Pacemaker e pompe per il rilascio dell’insulina si aggiungono alla lista, sempre più lunga, dei dispositivi elettronici che contengono bug facilmente sfruttabili dagli hacker. Sì, avete capito bene, quel piccolo apparecchio di metallo che viene impiantato nel cuore umano per regolare il battito può essere soggetto ad attacchi in remoto grazie solamente a un computer portatile. Allo stesso modo, i microinfusori, che hanno sostituito le iniezioni quotidiane d’insulina (apportando un sensibile miglioramento nella vita dei pazienti) possono essere controllati e manomessi da un hacker.
La cattiva notizia è che milioni di dispositivi medici di questo tipo sono vulnerabili ad attacchi in remoto. La buona notizia è che fino ad ora tali attacchi non si sono verificati nella vita reale. La dura verità è che i cybercriminali hackerano soltanto per soldi. Quindi, finché avvelenare una persona con insulina o provocare un attacco di cuore non generi un profitto, per il momento possiamo stare abbastanza tranquilli.
Ammettiamolo, sembra un po’ esagerato pensare a un hacker assassino che si fionda sui pazienti, e sopratutto un po’ sciocco. Gli ostacoli da superare per portare a compimento questo genere di attacchi sono tanti: possedere un’abilità tecnica importante, disporre dell’ambiente adeguato per effettuare i test, conoscere perfettamente i sistemi da hackerare. Tutto ciò rende molto improbabile sfruttare un pacemaker o una pompa per il rilascio d’insulina per scopi criminali. E poi per quale motivo prendersi tanto fastidio? Per uccidere? Ci sono tanti metodi per uccidere una persona, e molto più sbrigativi, per cui un pacemaker dovrebbe essere la minore delle preoccupazioni.
In ogni caso, se c’è una falla nel sistema di sicurezza di questi dispositivi, è bene porvi rimedio. Barnaby Jack, una delle menti più brillanti nella ricerca dei dispositivi medici impiantabili, purtroppo è morto il mese scorso, una settimana prima del suo intervento alla conferenza sulla sicurezza Black Hat di Las Vegas. Alla fine del 2012 Jack, che ha lavorato come ricercatore presso IOActive (azienda che si occupa di applicazioni e sicurezza), ha pubblicato una ricerca sull’hackeraggio dei dispositivi medici impiantabili. I risultati da lui ottenuti non sono altro che la punta dell’iceberg.
Lo scorso anno, durante la conferenza Breakpoint in Australia, Jack è riuscito a inviare un segnale dal computer portatile a un pacemaker via wireless, ordinando al pacemaker di rilasciare una scarica potenzialmente mortale per il paziente. Ciò è possibile a causa di un errore di programmazione: attraverso l’invio di un comando specifico, il pacemaker risponde con i dati del proprio modello e del numero di serie. Una volta individuato il dispositivo, Jack ha ordinato al pacemaker il rilascio di una scarica di 830 volt, aprendo la porta a conseguenze che si possono facilmente immaginare. Per fortuna, si tratta di una tecnica che potrebbe far gola agli sceneggiatori di Hollywood, ma non ai criminali o ai terroristi della vita vera; infatti, è più efficace usare le vecchie e care armi di sempre, come pistole o bombe.
In realtà il neozelandese ci ha abituato all’effetto sorpresa. Il mondo dell’industria medicale ha sgranato gli occhi quando il ricercatore ha dimostrato alla conferenza Hacker Halted in Florida che, mediante un attacco hacker, si può rilasciare una dose fatale d’insulina in un paziente che si trova a 90 metri di distanza.
Jack ha modificato le impostazioni dell’antenna wireless di un microinfusore, entrando nel software che la controlla. Durante una precedente presentazione di Jerome Radcliffe alla conferenza Black Hat del 2011, era stato dimostrato che un hacker può rintracciare il numero di serie di un dispositivo medico (come una pompa per il rilascio dell’insulina), che lo distingue inequivocabilmente da tutti gli altri dispositivi dello stesso tipo.
Jack era solo uno dei tanti ricercatori impegnati in questo settore, così come tanti sono i dispositivi che si possono hackerare, sia esterni che impiantabili. Per questo siamo sicuri che il problema della sicurezza informatica di queste apparecchiature costituirà un argomento di discussione importante nei mesi e negli anni a venire. Ovviamente, in questo blog vi racconteremo tutte le novità che ci potranno essere al riguardo.
In generale, il problema principale dei dispositivi medici è che sono completamente diversi da un computer standard. Un microinfusore rilascia insulina e comunica ai medici i parametri per verificare se le dosi rilasciate sono corrette. Lo stesso vale per i pacemaker, che inviano un impulso elettrico al cuore affinché possa battere regolarmente, e con una certa frequenza comunicano con l’esterno per sapere se i parametri sono giusti o se vanno modificati.
Questi dispositivi comunicano via wireless con le risorse che si trovano all’esterno del corpo del paziente, e questo rappresenta un rischio come evidenziato da Jack e dagli altri ricercatori. Il passo successivo, quindi, sarebbe che questo genere di comunicazioni avvenissero utilizzando un linguaggio criptato, impostando una forma di autenticazione. Ma sarebbe davvero difficile fare tutto ciò per via di alcune limitazioni che hanno queste apparecchiature. Ad esempio, se s’imposta una password, i dottori che, si trovano all’estero in vacanza non potrebbero salvare la vita di un malato nel caso ci fosse bisogno. Il sistema di criptaggio potrebbe far scaricare più velocemente la batteria di dispositivi così piccoli. È evidente che ci sono molte cose da mettere a punto, la strada è ancora lunga.
Una cosa è certa: il campo della medicina è in continua evoluzione, e di pari passo va quello della sicurezza. Sia i medici che le case produttrici sono molto attenti a problemi di questo tipo: la sicurezza dei pazienti e dei dati è una loro priorità.
Purtroppo, al momento non si può fare molto per proteggersi da scenari così inquietanti. Non esistono software specifici che proteggano questi dispositivi medici e quasi sicuramente non ci sono opzioni che l’utente di tali apparecchiature possa impostare. L’unica cosa, per chi ha il diabete, è tornare al metodo tradizionale delle iniezioni; oppure, il che è sempre consigliabile, conviene adottare in generale uno stile di vita sano per evitare problemi di cuore o per non sviluppare il diabete di tipo 2. Per chi già utilizza questo genere di dispositivi impiantabili, l’unica speranza è che le case produttrici e gli stessi medici prendano le dovute precauzioni alla luce di quanto dimostrato da ricerche di questo tipo, e sicuramente sarà così.
Potrebbe sembrare pericoloso divulgare dati e informazioni così delicate, ma l’unico scopo di tanti ricercatori come Barnaby Jack è quello di sensibilizzare l’opinione pubblica e gli esperti del settore su queste problematiche, e promuovere così un progresso tecnologico che si traduca in una maggiore sicurezza per i pazienti. E siamo sicuri che l’invito è stato accolto da medici e tecnici informatici, perché quando si trova un bug, deve essere risolto il prima possibile.
Dispositivi medici quali microinfusori o pacemaker salvano ogni giorno la vita di milioni di pazienti; al momento non ci sono state vittime di un attacco hacker del genere descritto in questo post. Possiamo ancora dormire sonni tranquilli.