安全公司披露医疗设备漏洞竟是为了投资策略

作者:星期三, 八月 31, 20160
分享:

8月25号,圣裘德医疗设备公司在曝出产品存在重大网络安全漏洞后,股价暴跌。

MedSec,专业医疗设备网络安全公司;Muddy Waters(浑水),投资研究公司;这两家公司前所未有地联手针对圣裘德展开了行动,指责该厂商严重忽视网络安全,并敦促其召回产品。

KmCBvyEFrLXNBWJ4rlDDPzl72eJkfbmt4t8yenImKBXEejxNn4ZJNZ2ss5Ku7Cxt

MedSec是一家2015年成立的公司,称其分析了4家主要医疗设备厂商的产品,确认圣裘德是其中最不安全的。

该安全公司的分析师针对圣裘德的多种产品进行了分析,包括植入患者体内的心脏设备(例如:心脏起搏器和植入型心律转复除颤器)、内科医生用以配置和监视植入设备的程控板、圣裘德的Merlin.net网络,以及Merlin@home信号传送器。Merlin@home产品部署在患者家里,以无线射频从植入型心脏设备收集健康数据,并通过电话、宽带或蜂窝连接将数据发送到Merlin.net。

工业控制系统(ICS)网络安全大会

MedSec从一名执业医师处获得二手Merlin@home设备和程控板,并对此进行了分析,发现了因缺乏合适的加密和认证而出现的几个严重问题。研究人员称,这些漏洞让设备和用户在攻击面前毫无防备,甚至水平很低的黑客都能得手。

MedSec称其开发了概念验证漏洞利用程序,可证明攻击者能远程导致心脏设备误操作或极快消耗掉电量(例如:若攻击在夜间发起,可在两周内耗干电量)。

将完全披露作为投资策略的一部分

圣裘德确实有一套责任披露程序。该公司设置了专门的邮件地址接收研究人员对其产品漏洞的报告。

然而,MedSec并未将其发现报告给圣裘德,而是联系了浑水研究公司。浑水公司作为顾问加盟该安全公司,授权其研究,并基于其投资效益发放报酬。

两家公司发布的报告称,有很大的可能性,在大约2年内圣裘德的利润会因这些安全问题而缩水一半。浑水投资研究公司指出:受影响的产品占圣裘德2015年收益的46%,理应被召回并修复,而这个过程将耗时2年。

浑水公司以其激进的战术而闻名业内,它预测圣裘德医疗设备公司的股票将因这些问题而下跌,卖空策略可以为浑水公司和MedSec带来巨大好处。

MedSec承认:将其发现带给浑水公司的决定对公司是有好处的。但同时也宣称:主要目的还是提起人们的关注。该安全公司的CEO在彭博社的访谈中称,他们担心如果直接报告给圣裘德,真相可能会被掩藏。

“我们承认,我们这种不遵循传统网络安全实践的做法会招致批评,但我们相信,这是刺激圣裘德有所动作的唯一方法。最重要的是,我们认为,潜在和现有患者有权知道他们面临的风险。”MedSec首席执行官贾斯汀·博在公司的博客上如此说道。

MedSec的报告只包含有有限的漏洞技术信息,让人难以验证他们的主张。虽然报告聚焦在最坏情况上,其作者也指出他们没有察觉到对患者安全的任何紧迫威胁。

圣裘德称这些指控是“完全不真实的”。该公司宣称,会对其医疗设备和网络设备,进行持续的安全测试。

圣裘德首席技术官菲尔·埃博林说:“我们有多层安全措施。我们有持续的安全评估,且这些安全评估都是与外部专家合作,针对Merlin@home和所有我们的设备进行的。”

尽管报告披露后该公司股价暴跌8%以上,在圣裘德否认指控当天,股价又回升了3%。

比利·里奥斯,专注于医疗设备分析的安全研究员,尽管避免有所偏颇,还是对制造商提供了一些建议。

“整个责任披露辩论已经持续了几十年。双方各有一些很好的论点。我建议设备制造商接受不同研究人员会采取不同披露方式的现实。这些方式或许也不总是站在制造商的最佳利益点。”

“对制造商而言,最好的方式,就是不要试图控制研究人员,而是把精力放到打造健壮的安全工程项目和过程上。制造商安全策略不应该建立在陌生人的好心上。”

圣裘德是2014年美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)对医疗设备和医院设施进行的调查中,被抽检的几家公司之一。

TrapX,一家以诱捕式安全技术见长的公司,指出:在高层次上,圣裘德起搏器本质上是物联网设备。

物联网安全比较棘手是有很多原因的:由于设备规模,很多设备无法容纳操作系统或处理能力以支持多层安全解决方案;很多时候设备生态系统都是开放的,以便能与其他设备通信,也就增加了潜在的威胁攻击方法;设备配置也会频繁更新,安全平台没办法跟上如此频繁的改变。

为更好的保护此类设备,TrapX建议制造商对所有原始设备制造商(OEM)组件进行设计审查,开发出快速集成软件和硬件修复的策略,避免在产品设备中留下USB启动的漏洞,加密签名软件,保护项目管理接口,并进行安全测试,最好采用第三方公司。

 

分享:

相关文章

写一条评论

 

 

0条评论