. Или что, по твоему, должно караться законом?

CaveRat ()
Ответ на: комментарий от shkolnick-kun

SSL устарел и его давно пора закопать, хватит его упоминать. TLS >= 1.2

Harald ★★★★★ ()
Ответ на: комментарий от alexferman

В том возрасте, когда ставят кардиостимуляторы любовь имеет уже платонический характер и детишек можно разве что усыновить.

burato ()
Ответ на: комментарий от WitcherGeralt

Со стороны производителя? Только если где-то в должностных обязанностях прописано, что так делать нельзя. Но прописано будет, скорее всего, что-то типа тестирования на уязвимости по какой-нибудь методике.

До тех пор, пока не было нарушения должностных инструкций - нет и преступной халатности. Common sense тут применять не надо.

CaveRat ()
Ответ на: комментарий от CaveRat

Я в принципе сомневаюсь, что это как-то зарегулировано, и тем более, что может быть уголовка, пока никто от этого напрямую не пострадает. Но если в итоге будет, то уж присяжные их в чём угодно виновными признают.

Надеюсь, что их при любых раскладах их ожидает коллективный иск на сказочную сумму.

WitcherGeralt ★★ ()
Ответ на: комментарий от WitcherGeralt

Да почти никак это (безопасность IoT) пока не регулируется. Говорят об этом много, но какие-то телодвижения пока есть только в Калифорнии.

Надеюсь, что их при любых раскладах их ожидает коллективный иск на сказочную сумму.

Не ожидает. Состава преступления нет. Вот вообще никак.

CaveRat ()

пора на такие девайсы вводить обязательную сертификацию еще и по части security. а хипстоту гнать в шею с ихними agile.

alwayslate ()
Ответ на: комментарий от burato

Их иногда даже детям ставят. Всяко бывает.

dk- ()
Ответ на: комментарий от burato

Ути мой маленький ницшеанец, живущий в юрте на 15 тысяч в месяц.

alexferman ()
Ответ на: комментарий от alexferman

Не твой))

А ты не сможешь на 10К выжить, инфасоточка.

burato ()

норм, потом прикажут каждому вживить, чтобы в случае чего можно было централизовано «отключать» неугодных

BLOBster ()

Сделают защищённую аутентификацию, ну и мастер-ключ, подходящий к любому дефибрилятору. И тогда остановить сердце любому пациенту сможет только ФБР, ну например если пациент будет объявлен врагом государства США. А если ключ утечёт к русским, то его можно будет купить в любом переходе метро за 100 рублей

ZenitharChampion ★★★★★ ()
Ответ на: комментарий от burato

уже нужно учиться не на 10к а вообще без денег выживать, лет через 10 даже резаную бумагу отменят, покупать/продавать сможешь только через подобный «кардиостимулятор»

BLOBster ()
Ответ на: комментарий от alexferman

... И у всех детишек проблемы с сердцем и требуются кардиостимуляторы, что только подогревает спрос?

ncrmnt ★★★★★ ()
Ответ на: комментарий от BLOBster

Не переживайте. Денег не хватит, а также терпения и количества хирургов на такое.

Leupold_cat ★★ ()
Ответ на: комментарий от shkolnick-kun

А еще должны быть Trust Zone и прочие фичи SecureBoot. STM в этом году выпускает такой проц из линейки низкопотреблялок серии L

linuxoidspb ()
Ответ на: комментарий от TillCoyote

Проблема в поиске такого какера. Будет «умер Максим, хрен бы да и с ним». За разные взломы тоже статьи есть, но не помогают особо.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от ZenitharChampion

Не боись, можешь смело юзать 0000 и получать доступ от ФБР, как в свое время на ядерном оружии от США пароль стоял.

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

Но это не будет убийством дорогим имплантируемым кардиовертером-дефибриллятором. Тогда уж есть дешевые пули.

Leupold_cat ★★ ()
Последнее исправление: Leupold_cat (всего исправлений: 1)
Ответ на: комментарий от alwayslate

Пихать дальнюю связь в такое устройство это в принципе странная идея.

thunar ★★★★★ ()
Ответ на: комментарий от thunar

Пихать дальнюю связь в такое устройство это в принципе странная идея.

вторая часть моего коммента про это.

alwayslate ()
Ответ на: комментарий от alwayslate

Кардиостимулятор-это медицинский девайс 3 уровня по классфикации FDA (может убить при ошибке в софте) и там сертификация и регуляция на таком уровне, что тебе не снилось.

Pyzia ★★★★ ()
Ответ на: комментарий от Pyzia

Кардиостимулятор-это медицинский девайс 3 уровня по классфикации FDA (может убить при ошибке в софте) и там сертификация и регуляция на таком уровне, что тебе не снилось.

поверь, я рад что мне такое не снится (пока), это реальность.

но если такой баг есть, то очевидно что то там не так, вероятно и с сертификацией.

alwayslate ()
Ответ на: комментарий от alwayslate

Очень сложный, супер-бюрократизированный процесс разработки, «левая рука не знает, чт делает правая». Человеческий фактор прорывается наружу даже в таких сурьёзных областях.

Pyzia ★★★★ ()
Ответ на: комментарий от Pyzia

Надо смотреть, как построен процесс сертификации. Если там тестировали только именно ошибки (ПО работает не так, как заявлено в сопроводиловке, условно), то отсутствие аутентификации при подключении может и не быть ошибкой.

CaveRat ()
Ответ на: комментарий от Pyzia

значит это бэкдор для гебни и они не расчитывали что обычные васяны попробуют подключиться ?

правда трудно понять как такое могло произойти, куда смотрел ПМ, куда смотрел архитектор, почему никто из разрабов/тестировщиков не обратил внимания ? это ведь не сайтик по продаже поношенных трусиков, безумие какое то

BLOBster ()
Ответ на: комментарий от Pyzia

Очень сложный, супер-бюрократизированный процесс разработки, «левая рука не знает, чт делает правая». Человеческий фактор прорывается наружу даже в таких сурьёзных областях.

я думаю что процесс сертификации касательно беспроводного доступа туту. вот и развели хипстоту. это ж сравнительно не так давно (для этой индустрии) появилось, вот и не успели.

alwayslate ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)