相信大家已经无数次从好莱坞大片中看到黑客通过操纵股市来获取收益。虽然这种误解相当可笑,但必须承认的是,确实有一部分黑客希望让这样的幻想成为现实,甚至也确实存在这类能够让幻想成为现实的安全漏洞。
事实上,在关键性金融乃至其它系统当中,一部分黑客正努力还原大片中的好莱坞式阴谋并最终借此获得极为可观的回报。
心中的后门才最为可怕
这一切已经开始影响到我们的现实生活,其中一例正是圣犹达医疗公司的心脏起搏器遭遇入侵。就在上周,新闻报道称该公司对于安全隐患的不作为态度已经导致病人死亡。
去年8月,卖空企业Muddy Waters公司及其安全商业合作伙伴MedSec Holdings公司发布了一系列令人震惊且引发激烈争议的发现。报告指出,圣犹达医疗公司的起搏器与植入式心脏装置中存在重大安全缺陷。
不过MedSec与Muddy Waters的研究人员并未采取标准披露流程(直接与制造商进行接洽以确保其能够修复漏洞并发布相关补丁),而直接将结果公诸于众。在新闻披露之后,MedSec方面承认,其对圣犹达医疗公司进行的安全调查源自Muddy公司的资助。
Muddy Waters公司创始人卡森-布洛克(Carson Block)面对投资者及新闻媒体发布了一份报告,警告称“数十万美国民众生活在定时炸弹的威胁之下:圣犹达推出的心脏起搏器与除颤器易受到攻击入侵,并造成潜在的、可能致命的工作中断后果。”
尽管这种状况以往仅存在于好莱坞与《犯罪现场调查》剧集当中,但这一次彭博电视也确认并对此进行了发布。布洛克同时补充认为,最可怕的情景是黑客将能够发动大规模攻击,导致这些植入式设备发生故障。圣犹达医疗公司应该立即停止销售这些设备,直到开发出新的安全通信协议。
虽然警方已经开始对起搏器监控活动进行调查,但目前还没有出现该起搏器遭遇大规模黑客入侵的案例记录。
在这份报告发布之后,圣犹达公司的股价立即下跌了5%。圣犹达医疗公司宣称,Muddy Waters发布的这份报告存在“虚假与误导性内容”,其中大部分调查结果仅适用于较旧及未经修复的设备版本。
在一篇博文当中,MedSec公司CEO贾斯汀-伯恩(Justine Gone)作出了声明,解释其为何没有首先向制造商透露调查信息。该公司坚称圣犹达医疗公司“至少自2013年开始就意识到其产品中存在安全问题”。
MedSec方面指出,考虑到设备中存在的严重安全隐患,其决定首先将结果提交至媒体及Muddy Waters手中,这“是促使圣犹达公司采取行动的惟一途径”。
伯恩女士在博文中解释称,“过去18个月以来,我们的团队一直在悄悄评估各类医疗器械的安全水平。其中圣犹达医疗公司的安全状况远远落后,且多年来其持续通过设备销售与设备生态系统获准,而几乎毫无内置安全保障机制可言的产品令众多患者身处风险当中。”
MedSec Holdings公司直接披露该漏洞引发争议
部分信息安全人士表示,这种不事先向圣犹达医疗公司报告问题的作法会危及患者且属于不道德行为。此事亦引发了关于责任、披露及新闻界作用的激烈争论。部分人希望了解这些发现是否能够重现,并要求通过独立审计以客观确定实际情况,因为部分研究人员甚至得出了一些存在冲突的结果。
最终,圣犹达医疗公司的股价下跌了10%。该公司则针对MedSec与Muddy Waters发起了诉讼。而在安全企业Bishop Fox公司转载了这一调查报告后,三家公司再次通过新闻媒体就MedSec调查开展唇枪舌战。此外,另一组研究人员声称他们发现确实能够对大约10英尺距离内的起搏器进行控制。
在Muddy Waters公司刚刚发布这一调查结果时,美国食品与药物管理局(简称FDA)拒绝对圣犹达设备安全漏洞一事发表评论。
但如今FDA终于发声,看起来MedSec得出的结论并无问题。根据FDA方面发布的一封令人信服的函件,圣犹达医疗公司早在2014年便对其植入式医疗器械中存在的安全问题有所了解,“但却并未通过软件更新或者设备更换的方式解决这些问题。”该机构得出的结论是,圣犹达医疗公司一次又一次违反内部安全与产品质量指导原则,且导致至少一名患者死亡。
尽管曾于2014年4月雇用某第三方对相关安全漏洞进行了调查,但圣犹达医疗公司未能准确将该项评估的结果纳入其后续设备的风险评估之内。
FDA同时表示,其中严重程度最高的漏洞为圣犹达公司高压心脏起搏器中的一段“硬编码通用解锁码”。圣犹达医疗公司的母公司雅培作出回应称“患者安全永远至上”,且其将认真对待这些问题,持续推动纠正措施以取得良好进展,密切研究FDA的警告建议并致力于全面解决FDA所关注的各项问题。
伯恩在接受采访时表示,此次披露的内容确实令人耳目一新。圣犹达医疗公司首次公开承认其了解产品中的安全隐患,但仍继续将这些产品销售给患者并进行体内植入。他称再也不想纠结于Muddy Waters、MedSec以及圣犹达之间的冲突。在与制造商接洽之前就贸然公布漏洞结果确实不够明智,而且也很难起到预期的效果。但在这场双方都有错的对抗中,FDA站出来惩罚了错误更大的一方……
但他实在不能接受的是,不排除这些信息安全研究人员是单纯为了博眼球、求关注而发布这种导致病患死亡的作法的可能。
如果真是这样,这群打着修复安全漏洞旗号的研究人员也许只是想凭借自己的发现博取名声与利益,我也实在无法通过这样的行为确定他们是否还真的在乎自己的良知与他人的生命。