外贸高防防DDoS服务器-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 外贸高防防DDoS服务器

外贸高防防DDoS服务器

小墨安全管家 2021-01-14 10:43 CC防护 89 ℃
DDoS防御
今天,我们宣布Animas OneTouch Ping胰岛素泵系统存在三个漏洞,DDoS防御,该系统是一种受欢迎的带有血糖仪的泵,经过射频通信作为远程操纵。在我们进入技术细节之前,我们想表明,我们相信大规模利用这些胰岛素泵漏洞的风险相对较低,我们不以为这是恐慌的缘由,我们建议用户在做出使用这些设备的重大决定之前问他们的医疗保健提供者。在这篇文章里有更多对于这方面的内容。用户也应该经过物理邮件直截了当从Animas公司收到对于那个咨询题的通知,以及缓解它的详细信息。我们建议您紧密关注此通信。产品描述OneTouchPing是糖尿病患者自我注射胰岛素的常用医疗器械。依照供应商的网站,这是一具"两部分系统",能够"经过无线方式传输胰岛素",DDoS防御,这两个设备在900mhz频段使用专有治理协议举行通信。调查结果摘要OneTouchPing胰岛素泵系统在其专有的无线治理协议中使用明文通信而不是加密通信。由于缺乏加密,Rapid7的研究人员jayradcliffe发觉远程攻击者能够欺骗仪表遥控器并触发未经授权的胰岛素注射。由于这些胰岛素脆弱性,假如不取消泵上的胰岛素输送,在脚够近的范围内(这取决于所使用的无线电传输设备),对手能够远程损害系统用户,并大概导致他们发生低血糖反应。这些咨询题已报告给供应商、Animas公司、CERT/CC、FDA和DHS。Animas的反应很迅速,并主动通知用户设备的使用事情,并建议风险的缓解措施。调查结果和分析在产品分析过程中发觉了三个要紧发觉。关于原始的、未注释的数据包数据,请参阅本公告末尾的附录。R7-2016-07.1:明文传输的通信(CVE-2016-5084)数据包捕获表明远程和泵之间的通信是透明传输的。在正常的操作过程中,去鉴定的血糖结果和胰岛素剂量数据被泄露出来,供窃听者远程接收。R7-2016-07.2:远程与泵弱配对(CVE-2016-5085)在泵的设置过程中会完成一具配对过程,该过程将泵与遥控器配对。这是为了防止泵从其他遥控器接收指令,这些遥控器大概会意外地接收到传输信号。配对过程是经过一具5包交换完成的,两个设备交换序列号和一些报头信息。这是用来生成一具CRC32"密钥"(缺少更好的术语)。在将来的所有传输中,DDoS高防,遥控器和泵都会使用此键,并在清除时举行传输。每次在远程和胰岛素泵之间完成配对过程时,5个数据包基本上相同的。这消除了设备使用加密的大概性。动漫专利文件并没有概述CRC生成中到底使用了啥,但它没有包含加密。攻击者能够简单地嗅探远程/pump密钥,接着伪装成远程或泵。这能够在不懂密钥是怎么生成的事情下完成的。此漏洞可用于远程分配胰岛素,并大概导致患者发生低血糖反应。R7-2016-07.3:缺乏重放攻击防范或传输保证(CVE-2016-5086)泵和远程之间的通信没有序列号、时刻戳或其他形式的谨防重放攻击。正因为这样,攻击者能够捕获远程传输,并在没有特殊知识的事情下稍后重放以执行胰岛素注射,这大概会导致他们发生低血糖反应。此外,远程仪表和泵用于通信的协议没有保证设备以特定顺序或全然没有接收到数据包的元素。据信,该协议中的弱点将允许攻击者在距离用户/患者相当远的地点执行欺骗远程攻击。这能够经过一具脚够强大的远程发送命令到盲泵来完成,而不需要听见确认包。这段视频展示了一具对动漫一触即平的攻击。攻击范围OneTouch Ping不能经过802.11 WiFi举行通信,也不能在internet上举行通信。可是,据信这些攻击能够在一到两公里外举行,假如不是更远的话,使用脚够的海拔高度和业余无线电爱好者能够使用的现成无线电传输设备。而远程和泵之间的正常使用事情约为10米。2011年,McAfee,Inc.的Barnaby Jack声称有能力使用外部定向天线(商用3元件八木)从90米外执行900mHz频段的攻击,但他没有对OneTouch Ping执行此攻击。缓解措施使用具有唯一密钥对的行业标准加密能够缓解这些咨询题。受阻碍的用户能够经过禁用设备的无线电(RF)功能来彻底幸免这些咨询题。在OneTouch Ping胰岛素泵上,这是经过设置->高级->仪表/10屏幕,并挑选"RF=OFF"来完成的。此外,供应商还为这些咨询题提供了其他缓解措施,在其网站上举行了讲明,并在发给所有使用泵的患者和医疗保健专业人员的信函中举行了讲明。病人应该问他们自个儿的内分泌专家对于他们正在举行的医疗护理的任何方面。研究人员对于缓解措施的讲明我是Jay Radcliffe,Rapid7和I型糖尿病的安全研究员。五年前,当我第一次披露一种胰岛素装置的安全漏洞时,有这么多关怀此事的用户来找我寻求建议和关心,我感到震惊和不知所措。在那个地点,我们又一次对医疗器械举行了新的研究。假如你不明晓技术同时阅读了安全建议,你大概会更加担心。我也会的。于是让我从病人的角度来关心澄清和解释一些情况。我90%的研究基本上用那个设备做的,防DDoS,这是我用了几年的设备;我懂那个设备对糖尿病患者的健康有多重要。首先,要懂我们每天都在冒险。我们离开屋子。我们开车。我们吃松饼。我们推测碳水化合物的含量。一切都有风险。这项研究揭示了往常未知的风险。你在车内撞到胰岛素的风险和你计算错误的风险已经。这些风险有的特别低(小行星),有的高(胰岛素)。这种风险知识使个人可以做出个人决定。大多数人对与此研究相关的任何咨询题的风险基本上有限的。这些基本上复杂的攻击,需要身子靠近水泵。有点人会以为这一点特别重要,为此他们能够关闭泵的射频/远程功能,消除这种风险。第二,总是先照应好你的糖尿病。我们都懂高血糖和低血糖的危害。这些风险往往远远超过本研究中强调的风险。假如你担心的话,和你的内分泌专家和设备供应商合作,确保你做出了最好的挑选。在糖尿病患者身上移除胰岛素泵的风险与从不乘坐飞机相似,因为飞机大概会坠毁。第三,这项研究是为了确保我们的设备的今后是安全的。随着这些设备越来越先进,并最后来连接到互联网(直截了当或间接),风险水平急剧上升。这项研究强调了为啥等待供应商、监管者和研究人员全面研究这些高度复杂的设备是这样重要。这不是一件急不可待的事,因为病人的生命就在眼前。我们都想急忙得到最好的技术,但鲁莽、随意的做法会让所有人重新获得整个过程。我如今不打气。我手动拍摄。不是因为胰岛素泵的安全风险,而是因为我和我的大夫挑选了那个。假如我的小孩中有人患上糖尿病,而医务人员建议给他们戴上抽水机,我会坚决果断地给他们举行一触即平。它不完美,但没有啥是完美的。在那个过程中,我曾与Animas及其母公司强生合作,懂他们专注于照应病人,做正确的情况。最终,请注意,不管是动漫公司依旧强生公司,都没有向我或Rapid7支付任何在那个地点描述的设备的研究费用。这不过一位家长和一位花了17年时刻计算碳水化合物含量并冒险服用多少胰岛素的人的建议。披露时刻表本漏洞问是依照Rapid7的披露政策编制的。2016年4月14日星期四:试图联系供应商security@animas.com, security@johnsonandjohnson.com,以及两个域中的其他几个别名。2016年4月21日星期四:向卖方披露的详情productsecurity@its.jnj.com(PGP密钥ID:0xEC69B12DF06A1CA)2016年4月25日,星期一:Animas启动投诉处理流程2016年5月6日星期五:与供应商进一步澄清细节2016年5月9日星期一:向CERT披露详情2016年6月16日星期四:CERT分配的CVE2016年7月至9月:与Animas合作验证报告的漏洞2016年9月21日星期三:供应商提供的缓解措施2016年10月4日星期二:公开披露附录:样本包数据以下描述胰岛素泵和远程仪表之间采集的样本包。状态-1遥控器:00 00 00 04 A3 5A 92 B2 4C 00 0E 0F…..Z..L。。。遥控器:00 00 00 04 A3 5A 92 B2 4C 00 0E 0F…..Z..L。。。泵:00 00 FF 00 1A D1 81 81。。。。。

防cc的公司_排名靠前的_外贸高防服务器


DDoS防御

当前位置:主页 > CC防护 > 外贸高防防DDoS服务器

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119