Dienstag, 30. Juli 2013

HACKER STARB ZWEI TAGE BEVOR ER ENTHÜLLEN WOLLTE, WIE HERZSCHRITTMACHER FERNGESTEUERT PATIENTEN TÖTEN KÖNNEN. (HELIODA1)

Berühmter Hacker starb zwei Tage bevor er enthüllen wollte, wie Herzschrittmacher ferngesteuert Patienten töten können

Redaktion

Der Computersicherheitsexperte Barnaby Jack wurde am vergangenen Donnerstag im Alter von nur 35 Jahren tot in seiner Wohnung in San Francisco aufgefunden. In wenigen Tagen wollte Jack auf einer renommierten Sicherheitskonferenz, der Black-Hat-Konferenz, in Las Vegas zeigen, wie man einen gewöhnlichen Herzschrittmacher hacken und in eine Todesmaschine verwandeln kann.

Jack gehörte zu den so genannten »White Hat«, d.h. es ging ihm darum, Sicherheitslücken aufzuzeigen, um einem eventuellen Missbrauch entgegenzuwirken. Bereits zuvor hatte er öffentlich gezeigt, wie sich Geldautomaten, aber auch Insulinpumpen hacken und manipulieren

ließen. Wie die Nachrichtenagentur Reutersmeldete, wurde sein Tod vom Büro der Gerichtsmedizin in San Francisco am Freitagmorgen offiziell bestätigt. Zur genauen Todesursache liegen bisher noch keine Stellungnahmen vor.

 

In der kommenden Woche wollte er auf die jüngste Sicherheitslücke aufmerksam machen. Dazu war am 1. August ein Black-Hat-Talk mit dem Thema »Implantierbare medizinische Geräte: das Hacken von Menschen« vorgesehen. »Mich hat der Gedanke nicht mehr losgelassen, dass diese für die Betroffenen lebenswichtigen Geräte per Funk kommunizieren. Ich beschloss daher, mich genauer mit Herzschrittmachern und implantierbaren Kardioverter-Defibrillatoren (ICDs werden bei der Gefahr eines plötzlichen Herztodes etwa aufgrund von Kammerflimmern eingesetzt) zu beschäftigen, um herauszufinden, ob die Kommunikation dieser Geräte sicher ist und ob es für einen Angreifer möglich wäre, diese Geräte von außen aus einiger Entfernung zu kontrollieren«, sagte Jack gegenüber dem MagazinVice im Juni.

 

Aus Respekt und dem Gedenken an »eine Legende und einen unersetzlichen Menschen« wollen die Organisatoren der Konferenz die mit Jack geplante Gesprächsrunde nicht durch einen anderen Tagesordnungspunkt ersetzen, stattdessen soll eine Trauerfeier stattfinden. Die Sicherheitsfirma IOActive, für die Jack zuletzt tätig gewesen war, drückte auf ihrer Internetseite ihr Beileid zum Tode Jacks aus. »Wir haben ihn verloren, werden ihn aber niemals vergessen; unser geliebter Pirat Barnaby Jack ist gestorben. Er war ein Hacker-Genie und ein lieber Freund, auf Dein Wohl«, hieß es dort.

 

Nach sechsmonatigen Recherchen berichtete Jack, er habe eine Möglichkeit gefunden, eines der Geräte aus einer gewissen Entfernung zu hacken, und habe an das Gerät einen Hochvolt-Schock aus einer Entfernung von mehr als 15 Metern gesendet. »Wenn auf das Gerät von ferne zugegriffen werden kann, besteht immer auch die Gefahr einer missbräuchlichen Anwendung«, erklärte er gegenüber dem Vice-Technikjournalisten William Alexander.

 

In einem Internetblog hatte Jack zu einem früheren Zeitpunkt dieses Jahres erzählt, er sei auch durch eine Folge der Fernsehserie Homeland auf dieses Problem aufmerksam geworden. In der betreffenden Episode hackte ein Terrorist aus einiger Entfernung den Herzschrittmacher des amerikanischen Vizepräsidenten. »Aus meiner fachlichen Sicht war diese Folge keineswegs unrealistisch«, schrieb er.

 

Als Alexander Jack fragte, ob ein Regierungsvertreter mit einem Herzschrittmacher durch einen Hackerangriff tödlich verletzt werden könnte, entgegnete Jack: »Mir wäre sehr unwohl dabei, überein solches Szenario nachzudenken.« – »Auch wenn die Gefahr eines böswilligen Angriffs auf jemanden, dem ein medizinisches Gerät implantiert wurde, klein ist, wollen wir diese Risiken noch weiter verringern, wie gering sie uns auch erscheinen«, schrieb er in seinem Blogeintrag. Zum damaligen Zeitpunkt, so sagte er, werde diese Sicherheitslücke mit den Herstellern dieser Geräte diskutiert.

 

»Im vergangenen Jahr ist uns immer stärker bewusst geworden, dass Cybersicherheitsschwachstellen bei Zwischenfällen, die uns gemeldet wurden, eine Rolle spielten. Hunderte medizinischer Geräte und zahlreiche Hersteller waren betroffen«, erklärte William Maisel, stellvertretender Wissenschaftsdirektor des Zentrums für medizinische Geräte und Einhaltung der Strahlensicherheit(CDRH), der amerikanischen Behörde für Lebensmittelüberwachung und die Zulassung von Arzneimitteln (FDA), gegenüber der Nachrichtenagentur Reuters.

 

Auf einer früheren Black-Hat-Konferenz legte Jack in allen Einzelheiten dar, wie er einen Trick, den er in dem Kinofilm Terminator 2 gesehen hatte, so in die Realität umgesetzt hatte, dass er einen Geldautomaten von außen hacken konnte. Um in der Lage zu sein, die Kreditkartennummer und die Geheimzahlen auszulesen, die ein anderer in das Gerät eingegeben hat, reicht es aus, demonstrierte er, einen USB-Stick in den Geldautomaten einzubauen, der dann die Firmware des Automaten ausschaltet und es dem Hacker ermöglicht, die Kontrolle über das Gerät zu übernehmen.

 

In einem anderen Vortrag berichtete Jack, er könne Insulinpumpen aus 100 Metern Entfernung hacken und den Geräten den Befehl geben, den Patienten eine tödliche Dosis zu verabreichen. »Wir haben die Hersteller über diese Sicherheitslücke informiert, und das Problem wird bei der nächsten Überarbeitung der Pumpen gelöst werden«, berichtete er im Gespräch mit Vice.

 

Die Black-Hat-Konferenz soll am Mittwoch in Las Vegas mit einem Vortrag von NSA-Chef General Keith Alexander beginnen. Im Anschluss an diese Konferenz soll gleich um die Ecke die DEFCON Hacker Conference beginnen, eine der größten Veranstaltungen für Hacker weltweit. Dort ist geplant, mehrere hochkomplexe Hacks (etwa die Manipulation moderner Automobile) vorzuführen.


QUELLE: Kopp Verlag