 das Geld in den Mund zu legen. Er wird uns jetzt erzählen, was passiert ist, als er genau das getan hat. Lassen Sie uns willkommen heißen mit einer großen Runde Applaus. Vielen lieben Dank für die nette Einladung. Heute Abend wollte ich euch ein bisschen von der Geschichte erzählen. Ich war Teil eines Projektes in 2016, und heute möchte ich euch ein bisschen darüber erzählen, wie man Verwundbarkeiten auflegen kann und wie Sicherheitsforschung in medizinischen Geräten aussehen könnte. Vielleicht haben manche das ja schon gesehen, diese Art von Presseartikeln, die kamen zum Beispiel 2017 raus. Das klingt, also warum will dieser Typ jetzt hier reden über Sachen, die 2017 passiert sind? Es gibt solche Sachen wie NDAs und meiner Geld für drei Jahre, es startete 2016, es sind drei Jahre später, deswegen rede ich heute über diese Sachen. Okay, Geschichten. Es gab Herzschrittmacher mit vielen, vielen Schwachstellen, und das hat dazu geführt, dass ungefähr eine halbe Million Herzschrittmacher zurückgezogen wurden und es auch eine neue Möglichkeit gab, solche Schwachstellen offen zu legen. Warum erzähle ich euch davon? Lass mich euch kurz vorstellen. Ich heiße Tobias, ich arbeite als Sicherheitsforscher hauptsächlich Internet der Dinge und eingebettete Systeme, eine meiner Hauptinteressen ist kabellose Kommunikation. 2015 habe ich auf Black Hat einen Vortrag gehalten auf SIGPI Security und manche Leute aus Firmen haben diesen Vortrag gehört und haben gedacht, wir haben auch ein interessantes Projekt, wo es darum geht, kabellose Kommunikation, also wollen wir diesen Typen vielleicht anstellen, ja, und diese Firma heißt MedSec, die kümmern sich offensichtlich um die Sicherheit von medizinischen Geräten und die haben das Ziel, Zero Day Schwachstellen in Herzschrittmachern zu finden. Und ich war Teil des Teams, die das versucht haben, Reverse zu engenieren. Okay, kurze Einführung, wie sieht so ein Ökosystem moderner Herzschrittmacher aus? Also du hast den Herzschrittmacher, der ist implantiert, der medizinische Begriff ist implantiertes Kadeo-Gerät und das ist irgendwie immer auch in Verbindung mit einem Programmierer beim Krankenhaus oder beim Arzt. Die können dann die Gesundheitsdaten aus dem System lesen und in die Cloud schicken, Merlin Net in diesem Fall. Es ist übrigens immer eine Cloud dabei, auch bei Medizin dieser Tage heutzutage. Außerdem haben sie so ein Home Monitor, das ist für das Wohlbefinden des Kunden. Früher musste man häufig zum Arzt laufen, um einfach mal die Sachen zu überprüfen und zu gucken, ob es läuft, was für Daten da so anfallen, um einfach den Arzt zu fragen, wie der aktuelle Stand ist. Heutzutage kann man das über WLAN-Kommunikation sammeln. Man hat das zu Hause, zum Beispiel im Schlafzimmer. Und wann immer man in den Empfangbereich geht, dann werden die Daten übermittelt und in die Cloud übertragen. Das ist sozusagen eine vorhersagbare Wartung für den Menschen. Das ist ein großer Schritt für die Patienten. Aber es ist auch ein erster Ankunftsvektor. In der Vergangenheit mussten wir dafür Nachfield-Kommunikation benutzen. Man musste wirklich sehr, sehr dicht dran sein am Herzschrittmacher. Aber jetzt ist es ein Schritt hochgegangen und jetzt gibt es unterschiedliche Frequenzbänder. Zum Beispiel das gibt es das Mig-Band 401 bis 406 Megahertz. Wir haben das als ersten Ankunftsvektor angeguckt und haben gesagt, okay, das würde interessant. Ein Herzschrittmacher über WLAN anzugreifen. Heute können wir Dinge da tun, weil hat wir große Fortschritte gemacht. Gestern war ein interessanter Tag über Software-defined Radio. Ich kann sehr empfehlen, diesen Talk anzugucken. Denn ein Großteil von den Dingen, die ich erlebt habe, sind die Einschränkungen, die kommen in dem, wenn ich mit dem Talk gut dargestellt habe. Wir benutzen ein Software-defined Radio, um dieses Mig-Band einzugucken, um meinen ersten Ankunftsvektor zu finden. So wie macht man das? Als Erstes machen wir Reverse-Engineering von den Funk-Protokollen. Ich möchte eine kurze Einführung geben, was meine Best-Practices dafür sind. Nicht für die Schrittmacher, aber für andere Geräte. Empfehle ich erst mal die FCCID zu benutzen. Da kann man eine Nummer jedes Gerät, das in den Nordamerika verkauft werden muss, eine FCCID. Es gibt eine Online-Datenbank, wo man alle möglichen Dinge findet von der Testprozedur von diesen Geräten. Häufig hat man nur ein Gerät und man möchte es nicht kaputt machen und öffnen. Und wenn man glücklich ist, dann findet man für dieses Gerät auf dieser Webseite auch interne Dinge wie interne Fotos, Blockdiagrammen, Handbücher und ähnliches. Also das ist ein sehr großer, guter erster Start, um ein Funk-Gerät zu untersuchen. Dann empfehle ich auch Patente zu untersuchen. Man findet nicht die detailliertesten Informationen, aber häufig findet man spezifische Aspekte von Protokollen. Man kontrolliert diese Kommunikation im Prinzip. Natürlich die Produktdokumentation. Welcher F-Chip ist da drauf, welche Firmen wäre, welche Software, wenn ihr diese Dinge findet, beschleunigt euren Reverse-Engineering-Prozess. Wenn nichts da ist, dann bot ihr visuelle Signalinspektion machen, also euch das Signal angucken. Aber das ist schwierig, LVR hat viel Erfahrung und ich würde nicht empfehlen, damit anzufangen. Da muss man auch die Frequenzbränder gucken für rechtliche Geschichten. Das Radioband ist relativ weit, aber für medizinische Geräte haben wir halt mit dem Mixband angefangen, weil das gerade für medizinische Zwecke reserviert ist. Und Interviews sind gut. Ich frage Leute, die haben Erfahrung mit diesen Tooling, fragt sie, was sind die Probleme. Hoffentlich wissen sie nicht genau, wie es funktioniert, aber sie haben Erfahrung mit dem Troubleshooting. Also zum Beispiel, wenn wir viele WLANs haben, dann funktionieren unsere Geräte. Dann kann man sagen, wenn eine Infarenz vom WLAN ist, dann funktioniert etwas nicht. Wir haben auch noch einen anderen Dienst benutzt, ein Dienst, der einen Kontakte gibt zu ehemaligen Mitarbeitern bei dem Unternehmen. Und dann kann man diese Mitarbeiter fragen und manchmal geben sie einen guten Hinweise, wo man anfangen kann, wo man zu suchen. Ich werde darauf später noch einmal zurückkommen. Google Patent Suche, wie ich gesagt habe, das ist ein Beispiel von SIGBI. Das ist eine Beschreibung, wie das grundsätzliche Networking funktioniert. Genau, ich angucke, das ist jetzt nicht der Sendership von dem Schribbacher, aber das ist ein gutes Beispiel. Da wird beschrieben, welche Frequenzen und welche Medulationen werden unterstützt, welche Daten raten. Das Radio Spektrum ist hochgradig reguliert. Wenn ihr etwas sucht, das nicht in dem ESM-Band ist, guckt in dieser einen solchen Tabelle, möglicherweise gibt es da einen reservierten Bereich für die Anwendung. Wir haben die Reducing, haben einfache Tests gemacht, einfache Replay-Attacken. Wir haben eine Kommunikation aufgezeichnet und dann einfach wieder abgespielt und nochmal die gleichen Daten an das Gerät gefunden. Wir haben fast sofort Schwachstellen gefunden. Das Erste, was ist Crash-Attack? Wenn man die Kommunikation nochmal abspielt, dann ist der Schribbacher einfach abgestürzt und man konnte ihn nicht mehr benutzen. Kein Sicherheitsmode, nichts, die sind einfach nur kaputt gegangen, die waren nicht mehr benutzbar. Das ist immer noch der schwerste, der schlimmste, was ich habe. Das ist keine schwierige Attacke. Das ist etwas, das einfach zufällig passieren kann fast. Wir haben auch einen Weg gefunden, um die Batterie sehr schnell leer zu saugen. Das ist ein Problem, denn so ein Schribbacher hat beschreckte Energie. Man kann die Batterie nicht wieder aufladen und wenn die Batterie leer ist, dann muss man eine Operation haben und man muss den Schribbacher ersetzen. Das ist nicht gut. Wir haben ein paar Videos, die das Unternehmen komplett zack hat, online veröffentlicht, die unten auf das Slide. Da könnt ihr sehen, wie das zu lösen. Lustig ist, da gibt es ein Kommentar darüber. Da gibt es ein Kommentar, dass die Videos nicht besonders hohe Qualität haben. Ich fand diesen Kommentar lustig. Replay Attacks, einfach nochmal abspielen, das ist eine Schwachstelle, die wir gefunden haben. Aber dann sind wir tiefer gegraben und haben ein richtiges Reverse-Engineering gemacht. Wir haben uns die Paketstruktur angeguckt, wo Start ist, wo ist die Zekronisation, was für eine Check-Summe benutzen, was für Fehlerkorrektur. Aber wir kämpfen immer noch mit den Daten-Inhalten. In Radio-Ding gibt es viele Dinge, die man mit den Daten-Internativen verschleiern kann. Wir verteilen, wir verschlüsseln, und wir sind erst mal stecken geblieben. Reverse-Engineering braucht häufig sehr viel Zeit. Wir haben viele externe Forscher. Es ist auch eine sehr teure Aufgabe. Wenn man 10 Leute anstellt, um auf Schrittbacher zu gucken, wir sind nicht die billigsten, das kostet ein Haufen Geld. Und auch wenn es schwache Kryptografie ist, kann man es nicht einfach mit den Augen knacken, indem man einfach auf die Daten guckt. Also wir hatten eine Entscheidung zu machen. Suchen wir jemanden, der gut in Krypto-Analysis ist? Oder gucken wir auf einen anderen Angriffsvektor? Und wir haben uns für den zweiten Weg entschieden. Es gibt natürlich noch viele Möglichkeiten, das anzugreifen. Es ist natürlich ein komplexes IoT-Ökosystem. Man muss nicht unbedingt das schwerste Ziel angreifen. Wenn alle dasselbe Protokoll sprechen, haben wir beschlossen, okay, der Herzschlottmacher in kabellosen Kommunikation direkt, vielleicht zu schwer für uns, um es in kurzer Zeit zu erreichen. Lass uns das ein bisschen mehr, weil er auch kommuniziert, kabellos mit dem Herzschlottmacher. Und es ist ein sehr billiges Gerät. Du kannst es einfach auf eBay kaufen, für ein paar Dollar, 18 Dollar. Ich habe heute mal einen mitgebracht, nur um zu zeigen, wie gut die gemacht sind. Wir haben gedacht, okay, vielleicht ist da Zeug drauf, was uns hilft, das zu machen. Und das ist das, was wir haben. Ja, Zeug drauf, was uns hilft, das Protokoll besser kennenzulernen. Wir haben es also auseinandergenommen und überprüft, welche Funkchips da drauf sind. Das hat uns ein bisschen weiter den Weg entlang gebracht. Ein großer Durchbruch war dann, dass wir hier ein paar Debugports entdeckt haben. Die sind nicht geschützt. Das ist U-Art. Die sind einfach anstöpseln und wir sind auf dem System. Und der Bootloader ist nicht sehr gut geschützt. Du siehst vielleicht auf dem Screen-Shot, wenn man in der Lage ist, Basis einfacher Sachen zu machen, kommt man schnell auf Rotzugriff. Das ist sehr einfach. Ich kann euch ein bisschen was zeigen. Das ist eine Demo, hoffentlich funktioniert alles. Auf dem System, auf Verkabel an meinem System und der Homestation. Ich bin jetzt also am Locken nach dem üblichen Boot Sequence. Jetzt drück ich den Reset-Button. Und wie ihr seht, es basiert Zeug. Ich muss nur eine Taste betrücken, den Bootloader zu eskalieren. Auf dem Bildschirm sieht man einfach nur Banner-Large-Objekt. Jetzt müssen wir ein bisschen warten, bis der Reboot durch ist. Ich drück den Knopf und jetzt sind wir direkt im Bootloader. Und da steht auch Auto Boot in Progress. Ein beliebiger Tastendruck heißt aus, es aufzuhalten. Das ist einfach help. Was sollen wir tun? Wir schauen einfach help ein und sehen, wie die Command-C da sind. Da gibt es einen, der heißt Boot. Das klingt sehr vielversprechend. Boot, Linux, RAM, optionale Parameter. Klingt vielversprechend. Vielleicht können wir direkt in die Shell booten. Wir gucken uns mal Status an, um herauszufinden, wie wir das machen können. Deine Kommando-Zeiten-Augumente sieht man dann hier. Sie habe ich jetzt einfach mal kopiert. Das ist ein schwieriger Aufgabe jetzt. Boot mit dem Kopierten. Jetzt mache ich noch ein Argument dazu. Nämlich die Shell. Und jetzt sollten wir direkt in die Shell booten können. Wir haben kein Login-Prompt mehr und jetzt haben wir auch Routzugriff auf dem System. Und da ist es echt sehr interessant. Ein interessantes Zeug zu finden. Typing ist immer das schwierigste Teil. Man sieht zum Beispiel bekannte Haus und mit wem man gerade so redet. Man sieht hier die Adressen von der Cloud. Das braucht man noch mehr. Man braucht ein Passwort, um sich dort anzumelden. Lass mich mal gucken. Oh, und hier sehen wir zum Beispiel ein FDP-Passwort. Das kann man hier angucken. Es ist nicht besonders gut. Ich glaube, da gibt es Platz, das besser zu machen. Der Prozess ist ungefähr das Gleiche für jeden Monitor. Das ist nicht besonders großes Hacken, aber es hat den Job erledigt. Wir hatten gehofft, Sachen aus der Firma herauszufinden. Wir hatten gehofft, Sachen aus der Firma herauszufinden. Wir haben ein bisschen weiter zu kommen, das Protokoll Reversor-Engineering. Was haben wir denn jetzt noch so? Wir haben einen Kontrolle über ein System, da ist auch ein RF-Gip dabei, der direkt mit dem Herzschöpfer kommuniziert. Wir haben gestern auch schon gehört, wenn man Software Defined Radio macht, dann muss man zeitliche Beschränkungen beachten. In jedem Protokoll gibt es Zeit, und man muss in gewisser Zeit antworten. Wenn man das mit Software Defined Radio macht, das über USB angeschlossen ist, dann hast du das Problem, dass USB eine große Datanz hat. Manchmal muss man die Antwort in der richtigen Zeit abgeben, damit der Empfänger sie akzeptiert. Deswegen haben wir das, das Angriffsgerät gewechselt. Okay, was können wir noch angreifen? Den haben wir auch gekauft auf Ebay. Wir haben einen gebraucht gerade kürzlich, aus einem deutschen gebraucht Medizineräteverkäufer, und da war sogar noch medizinisches Datum drauf. Also da waren Daten drauf. Die gesamte Industrie muss, glaube ich, ein Stück besser werden, was an Privatsphäre und IT-Sicherheit angeht. Also wenn wir dieses System auseinandernehmen, dann ist da eine entfernbare Festplatte, keine Verschlüsselung. Die leben wohl gerne gefährlich. Okay, das war das letzte Stück im Puzzle-Warum. Da war ein Pfeids drauf, wir haben die einfach dekompiliert. Das gesamte Protokoll war da einfach für uns zum Implementieren da. Nicht nur das Protokoll, sondern auch Codes, die Sie benutzen für Backdoor-Zugriffen und noch nicht mal verschlüsselt. Das sage ich jetzt nicht, um Sie irgendwie zu beschuldigen. Wenn man Herzschutzmacher macht, dann hat man noch andere Anforderungen. Wenn man zum Beispiel nach Australien geht, wo man Herzinfarkt hat, dann möchte man, dass die australischen Ärzte auch in der Lage sind, und deswegen gibt es ein Backdoor-Key, um das zu ermöglichen. Also es hat einen sehr guten Grund. Wir haben jetzt den Merlin Atom als Ankaufsgerät benutzt. Wir waren in einem Möglichkeit, das Gerät zu reconfigurieren. Wir konnten es vibrieren lassen. Wir konnten Test-Shots machen. Die Demo-Videos findet ihr auch hier auf Fimeo. Den Link seht ihr hier, schaut es euch an. Es gibt einen Rätner, um zu vermitteln, was wir hier machen. Jetzt ein einfacher Spiel, den Hersteller zu beschuldigen. Welchen Message-Authentication-Code werden benutzt? A, B, C, D oder E? Wer ist für A? B? B? C? C? C? Spannendes Rennen? D? E? Ich habe keinen Vertrauen in den Hersteller. Es ist übrigens C. Sie machen ein bisschen Authentifizierung, aber irgendwie auch nur so ein bisschen. Was haben Sie noch so gemacht? Haben Sie eigene Krypto gemacht? Und benutzen Sie vielleicht 32-Bit Public Keys? C, ja. Alles aus Memory. Was haben Sie gemacht? Na, alles davon. Okay, ihr werdet natürlich in der Lage gewesen, das zu sehen, weil wenn ihr 32-Bit Keys haben und 24-Bit Verschlüsselung haben, dann haben Sie es einfach im Speicher gekürzt. Das klingt wie das erste Projekt, was du in der Schule oder in der Uni machst. Wie macht man Kryptografie, wenn man sie verkehrt macht? Das ist sehr, sehr traurig. Wir haben irgendwie IP-Kameras in unserem Büro, um diese Sachen zu trainieren. Und die haben dieselben Sicherheitslevel wie diese Geräte. Und das ist, finde ich, sehr, sehr traurig. Okay, einen technischen Überblick. Wir waren in der Lage, innerhalb von zwei Monaten viele kritische Schwachstellen zu finden mit großem Einfluss. Unautologische Nutzer konnten einfach den Headshot-Macher deaktivieren oder vibrieren, dich schocken. Wir haben herausgefunden, dass es viele Sicherheitsalbträume gibt. Es gibt irgendwie nicht so den Eindruck, als ob Best Practices hier verfolgt wurden. Aber man könnte denken, wie ist es denn mit Sicherheitszertifizierung, weil Zertifikaten, weil Medizin scheint eine sehr regulierte Sache zu sein, sehr reguliertes Gebiet, insbesondere Sicherheit. Es gibt da ISO 27 Zertifikation. Und die waren sogar stolz darauf, weil sie das erste medizinische Netz waren, dass sich erfolgreich zertifiziert hat für solche Systeme. Und die haben das offen erzählt, dass sie sehr, sehr gut darin sind. Und das ist ein weltweit anerkanter secured Sicherheitsstandard. Aber es ist nichts dergleichen. Es hat nichts mit Produkt-Sicherheit zu tun. Es geht vielleicht darum, wie die in E-Mail-Server laufen lassen, viel leicht, aber auf keinen Fall wie die Headshot-Macher laufen. Diese Zertifizierung geht nicht um Produkte. Ja, was war das Besondere daran? Das ist ein Projekt mit vielen Sicherheitsblücken, das ist nichts Neues, das ist das Hacken, das ist nichts Neues. Das Neue ist eigentlich die Veröffentlichung oder die Disclosure dieser Schwachstellen. Was war besonders? Die Leute, die mich eingestellt hatten, wir dachten, wir tun es auf die traditionelle Art. Wir veröffentlichen wir auf die Konferenzen, aber sie machten es anders. Die haben ihr Lizenz-Lizenz, eine Investment-Companie und Unternehmen, die die Konkurrenten von Centrude-Medikale und Bord-Cheers von Kompetitors zentriert und die kauften Aktien von Konkurrenten von Centrude. Das heißt, sie veröffentlichten Berichte mit nicht all den Details, aber mit den grundsätzlichen Erkenntnissen und wie diese Erkenntnisse den Börsenkurs von Centrude-Medikale veröffentlicht haben. Es gab eine Veröffentlichungsprozesse, eine Disclosure-Prozesse. Es gab keine Vorabinformationen an den Hersteller. Der Hersteller wurde einige Jahre vorher die gleichen Schwachstellen von einem anderen Forscher mitgeteilt, aber nicht veröffentlicht, weil der Forscher vorher gestorben ist. Aber Centrude hat sich gesagt, okay, nein, wir leugnen das ab, wir streiten das ab. Wir machen los. Ja, und sagt nicht, okay, wir machen einfach eine Partnerschaft mit Madame Waters. Und wie gesagt, es hatte einen sehr großen Einfluss auf den Aktienkurs. In dem Moment, an dem dieser Bericht veröffentlicht wurde, ist der Aktienkurs von Centrude um 12 Prozent gesunken. Das sind zwei Milliarden Dollar an einem Tag. Ich glaube, das ist das erste Mal, dass dies so für eine Schwachstellenveröffentlichung gemacht wurde, und dann ging es richtig los. Centrude fing an, diese Sachen abzustreiten und zu zeugnen. Diese Forscher, die wollen bloß Geld von uns haben, die Ergebnisse sind falsch, sie sind erfunden, das ist alles nicht wahr, lasst sie uns verklagen. Sie haben alle angeklagt damit, dass wir in diesem Projekt mit Madame Waters, den CEO und die Ärzte, die daran beteiligt waren. Der Report wurde im August veröffentlicht, und im Oktober hatten wir eine unabhängige Partei, eine unabhängige Partei, nochmal zu überprüfen lassen, was wir gemacht haben. Ein Experten-Team von Bishof Fox, eine US-basierte Sicherheits-Service, Unternehmen, und sie haben jede einzelne unserer Behauptungen verifiziert. Und wir waren okay, wir haben das nicht erfunden, jemand muss irgendwelche Aktionen ergreifen. Ein paar Monate später hat das ICS-SERT eine Schwachstellennotiz veröffentlicht und die FDA hat eine entsprechende Mitteilung veröffentlicht und Centrude hat gesagt, wir sind stolz über unsere Sicherheit und wir führen den auf dem Weg. Aber der Update war nur für die Kommunikation zwischen dem Merlin und der Cloud. Das war vorher ungesichert, da haben sie jetzt Zertifikate benutzt. Aber die Dratose-Kommunikation mit dem Schrittmacher selbst war immer noch nicht korrigiert. Und noch eine lustige Sache, weil es im Deutschen gibt es ein schönes Wort für tödliche Schocks, das heißt Abgabe unangemessener Stimulationsimpulse. Ja, das war ganz interessant. Es geht immer um die Formulierungen. Ein bisschen später hat die FDA auch die Informationen geprüft und haben ein offizielles Statement herausgegeben und gesagt, ja, das ist wahr. Was sie behaupten, ist möglich. Zertrude, ihr müsst ein weiteres Update machen. Und sie haben das getan. Ungefähr ein Jahr später da kam dann das endgültige Update raus, dass auch die unsichere Kommunikation befickt sollte. Ich habe das nie selbst getestet, aber es waren viele kluge Leute, bitte ehrlich, und ich denke, es mag funktionieren. Ja, und wir sind wieder am Anfang und es endet mit einer Rückrufaktion für mehrere hunderttausend Herzschrittmacher. Ich glaube, ja, das ist eine interessante Art Schwachstellen zu veröffentlichen. Einfach schicken und schieben es einfach raus und lassen den Hersteller zahlen. Aber das Lustige ist, was zur gleichen Zeit wie andere Forscher aus den USA, Billy Ross und Jonathan Bust, die auch medizinische Geräte untersuchen und die haben Schwittenmacher von einem anderen Hersteller mit Tronic untersucht und sie haben auch einen Haufen Bugs auf dem Ökosystem. Sie konnten eigene Firmware auf dem PaceMaker auf dem Schrittmacher veröffentlichen, indem sie das Software-Verteilsystem von Mitronic benutzt haben. Sie haben es dem Hersteller gesagt und haben versucht, mit dem Hersteller zu arbeiten, um die dazu zu bringen, das zu reparieren. Da haben wir eine neue Antwort von dem Hersteller. Sie sehen, Sie haben einen internen Sicherheitsreview-Prozess und Sie haben gesagt, nein, das ist kein neues Sicherheitsrisiko. Das ist kein Problem. Wenn man Firmware auf einem großen Umfang auf den Hersteller veröffentlichen kann, das ist kein Sicherheitsproblem. Das ist häufig, wenn man als Sicherheitsforscher mit den Herstellern redet, dass sie nicht daran gewöhnt sind, mit Sicherheitsforschern zu reden. Sie versuchen, die Ergebnisse herunterzuspielen. Sie reden nicht mit dir, die erfindenden Haufen Geschichten nur, um ihre Schwachstellen nicht fixen zu müssen. Einer dieser Leute, ich glaube, Jonathan Batts, sagte, in der Zeit, die sie nur mit Mitronic über die Bugs geredet haben, haben eine Frage, sie wollen einfach nicht zugeben, dass sie einen Fehler gemacht haben, denn das würde die Regulation betreffen, wirklicherweise den Gehalt für den Vorsitzenden. Das ist sehr frustrierend für sie, weil die Schwachstellen noch zwei Jahre später in den Geräten waren und es gab keinen Patch. In der Situation, fast zwei Jahre später, sie redeten immer noch mit dem Hersteller. Es ist die Frage, was ist der bessere Weg? Das war der traditionelle Weg, der ethischere Weg in der allgemeinen Wahrnehmung. Wenn man den ersten Weg geht, dann hatte man ein Jahr später tatsächlich ein Update. Das ist nicht der traditionelle ethische Weg, aber es ist ein sehr effektiver Weg, es zu gehen. Was ist der bessere Weg? Ich weiß es nicht. Als ich zuerst in dem Projekt war, war ich ziemlich angefressen, weil ich nicht diesen Weg der Schwachstellenveröffentlichung erwartet hätte. Und dann fingen die Gerichtsprozesse an, und zwar nicht die beste Zeit. Aber jetzt glaube ich, ich bin offener gegenüber dem Weg, den sie genommen haben. Vielleicht war es doch ein guter Ansatz. Ich bin mir nicht sicher. Ich bin offen darüber hinterher zu diskutieren. Gib mir eure Gedanken, was ihr dazu meint. Lass es uns zusammenfasseln. Die wichtigsten Punkte. Erste Punkt. In medizinischen Geräte, wenn es schlecht auf Deutsch zu übersetzen, dann ist es auch nicht safe. Also betriebssicher safe. Und auch, wenn es ein Zertifikat ist, heißt es nicht, dass es sicher ist gegen Angriffe. Und es gibt man, man muss jetzt einfach, wenn man ein neues Produkt baut, muss man von Anfang an Sicherheitskonzept haben. Wir arbeiten mit vielen Herstellern, aber ich glaube, es ist noch viel, viel, was sie machen müssen. Ein Problem ist halt, es gibt viele neue Angriffsvektoren. Wir haben ein System, den Schrittmacher, wir haben die Cloud, es gibt irgendwelche Apps vielleicht in der Zukunft. Es gibt alles immer, immer komplexer, auch für medizinische Geräte. Man muss jeden möglichen Angriffsvektor abdecken. Auch in billigen Endbenutzergeräten. Ja. Und das war auch ein neuer Weg, Schwachstellen zu monetarisieren. Mit einem großen Effekt, insbesondere in den amerikanischen Medien. Es begann eine große Diskussion über Ethik in der Schwachstellenveröffentlichung. Mal wieder, alle paar Jahre gibt es mal wieder, diese Diskussion, wie man Schwachstellen richtig veröffentlicht. Und ich denke, es gibt nicht den einen Weg, sondern es hängt davon ab. Ein Wort von einem Berater. Warum dieses Bild? Das ist mein Lieblingsbild über Sicherheit. Das ist, dieses Bild symbolisiert meine Erfahrung in diesem Projekt. Man guckt als erstes dran, man guckt von vorne dran. Man guckt ganz gut, sicher, das ist. Es könnte einen Weg geben, oben rüber zu klettern, irgendwas zu machen, aber es ist schwierig, da rüber zu kommen. Vielleicht haben sie wirklich einen guten Job gemacht. Aber wenn man die Perspektive wechselt und einen anderen Winkel guckt, ein bisschen zur Seite geht, um in diesem Bild zu bleiben, dann ist es viel einfacher. Man muss wirklich jeden Blickwinkel fallen. Man muss einen Schritt zurückgehen, einen neuen Blick darauf zu werden, einen neuen Blick auf das Problem werfen. Vielleicht gibt es einen einfacheren Weg, irgendwo reinzukommen als der Weg, den man zuerst versucht hat. Nur wenn man 20 Tage Forschung auf dieses eine Protokoll verwendet hat, kann trotzdem noch sein, dass es ein zweites Protokoll irgendwo eingebaut ist, dass es meine Geschichte, die wollte ich mit euch teilen. Ja, wenn ihr ein paar Fragen habt, bitte fragt sie jetzt, und ansonsten bin ich auch hinterher und die nächsten Tage hier, um darüber zu reden. Vielen Dank. Vielen lieben Dank, Tobias. Wir haben Miko Engel, zum Beispiel, hier, dort, wo er winkt, und dort, wo wir ihn haben. Ich habe Fragen aus dem Internet, vielleicht. Okay, für den Moment nicht. Internet, los geht's, stellt Fragen. Okay, da drüben geht's los. Okay, ich frag mich die richtige Situation. Wurdest du verklagt, weil du gelogen hättest oder wurde auch ein Aspekt daran, dass du den Börsenmarkt manipuliert hast? Ja, genau, das ist die Beschuldigung, dass wir den Markt manipuliert hätten. Ich bin kein Expert in der Börse, insbesondere nicht in Amerika, aber kurz gesagt, es gab keine Insight-Information, also nein. Ich schaue in die Bücher eine Firma und evaluiere, ob diese Firma irgendwie keinen Perspektiv auf den Markt hat, dann werden wir dagegen, und das ist ja nicht, was passiert ist. Okay, nächste Frage. Ihr habt nicht die Rolle des FTA diskutiert und in meiner Erfahrung haben wir viele veraltete Daten, und sie haben Zertifikate genutzt auch, als sie Sachen hätten besser machen können. Die harten Systeme, die auf dem Markt erlaubt waren und es ist ein großes Investment, solche Systeme nochmal neu zu zertifizieren, und ich glaube, das ist der Grund, warum sie eine Abkürzung genommen haben. Wenn diese Systeme sich nicht ändern, dann wird es unvermeidbar bleiben, die Leute auf dem Markt zu agieren. Es geht darum, der Einfluss der Zertifizierungsprozesse. Ja, das ist ein sehr, sehr guter Punkt. Ich bin da ganz deiner Meinung. Ich denke, da bewegt sich allerdings was. Die haben akzeptiert, dass es ein Problem ist, und die werden einen anderen Prozess entwickeln müssen, wie man Sicherheits-Updates ausspielen kann. Da muss man irgendwie unterscheiden zwischen Sicherheits-Gelawanten-Systemen und anderen Systemen. Aber immerhin passiert da was. Für jetzt, glaube ich, ist es immer noch so wie dem alten System, aber immerhin denken Sie darüber nach, und ich weiß von manchen Sicherheits-Experten, dass sie mit denen sprechen, dass sie den Input geben, wie man da bessere Lösungen produzieren kann. Interessante Geschichte. Ich frage mich, ob die Frage zu leicht oder zu schwer ist, die ich stellen werde. Aber ich habe mich gefragt, wenn der Zero Day Exploit veröffentlicht wurde, öffentlich. Ob jemand eine Woche später den benutzt hätte, um echten Schaden zu machen, wie wäre das möglich, dass die Firma dann euch, sozusagen versucht hat, zu verklagen? Gute Frage. Ich glaube, das ist eine einfache Idee zu antworten. Wir haben kein Proof-of-Concept-Code veröffentlicht. Wir haben nur gesagt, da ist eine Verwundbarkeit. Du kannst dieses Video angucken, das beweist es. Wir haben aber nicht den echten Code rausgehauen, um darüber weiter auf, weiter einzugehen. Das Potenz, ja, das Schlimmste, was du produzieren kannst, ist, dass irgendjemand stirbt. Aber es gibt auch andere Wege, Leute sterben zu lassen. Und du musst da nicht irgendwie deinen Herzschritt machen, du kannst ihn einfach umschießen. Oder wenn du jetzt keine politisch exponierte Person bist, dann ist das nicht ein Haup-Problem, wenn du von jemandem umgebracht werden möchtest. Dass es ein Hacker ist. Man hat andere Probleme. Aber besonders Leute, die irgendwie im Rampenlicht stehen, das könnte dann gefährlich sein. Gibt es inzwischen Fragen aus dem Internet? Internet, los, was ist da los? Eine Frage hier aus dem Raum. Du hast gesagt, dass Sie 32 Bit auf 24 Bit runtergeschnitten haben, weil die Hardware so schwach ist. Wie glaubst du, waren Sie denn in der Lage, das zu fixen? Das ist warum ich immer gesagt habe, ich habe das nicht nochmal getestet. Ich habe ein bisschen von dem Code angeguckt. Und ich bin auch neugierig. Aber ich glaube, es gibt immer noch einen Weg rein. Wahrscheinlich der Backup-Axis. Vielleicht haben Sie einfach den Code ausgetauscht und ein bisschen besser geschützt. Aber wenn du dieselbe Hardware hast, hast du dieselbe Hardware, dann kannst du vielleicht andere Schlüssellinge benutzen. Das ist, denke ich, nicht möglich. Vielleicht haben Sie kompensierende Methoden, genau, sich überlegt. Aber ich weiß es nicht. Ich habe es nicht nochmal angeschankt. Da gibt es noch einen Kunden bei diesem Microangel. Ihr habt darüber geredet, wie das OS-System euch versucht hat zu illegalisieren. Ich habe mich gefragt, ob du in Europa oder in Deutschland arbeitest. Da hättest du Probleme mit dem Urheberrecht. Wenn man solche Sachen reverse-ingenuiert, da war ein Supervortrag auf dem letzten Kongress, die in München solche Sachen gemacht haben. Und dann wurden sie verklagt, basierend auf Copyright. Ich habe das auf dem Schirm. Okay, da gibt es jemand, der sagt, dieses Gesetz hat sich dieses Jahr geändert. Was ich fragen wollte ist, habt ihr die CPU angeguckt? Welche Hardware da drin ist es? Die haben eigene Chips. Ich habe keine Ahnung. Ich kann mich jetzt nicht den Prozess ganz konkret erinnern, aber wenn du das möchtest, kann ich das nachgucken. Die hatten eine eigene Lösung für diese Sachen. Ist es möglich, dass der einsame Microanger jemand gefragt hat? Ja, eine Frage. Wie viel Geld habt ihr damit gemacht oder die Firma? Ich weiß das auch nicht genau. Ich weiß nur, dass ich nicht für all meine Arbeit bezahlt wurde. Nachdem sie nämlich verklagt wurden, haben sie alle Accounts geschlossen und sie haben sie auf lange Zeit laufen lassen. Die Firma ist in karibischen Inseln gekündet worden. Sie haben mir beim Bier erzählt. Sie haben einen Anwalt auf diesem Insel. Deswegen können sie von einem Anwalt an einer anderen Inseln nicht verklagt werden. Aber ich habe keine Ahnung, wie viel Geld sie gemacht haben. Ich glaube, ihr Plan geht nicht so auf, wie sie das wollten, weil der Börsenpreis sich wieder eingepiegelt hat. Es war quasi nur ein Aufschrei der Aufmerksamkeit, so viel Geld zu verlieren in so kurzer Zeit. Ich glaube, das war nicht die beste Zeit, um solchen Market-Trucks zu erleben. Es bleibt Zeit für eine letzte Frage. Kommt diese vielleicht jetzt aus dem Internet? Okay, jemand anderes? Nein. Dann lasst uns einen sehr großen Applaus an Tobias Hengen. Vielen lieben Dank für deinen Vortrag.