Már több mint egy évtized telt el azóta, hogy egy biztonsági kutató élőben, vezeték nélküli hálózaton keresztül feltört egy kórházi inzulinpumpát, bebizonyítva, hogy az informatikai rések kihasználásával milyen egyszerűen beadható akár egy halálos adag gyógyszer is a pácienseknek. Azóta az orvostechnikai eszközök biztonsága sokat javult, legalábbis az aktuális csúcstechnológiát tekintve, a szakemberek azonban sorra fedezik fel az olyan sebezhetőségeket, amelyek tíz évvel ezelőtt még nem kapcsolódtak mindenütt jelenlévő technológiákhoz.
A Techcrunch beszámólója szerint a Cynerio nevű kiberbiztonsági startup a kórházak és egészségügyi rendszerek biztonságára szakosodott kutatói mindjárt öt darab, eddig nem látott sebezhetőséget fedeztek fel az Aethon által gyártott robotokban, amelyek szerintük lehetővé teszik a gépek távoli eltérítését és irányítását. A szóban forgó robotok kockázatait nem csak saját funkcionlitásuk adja, de a kórházi felhasználásban hozzáféréssel rendelkezhetnek az intézmények elzárt részeire is, például használhatják a lifteket, mivel fő céljuk a munkaerőhiány és a munkaköltségek csökkentése.
A gyártó saját adatai alapján ez a gyógyszerek kiosztását tekintve akár 80 százalékos spórolást is jelenthet, vagyis a robotok eben a tekintetben tényleg hatékonyak. A most felfedezett hibák azonban lehetővé teszik a hekkereknek, hogy a rendszerekben új, magas szintű hozzáféréssel rendelkező felhasználókat hozzanak létre, majd bejelentkezzenek, és távolról irányítsák a robotokat. Ezáltal többek között bejárhatják a kórházak minden zegét-zugát, kikémlelhetik a betegeket és a látogatókat a robotok beépített kameráival, vagy más módon káoszokat okozzanak.
Ezeket legalább javították
Az öt sebezhetőség egészen pontosan nem magukban a robotokban, hanem azokban a kiszolgálókban jelentkezik, amelyek a kommunikációt és a vezérlést intézik a kórházak (vagy adott esetben szállodák) folyosóin áthaladó gépekkel, saját webes felülettel rendelkeznek, és ez az intézményeken belülről is elérhető. A kutatók ráadásul arra figyelmeztettek, hogy olyan sérülékenységekről van szó, amelyek kiaknázásához kifejezetten alacsony szintű informatikai készségekre van csak szükség: bizonyos esetben még rendszergazdai jogosultság nélkül is sikerült kapcsolatba lépniük a robotokkal.
A Cynerio szerint a kockázat korlátozott lenne, ha a szervereihez való hozzáférés tényleg csak a helyi hálózatokba bebejelentkezett alkalmazottakra korlátozódna. Az internetre csatlakozó kiszolgálókon keresztül azonban a sérülékenységek gyakorlatilag bárhonnan kihasználhatók, az Aethonnek pedig már most is világszerte több száz kórházban több ezer eszköze működik. A most felfedezett hibákat egyébként a gyártó már kijavította a megfelelő szoftver- és firmware-frissítéseken keresztül, beleértve a megfelelő szerverek hozzáférésének korlátozásait is, de azt nem árulták el a TechCrunch kérdésére, hogy ez milyen arányban érinti a használatban lévő a robotokat.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?