История
2016
Независимые эксперты подтвердили уязвимости в устройствах St. Jude
24 октября 2016 года стало известно о том, что независимые эксперты подтвердили наличие уязвимостей в медицинском оборудовании St. Jude Medical, из-за которых устройства потенциально могут быть взломаны хакерами, передает агентство Reuters.
В августе 2016 года Muddy Waters заявила о необходимости отзыва кардиостимуляторов, вживляемых дефибрилляторов и сердечных терапевтических устройств пересинхронизации торговой марки St. Jude в связи с наличием в этих приборах уязвимостей, которые могут привести к сбою в работе оборудования. St. Jude подала в федеральный суд в штате Миннесота (США) иск к Muddy Waters, обвинив компанию в преднамеренном распространении ложной информации.
Независимые эксперты подтвердили уязвимости в сердечных приборах St. Jude
В качестве доказательства своей правоты Muddy Waters предоставила суду 53-страничный отчет, подготовленный компанией Bishop Fox, специализирующейся на вопросах кибербезопасности. В этом докладе приводятся данные хорошо известных специалистов в области криптографии, кибервзлома компьютерных систем, криминалистической экспертизы и беспроводной связи, а также мнение специалистов исследовательской фирмы MedSec Holdings. Все опрошенные эксперты подтвердили существование уязвимостей в сердечных имплантируемых приборах St. Jude.
В St. Jude воздержались от информативных комментариев по поводу предоставления Muddy Waters отчета об уязвимостях в медицинском оборудовании производителя и лишь отметили, что компания будет реагировать на все действия оппонента "через соответствующие правовые каналы". Догнать и перегнать: Российские ВКС прирастают новыми функциями 5.7 т
В американском Управлении по санитарному надзору за качеством пищевых продуктов и медикаментов (Food and Drug Administration, FDA) заявили, что, обладая информацией, которая была получена к 24 октября 2016 года, ведомство по-прежнему рекомендует использование устройств St. Jude пациентами в соответствии с указаниями их врачей. [1]
Вскрытие уязвимостей в продуктах St. Jude Medical
В августе 2016 года стало известно, что группа хакеров нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Medical. Вместо того чтобы сообщить компании об уязвимостях в ее продуктах, хакеры обратились к Карсону Блоку (Carson Block), главе инвестиционной фирмы Muddy Waters Capital, с беспрецедентным коммерческим предложением, которое поможет им вместе заработать.
Взломщики работали на MedSec. По словам хакеров, уязвимость продуктов St. Jude Medical заключается в отсутствии шифрования и возможности подключаться к кардиостимуляторам и дефибрилляторам с неавторизованных устройств. MedSec утверждает, что кто угодно может подключиться к имплантам, вживленным в тела пациентов, и вызвать их фатальный сбой. О подобных угрозах говорят уже десять лет, но до сих пор риск, которому подвергаются сотни тысяч людей с имплантами St. Jude Medical, считался скорее теоретическим. Однако хакеры также скомпрометировали рентген-оборудование, анализаторы газов крови и другую технику в больницах и домах инвалидов, чтобы получить персональные данные пациентов. Ни MedSec, ни Muddy Waters пока не предают огласке ключевые технические подробности взлома.
Кардиостимулятор St. Jude Medical
Хакеры вызвались обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.
Если бы акции St. Jude Medical остались на месте, убытки понесла бы только MedSec, которая потратила средства на исследования кардиостимуляторов и дефибрилляторов. Но этого не произошло – акции упали на 4,4% и стали торговаться по $77,5. На тот момент в обороте на бирже было 25 млн акций St. Jude Medical, таким образом при игре на понижение акций St. Jude Medical прибыль «медведей» могла превысить $80 млн.
Незадолго до этого, в апреле 2016 г., американская химико-фармацевтическая корпорация Abbott Laboratories объявила, что выкупит St. Jude Medical за $25 млрд. Сделка должна состояться в конце 2016 г. Распространение данных об уязвимости кардиостимуляторов и дефибрилляторов могло сорвать эти планы.
В интервью Bloomberg Карсон Блок заявил, что вдобавок к «короткой позиции» (игре на понижение) по отношению к St. Jude Medical он занял «длинную позицию» (играет на повышение) по отношению к Abbott Laboratories. Это должно было застраховать его от неудачи при любом исходе дела.
Эксперт по информационной безопасности Джейкоб Олкотт (Jacob Olcott), вице-президент бостонской ИБ-компании BitSight Technologies заявлял, что сделка должна привлечь внимание Комиссии по ценным бумагам и биржам США и вызвать какую-то реакцию с ее стороны.
Инцидент прокомментировала Кэндес Стил Флиппин (Candace Steele Flippin), вице-президент St. Jude Medical по внешним коммуникациям. Она заявила, что защита персональных данных является важнейшим приоритетом компании, и что St. Jude Medical осуществляет программу по тестированию информационной безопасности своего оборудования. В чем заключается программа, и какие изменения будут внесены в нее после происшествия, Флиппин не уточнила.
Обязательное условие этичного исследования безопасности – дать компании-производителю возможность ликвидировать уязвимости, прежде чем они станут широко известны массам потенциальных преступников. Но генеральный директор MedSec Джастин Боун (Justine Bone) заявил, что не может пойти этим путем, поскольку St. Jude Medical в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. MedSec и Muddy Waters ссылаются на данные расследования деятельности St. Jude Medical, предпринятого в 2014 г. Министерством внутренней безопасности США.
По словам Боуна, MedSec обратилась к Muddy Waters, поскольку у той уже есть опыт в привлечении крупных корпораций к ответственности. Боун считает, что St. Jude Medical могла бы уже многое сделать для обеспечения безопасности своих устройств – например, сменить ПО – но компания не предприняла никаких шагов.
Обратиться в инвестиционную фирму с предложением сделать деньги на обнаруженных уязвимостях – это очень нетривиальное решение для хакеров. Обычно они монетизируют найденные баги более избитым способом, обращаясь непосредственно к компании, которая производит скомпрометированное оборудование или ПО. Компания может заплатить им гонорар – так называемый bug bounty – а может и не заплатить. Но в любом случае она публично признает достижение хакеров, что создает им репутацию и в перспективе приводит к трудоустройству на перспективную вакансию. Впрочем, многие компании отказываются сотрудничать.
Еще один способ заработать на уязвимостях – продать код атаки на сером рынке какой-нибудь государственной структуре или кибероружейному дилеру. Такая сделка приносит до нескольких сотен тысяч долларов, и после нее использование атаки выходит из-под контроля хакера.
MedSec пошла по самому агрессивному пути, который некоторые разочарованные специалисты по информационной безопасности считают единственно верным. Компания считает, что только потеря значительных сумм заставит производителей техники обратить действительно серьезное внимание на кибер-защиту продуктов. При этом стартап сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь[2].
2015: Основание компании
MedSec была основана в 2015 г. Робертом Брайаном (Robert Bryan), бывшим портфельным менеджером инвестиционной консультации Metaval Capital, который также сотрудничал в этой сфере с компаниями Cyrus Capital и Goldman Sachs.
Примечания