NWSPIBanner
TamThu

powered by FreeFind
Liên lạc với chúng tôi (bấm vào icon)
Skype
Skype Me™!		 E-Mail
E-mail		 Nhắn tin:
0903 739 920
Pro MRI
Chi tiết bên dưới trong khung này
Ad1

Ad2

Ad3

Ad4

Ad5

Ad6

Ad7

Ad8

English Home Page
20 years
Bấm vào h́nh để đến trang kỷ niệm 20 năm.

Tủ sách tư liệu khoa học

Hacking các máy St Jude
Phần I.

Ts. Trần Thống

Cách đây 2 tuần, cộng đồng điều trị nhịp tim sôi nổi với tin là máy Merlin@Home của Cty St Jude dùng trong theo dơi từ xa (tường tự Biotronik Home Monitoring) có thể bị hack. Theo bài ngày 25/08/2016 của MassDevice.com, công ty an ninh mạng (cybersecurity) MedSec Holdings đă hack vào máy theo dơi từ xa Merlin@Home của St Jude.

Hệ thống theo dơi từ xa (remote monitoring) của St Jude được tóm tắt trong h́nh bên dưới (trích từ: Remote Monitoring for patients with implanted defibrillators, Technology evaluation and broader regulatory framework, KCE report 136C, Belgian Healthcare Knowledge Center, 2010)

Merlin@Home
Hệ thống Merlin@Home - KCE reports 136B, Centre Federal d’Expertise des Soins de Sante, Belgique, 2010

Theo báo cáo với một máy Merlin@Home mua trên E-bay, có thể thay đổi phần mềm để hack vào hệ thống của St Jude (phần bên phải trong h́nh). Nguy hiểm không kém là hacker có thể mạo danh một máy chương tŕnh của St Jude (máy chương tŕnh dùng để điều chỉnh các thông số của tất cả các máy cấy vào cơ thể của St Jude) để ra lệnh có thể tổn thương BN. Và cuối cùng là hacker không hiểu nhiều về máy St Jude có thể tấn cống bằng vô tuyến bất cứ máy điều trị nhịp tim nào của St Jude từ 50 feet (17 m), đưa đến máy không c̣n hoạt động chuẩn. Cty có giới thiệu một video về tấn công loại này.

Tin này được Cty Muddy Waters (MW) phổ biến. MW là một nhà đầu tư "short-seller" nổi tiếng chuyên môn đánh cuộc ở thị trường chứng khoán là các công ty bị tấn công sẽ mất giá ở thị trường. Theo MW, MedSec Holdings đă nghiên cứu hệ thống St Jude cùng hệ thống của 3 công ty cạnh tranh (Medtronic, Boston Scientific, Biotronik) và phát hiện một yếu điểm quan trọng của hệ thống St Jude. Tin này đă làm cổ phiếu St Jude mất đi 10% giá trong ngày, và cuối ngày rốt cuộc mất 5% giá. Như vậy là MW đă đạt được phần nào mục đích của ḿnh, là phá giá cổ phiếu St Jude.

Chúng tôi không muốn phê b́nh nhiều về báo cáo 33 trang của MW. Tuy nhiên MW phải có bằng chứng rất xác thực về tin này, v́ Cty St Jude có thể đưa MW ra ṭa về phao tin thất thiệt. Đương nhiên là St Jude đă lập tức cử Phil Ebeling, St Jude Chief Technology Officer (TGD kỹ thuật), đứng ra phủ nhận các thông tin này. St Jude tuyên bố là "sự kiện" trong video là "Security Feature. Not a flaw" ... là một chức năng an toàn, không phải à một yếu điểm.

Ngày 26/08/2016, Mass Device lại có thêm bài b́nh luận của Dave Price, một nhà báo có mang một máy tạo nhịp St Jude Assurity (ở VN có máy cao cấp Assurity MRI, tương tự, với thêm tương thích MRI. Ở Mỹ chưa có máy tạo nhịp nào của St Jude đạt tương thích MRI). Theo Price, đă có dịp đọc bài báo cáo 33 trang của MW, hacking máy St Jude khá dễ và có thể làm từ cách xa 50 feet (17m). MW, một công ty không có nhiều kinh nghiệm về hacking, theo hướng dẫn của MedSec Holdings đă thành công hack được máy St Jude. Điều Price nêu lên là MW cho biết là các liên lạc với máy không có được mật mă hóa (encrypted). Price có vẻ tin MW v́ nếu các thông tin tung ra không chính xác, mà giá cổ phần St Jude tăng, th́ MW sẽ lỗ nặng!

Ebeling (St Jude) đă cực lực bác bỏ các tin từ MW. Tuy nhiên điều chúng tôi để ư là Ebeling không có tuyên bố là St Jude có mật mă hóa các liên lạc. Ebeling chỉ tuyên bố là hệ thống liên lạc an toàn v́ có nhiều lớp an ninh (several layers of security layers in place).

Trong các máy tạo nhịp của St Jude, chỉ có máy Assurity là có chức năng wireless. Ngoài ra các ICD St Jude đều có wireless. Tin tức là các máy với chức năng wireless có thể bị hack đă có từ năm 2008 khi một ICD Medtronic Maximo bị hack. Báo cáo về hack này đă được đăng trên mạng. Năm 2013 hacking đă được dùng trong chương tŕnh truyền h́nh (tiểu thuyết) Homeland để giết một phó tổng thống. Mới đây, năm 2011, Barnaby Jack đă hack được một máy bơm insulin của Medtronic. Barnaby Jack (BJ) đă qua đời 1 tuần trước hội nghị Black Hat 2013 trong đó BJ dự tính sẽ tiết lộ thông tin làm sao hack các máy điều trị nhịp tim. Có tin đồn là BJ bị ám sát. Theo Wikipedia BJ có thể kích hoạt một máy phá rung để phát sốc từ 50 feet (17 m), một máy bơm insulin phát mọt liều insulin quá nặng (tử vong do mức đường quá thấp) hay quá thấp (đưa đến ketoacidosis) cách 300 feet (100 m).

Cuối thập niên 90 tôi đă phụ trách thiết kế các máy tạo nhịp và phá rung buồng của Biotronik. Phần liên lạc qua wand là do một nhóm kỹ sư phần mềm của Biotronik ở Berlin phụ trách. Tôi được biết là ngay cả liên lạc với wand cũng được mật mă hóa, nên tôi nghĩ liên lạc wireless cũng đă được mật mă hóa. Do đó khó hack vào các máy Biotronik. Như đă lưu ư ở trên, Ebeling của St Jude không có tuyên bố là các liên lạc trong hệ thống Merlin@Home được mật mă hóa.

Theo chúng tôi được biết, thường các hệ thống theo dơi từ xa chỉ được dùng để báo cáo số liệu từ trong máy. Không có thể điều chỉnh máy. Tuy nhiên đó là liên lạc thông thường. Một khi hệ thống bị hack, th́ hacker có thể ra lệnh thay đổi hoạt động của máy được. Vậy quan trọng là không để hacker vào hệ thống và do đó cần mật mă hóa các liên lạc. Medtronic đă không mật mă hóa liên lạc trong máy Maximo, nên đă bị hack. Có thể là Medtronic đă được trang bị “một bài học khôn" từ đó nên kỳ này MedSec đă không thành công. Boston th́ đă từng tuyên bố là các liên lạc được mật mă hóa. Vậy chỉ duy nhất St Jude là không mật mă hóa liên lạc?

Vậy BN ở VN có cần quan tâm không? Theo ư kiến cá nhân chúng tôi,  nên. Một hacker VN đang thử chơi, vô t́nh tấn công  vào ICD của một BN đang đi gần (máy insulin bị hack từ 100 m) … mà chính hacker cũng không biết. Chúng tôi không nghĩ là các hacker VN có đủ hiểu biết để có thể ra lệnh phát sốc, nhưng có thể làm phần mềm rối loạn. Khi phần mềm tẩu hỏa nhập ma, th́ sẽ reset lại (lập lại). Tất cả các máy có thể vào t́nh trạng power-on-reset. Video của MedSec Holdings là về trường hợp này.

Ngày 29/08/2016, MassDevice.com lại có bài thứ 3 (tiếp tục được xem là tin hàng đầu). Trước đây, hiếm có tin nào mà được MassDevice.com xem là hàng đầu 3 kỳ liên tiếp! Trong bài kỳ này có bàn đến chuyện MW cho biết là có thể làm một ICD hết pin trong thời gian ngắn từ xa 50 feet (17 m). St Jude trả lời là BN phải ở gần máy Merlin@home cả trăm giờ trước khi có thể có thể làm ICD hết pin. Ngoài ra khi ICD hết pin, máy có báo động. Đọc bài trả lời của St Jude, chúng tôi không rơ là bên St Jude hiểu cách MW hack ICD.

Bài này nêu lên rơ là theo MW, liên lạc trong hệ thống Merlin@home không có được mật mă hóa (encryption) và không có chứng thực (authentication) chuẩn. Ebeling, Chief Technology Officer St Jude, đă không trả lời chính xác về mật mă hóa, mà chỉ  nhấn mạnh là liên lạc có nhiều lớp an ninh.  St Jude, sau khi phân tích báo cáo của MW, đă đưa ra giả thuyết là MW có thể đă dùng một Merlin@Home với một phiên bản phần mềm cũ.

Ngày 30/8 lại có thêm một bài ở MassDevice.com. MW đă đưa ra một video về hacking này (loại làm máy tạo nhịp tẩu hỏa nhập ma). St Jude, khi phân tích video này, đă tuyên bố là máy tạo nhịp không có “crash” mà đă vào trạng thái “safe mode” cắt đứt liên lạc vô tuyến để bảo toàn máy tạo nhịp. Đây là một “safety feature” của các máy St Jude.

Ngày 7/09/2016 Cty St Jude đẫ đề đơn kiện Cty MW. Nhưng vẫn chưa có bằng chứng cụ thể là Cty MW đă hack hiệu quả implant hay không. Hồi tới đây sẽ là hồi quyết định.
Đây là một đau đầu cho Cty Abbott đang dự tính mua Cty St Jude vào cuối năm 2016.

Tài liệu tham khảo





Bạn có thể liên lạc với chúng tôi qua e-mail về lienlac@tamthuvn.com. Chúng tôi sẽ trả lời bạn trong thời gian ngắn nhất. Cám ơn bạn đă ghé thăm trang web của Tâm Thu và Northwest Signal Processing.

Lượt truy cập: visitor

Cập nhật: 20/09/2016                                                                                             Copyright NWSPI 2016