Mordwaffe des tages

Du willst leute totmachen? Wenn sie im krankenhaus liegen, könnte ein telnet zur medikamentenpumpe die waffe der wahl sein:

Angreifbar sind die Pumpen, auf denen ein Linux-Kernel und Busybox laufen, über eine offene Telnet-Shell auf dem Standard-Port 23 von der Netzwerkbuchse aus. Angreifer kommen dort hinein, ohne sich anmelden zu müssen und bekommen direkt Root spendiert

So eine schwere lücke wird doch ganz bestimmt schnell geschlossen…

Laut dem Forscher will die Firma die Lücken nicht schließen

*grusel!*

8 Antworten zu “Mordwaffe des tages

  1. Weil so eine Infusionspumpe natürlich ständig mit dem in jedem Krankenzimmer jedes Krankenhauses vorhandenen LAN-Anschlusses verbunden ist. Diese Meldung ist in etwa so als würde man feststellen, dass Perfusoren unbeaufsichtigt neben dem Patienten stehen und jeder, der das Krankenzimmer betreten kann, an den Knöpfen manipulieren kann.

    Natürlich will man so eine Lücke nicht schließen, denn es ist keine Lücke, wenn es einen einfacheren Weg der Manipulation gibt.

    • Es ist ein unterschied, ob ich irgendwo im LAN eines größeren krankenhauses, weit weg vom eigentlichen tatort, vollen administrativen zugriff auf alle medikamentenpumpen erhalte und damit kwasi ein spurloses verbrechen begehen kann – ich bin root und kann jede logdatei manipulieren – oder ob ich dafür ins krankenzimmer gehen muss, dabei gesehen werden kann und dort spuren aller art hinterlassen kann.

      Wenn es einen knopf gäbe, mit dem man andere menschen totmachen könnte, ohne dass man fürs knöpfchendrücken zur rechenschaft gezogen werden kann, dann würden vermutlich sehr viele menschen viel weniger alt werden. 😉

      • So ist das, wenn man eine Meinung hat, aber keine Ahnung.

        In KEINEM Krankenhaus werden Medikamentenpumpen an das LAN angeschlossen. Der LAN-Anschluss ist ein Wartungszugang für den Techniker und sonst nichts. Bei älteren Geräten war es eine serielle Schnittstelle.

        • In KEINEM Krankenhaus werden Medikamentenpumpen an das LAN angeschlossen

          Will ich mal hoffen, dass das stimmt und dass es niemals zu einer „bekwemen und kostensparenden fernwartungsmöglichkeit“ kommt. Als jemand, der nur meinung, aber keine ahnung hat, kann ich in diesem punkt ja nur hoffen. 😉

          Wäre der zugang wenigstens ein bisschen gesichert – was übrigens kein besonderer aufwand ist, der sshd ist fertig und benutzerauthentifikazjon ist keine raketentechnologie, sondern ebenfalls seit den siebziger jahren fertig verfügbar – brauchte ich nicht einmal zu hoffen und könnte völlig unwissend bleiben, und doch wäre mir klar, dass diese angriffsmöglichkeit niemals besteht.

          • LoL
            Hoffnung? Mit TTIP?
            Die Flachköppe sind doch stolz auf ihre „Krankheitsversorgung“, z.B. stolz darauf, dass man jeden Patienten mit nem Chip orten kann, in deren super effizienten Krankenanstalten für „Besserverdiener“ – da kann der Irrtum, man knipse den falschen aus, auch weitgehend ausgeschlossen werden, wenn man gerade den MortalNurse ÜberScreen mit Patienten-HUD aufm Schirm hat.

            We need more drones, mr. president!

            :mrgreen:

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.