Was mackaber klingt ist nun leider Realität geworden. Auf der Black Hat Konferenz in Las Vegas bereits haben die Hacker Billy Riot und Jonathan Butts nun einen Hack vorgestellt der unglaublicher kaum sein könnte. Mittels eines einfachen Laptops haben sie bewiesen das es ohne Probleme möglich ist einen Menschen zu töten. Wie das geht? Das ist skandalöser als man denken sollte. Wir erklären euch was hier vor sich geht!
Wie Hacker Menschen töten können!
Die Hacker bedrohen das menschliche Leben durch eine Sicherheitslücke in einem programmiergerät der Firma Medtronic. Der international agierende Hersteller für Medizintechnik versorgt seine Produkte regelmäßig mit Updates. Die sogenannten Firmware Updates kennen wir Gamer natürlich bereits von unseren Konsolen und die “Nicht-Zocker” unter euch von ihren Handys. Hierbei werden Verbesserungen und Fehlerbehebungen aufgespielt.
Zum Portfolio von Medtronic gehören neben Herzschrittmachern auch Insulinpumpen. Wie die beiden hacker in ihrem Vortrag öffentlich bekanntgaben werden die Programmiergeräte per VPN Tunnel mit dem Server des Herstellers verbunden. Die übertragung der Daten erfolgt dann unverschlüsselt über eine standard http Verbindung. Alleine das abfangen eines VPN Tunnels ist für die Hacker kein Problem, die Benutzerdaten und Passwörter hierfür lassen sich in windeseile aus einem der Programmiergeräte auslesen. Hat man diese Zugangsdaten einmal, kann die Verbindung jederzeit zu einem anderen Computer umgeleitet werden.
Hacker bekommen so die Möglichkeit die Geräte zu manipulieren, ja sogar gefälschte Firmwares aufzuspielen, da die Dateien nicht einmal signiert werden. Mit einer digitalen Signatur hätte man so etwas zumindest für Laien unterbinden könnte, allerdings sind die geräte dermaßen unsicher das selbst ein einfacher Hobbyprogrammierer ohne größere Probleme eindringen könnte und die Firmware manipulieren kann.
Mit dieser Technik könnten lebenswichtige Geräte wie Herzschrittmacher oder Insulinpumpen eingesetzt werden um gezielt Menschen zu töten oder falsche Firmware Updates zu verbreiten die sich später nicht mehr entfernen lassen und die theoretisch das gesamte Unternehmen erpressbar machen würden.
Aus rechtlichten gründen durften die Hacker natürlich keinen echten Herzschrittmacher verändern, aber auf der Blackhat Konferenz konnten sie beweisen das es kein Problem ist die VPN Verbindung abzugreifen und aus einem der unsicheren Programmiergeräte, die auf Windows XP laufen, auszulesen. Sie manipulierten die Programmiergeräte in so weit das sie lediglich noch die Frage:”Wollen sie sterben?” als Funktion anboten, kombiniert mit nur einer Schaltfläche: “ja”. Hersteller Medtronic hingegen sieht das Ganze offiziell komplett entspannt. Nach Aussagen des Unternehmens würde keinerlei Gefahr bestehen und die Software der Geräte sei zu 100% sicher. Es gäbe keinerlei Gründe Angst zu haben. Die beiden Hacker hingegen hatten bereits seit 18 Monaten versucht den Hersteller auf die Sicherheitslücke hinzuweisen, dieser reagierte aber lediglich ablehnend und schleppend, wolle keine Maßnahmen ergreifen!
Wir denken: An dieser Stelle muss definitiv einmal Schluss sein! Wir fordern an dieser Stelle ein sofortiges Verwendungsverbot für die Geräte dieser Firma, denn nicht nur Herschrittmacher die lahmgelegt werden, sondern auch Insulinpumpen und andere Geräte, könnten missbraucht werden um entweder massenweise Menschenleben gleichzeitig zu bedrohen und den Hersteller zu erspressen oder aber gezielt Menschen zu töten. Man stelle sich nur einmal vor ein Diabetespatient mit Insulinpumpe bemerkt plötzlich das die Spritze, die eigentlich den Ganzen Tag halten sollte komplett in den Kreislauf gedrückt wird! Na danke und auf Wiedersehen!
