ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneสำหรับแฮ็กเกอร์ อุปกรณ์การแพทย์ที่เชื่อมต่ออินเทอร์เน็ตได้กลายเป็นเป้าหมายที่น่าสนใจ เมื่อเทียบกับคอมพิวเตอร์แล้ว พวกเขามักจะมีช่องโหว่ที่ยังไม่ได้แพตช์มากกว่า แต่ขณะนี้สภาคองเกรสกำลังพิจารณากฎหมายที่จะให้อำนาจแก่สำนักงานคณะกรรมการอาหารและยามากขึ้นในการกำหนดให้ผู้ผลิตอุปกรณ์การแพทย์ต้องทำให้ปลอดภัยมากขึ้น John Pescatore เป็นผู้อำนวยการฝ่ายแนวโน้ม
ความปลอดภัยที่เกิดขึ้นใหม่จาก SANS Institute เขาได้พูดคุย
กับ Jared Serbu ที่ Federal Drive กับ Tom Temin เกี่ยวกับจุดอ่อนเหล่านั้น และวิธีลดความเสี่ยงในระหว่างนี้
บันทึกการสัมภาษณ์:จอห์น เพสกาโตเร:มีประวัติอันยาวนานเบื้องหลังปัญหานี้ ในโลกทางการแพทย์ ไม่เคยมีการเชื่อมต่ออินเทอร์เน็ตมาก่อน ในความเป็นจริงมีการเชื่อมต่อเครือข่ายที่เป็นกรรมสิทธิ์มาก แต่เมื่อเกือบ 15 ปีที่แล้ว สิ่งต่าง ๆ ส่วนใหญ่เริ่มมีการเชื่อมต่ออินเทอร์เน็ตบางรูปแบบ รวมถึงอุปกรณ์ทางการแพทย์ด้วย เมื่อคุณเชื่อมต่อกับสายไฟ คุณไม่ต้องกังวลว่าผู้ไม่หวังดีจะทำอะไรและบุกรุกเข้ามาได้ และเมื่อคุณเริ่มเชื่อมต่อกับอินเทอร์เน็ต คุณจะต้องกังวลเกี่ยวกับเรื่องนี้จริงๆ อีกอย่างคือในโลกเครื่องมือแพทย์ อย. มีโปรแกรมรับรองมาหลายปีแล้ว ดังนั้น หากจะใช้สิ่งใดเพื่อวัตถุประสงค์ทางการแพทย์ จริง ๆ แล้ว สำหรับมนุษย์หรือสัตว์ จะต้องได้รับการตรวจสอบคุณภาพและความปลอดภัย
ซึ่งในตอนนั้นหมายความว่า เราไม่ต้องการไฟฟ้าช็อตบุคคลนั้น
หรือหากเป็นปั๊มแช่ ไม่ต้องการให้มันสูบฉีดแรงเกินไป หรือเริ่มสูบฉีดย้อนกลับและเอาเลือดออกให้หมด ดังนั้น วงการแพทย์จึงมีโปรแกรมการรับรองที่ไม่ได้ระบุถึงความปลอดภัย จริงๆ แล้วเน้นเรื่องความปลอดภัยจริงๆ ส่วนที่ไม่ดีเกี่ยวกับโปรแกรมการรับรองนั้นคือขั้นตอนที่ซับซ้อนมากสำหรับผู้ผลิต แต่ก็ดี ของน่าจะปลอดภัย แต่ความซับซ้อนนั้นหมายความว่าเมื่อพวกเขานำผลิตภัณฑ์ออกสู่ตลาด พวกเขาไม่ต้องการเปลี่ยนผลิตภัณฑ์ เพราะหากเปลี่ยนผลิตภัณฑ์ที่ต้องทำ พวกเขาคิดว่าต้องผ่านกระบวนการรับรองอีกครั้ง ดังนั้นเมื่อผลิตภัณฑ์เหล่านี้เริ่มมีซอฟต์แวร์ในผลิตภัณฑ์ ลองนึกถึงเครื่องปั๊มยาหรือเครื่อง MRI หรือเครื่องสแกน CAT ในปัจจุบัน ปัญหาของการแพตช์จึงเกิดขึ้น ซอฟต์แวร์ทั้งหมดถูกสร้างขึ้นด้วยช่องโหว่ มนุษย์ไม่เคยสร้างโค้ดมากกว่าหนึ่งบรรทัดที่ไม่มีช่องโหว่อย่างน้อยหนึ่งช่องโหว่ ผู้ผลิตจึงบอกว่าเราไม่สามารถแพตช์อุปกรณ์ของเราได้ ใช่ เรารู้ว่าพวกมันมีช่องโหว่อยู่ข้างนอก และใครๆ ก็สามารถพบช่องโหว่นี้ได้ และเนื่องจากมันเชื่อมต่อกับอินเทอร์เน็ต ถูกโจมตี แต่กระบวนการรับรองคุณภาพและความปลอดภัยหมายความว่า เมื่อเราแพตช์มัน และทำให้เราผ่านการรับรอง ก็จะมี เป็นแพตช์อื่นออกมาให้เราทำไม่ได้ และเมื่อ 15 ปีที่แล้ว ในปี 2549 FDA ได้ออกคำแนะนำว่าไม่ คุณสามารถแก้ไขได้ด้วยเหตุผลด้านความปลอดภัย และไม่ต้องผ่านการรับรอง แต่ต้องใช้เวลาถึง 15 ปีก่อนที่พวกเขาจะลงมือ นั่นเป็นเหตุผลสั้นๆ คือ อุปกรณ์ทางการแพทย์ส่วนใหญ่ถูกสร้างขึ้นครั้งแรก ไม่โดนอินเทอร์เน็ต ไม่ต้องกังวลเรื่องซอฟต์แวร์และแพตช์ แล้วคิดอยู่นานว่าซ่อมไม่ได้ และในที่สุดเราก็เริ่มเห็นการเปลี่ยนแปลงนั้น
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
Jared Serbu: คงต้องใช้เวลาอีกนาน ฉันคิดว่านี่คือสิ่งสำคัญที่สุดก่อนที่ปัจจัยพื้นฐานบางอย่างที่นี่จะเริ่มเปลี่ยนแปลง และในแง่ของพื้นผิวการโจมตีของอุปกรณ์เหล่านี้ และดูเหมือนว่าจนกว่าจะถึงเวลานั้น ผู้ใช้ปลายทาง ผู้ดำเนินการระบบดูแลสุขภาพ จำเป็นต้องบรรเทาช่องโหว่เหล่านี้บางส่วน พวกเขาทำอะไรได้บ้างในพื้นที่นั้น? และโดยเฉพาะสำหรับผู้ชมของเรา ฉันไม่รู้ว่าคุณได้ดูผู้ใช้ของรัฐบาลกลางโดยเฉพาะใน DoD และ VA มากน้อยเพียงใด พวกเขาทำได้ดีขึ้นหรือไม่
credit : ฝากถอนไม่มีขั้นต่ำ