Isso mesmo, aquela coisinha de metal dentro do peito do vovô que dispara impulsos elétricos para manter o coração do velho batendo corretamente é vulnerável a um hack remoto envolvendo nada mais do que um laptop. O mesmo ocorre com as bombas de insulina que substituíram as seringas e injeções diárias para muitos diabéticos, que buscam regular os altos níveis de açúcar no sangue que estão na origem dessa doença.

A má notícia é que muitos dos milhões de dispositivos médicos incorporados dos quais muitos milhões de pessoas dependem são vulneráveis ​​a ataques. A boa notícia é que não conheço nenhuma circunstância em que alguém tenha realmente atacado um desses dispositivos na vida real. A dura verdade sobre os cibercriminosos é que eles, ao contrário de muitos desses pesquisadores de mente elevada, não invadem por diversão - eles invadem por lucro. Portanto, até encontrarmos uma maneira de ganhar dinheiro consistente envenenando uma pessoa com insulina ou aplicando um forte choque em seu marca-passo, não vejo muito incentivo para esse tipo de ataque.

Eu admito, é muito chamativo imaginar algum hacker assassino atacando usuários de dispositivos médicos embutidos, mas também é incrivelmente bobo. A barreira de entrada para realizar um desses ataques, a capacidade técnica, ambientes de teste e conhecimento de sistemas vulneráveis ​​necessários, é tão alta que quase ninguém poderia explorar um marca-passo ou bomba de insulina. E mesmo se pudessem, por que fariam? Por assassinato? Se você acha que alguém está tentando matá-lo, garanto que os ataques a dispositivos médicos incorporados devem ser a menor de suas preocupações.

No entanto, se houver um possível problema de segurança, ele deve ser resolvido. Infelizmente, Barnaby Jack, uma das vanguardas da pesquisa de dispositivos médicos implantáveis, morreu no mês passado, apenas uma semana antes de ele apresentar um briefing sobre o assunto na conferência de segurança Black Hat em Las Vegas. No entanto, Jack, que trabalhou como pesquisador de segurança na empresa de segurança de aplicativos IOActive, divulgou um monte de pesquisas sobre o assunto no final de 2012. Suas descobertas foram sombrias para dizer o mínimo.

Na conferência Breakpoint na Austrália no ano passado, Jack demonstrou que poderia enviar sem fio um sinal de seu laptop para um marca-passo e aconselhar o dispositivo a administrar um choque potencialmente fatal de dentro do corpo de um paciente. O ataque surgiu de um erro de programação em que o pesquisador poderia enviar um comando especial ao marcapasso e este responderia com seu modelo e número de série. Depois de determinar o tipo de dispositivo com o qual estava trabalhando, ele foi capaz de aplicar um choque de 830 volts - potencialmente fatal - no corpo onde o marca-passo estava. Além disso, Jack demonstrou que é possível programar marcapassos para espalhar código malicioso para outros dispositivos semelhantes do mesmo fornecedor. Felizmente, este cenário pode ser aceito de bom grado por Hollywood, mas para criminosos ou terroristas da vida real,

Jack demonstrou que poderia enviar sem fio um sinal de seu laptop para um marca-passo e aconselhar o dispositivo a administrar um choque potencialmente fatal de dentro do corpo de um paciente.

Este não foi o primeiro rodeio de Jack também. O pesquisador chamou a atenção dentro e fora da indústria de segurança um ano antes na conferência Hacker Halted em Miami, Flórida, quando demonstrou um ataque comprometendo com sucesso uma bomba de insulina e obrigando-a a administrar uma dose fatal de insulina de até 300 pés.

Jack modificou as antenas de uma dessas bombas sem fio e mexeu no software que a controlava. Uma apresentação anterior de Jerome Radcliffe na Black Hat 2011 demonstrou que a manipulação da bomba de insulina era possível se um invasor pudesse rastrear o número do dispositivo numérico exclusivo da bomba implantável em questão. A pesquisa de Jack foi para o próximo nível. Ele pode comprometer todos os dispositivos vulneráveis ​​sem saber sua identificação única de dispositivo.

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

Jack era apenas um pesquisador entre muitos, e os marcapassos e as bombas de insulina são apenas a ponta do iceberg. Além desses, há um número inconcebivelmente grande de dispositivos médicos potencialmente vulneráveis, tanto os implantáveis ​​quanto os externos. Como se não fosse examinado com atenção o suficiente como está, o subtópico de segurança de dispositivos médicos vai receber muita atenção nos anos e meses que se seguem, e escreveremos sobre isso aqui sempre que houver pesquisas interessantes para presente.

Um dos problemas com a proteção de dispositivos médicos é que eles são radicalmente diferentes dos computadores padrão. Uma bomba de insulina fornece insulina e se comunica com os médicos para determinar os níveis de insulina que deve fornecer. O mesmo para os marcapassos: eles fornecem um pulso elétrico ao coração para mantê-lo batendo normalmente, comunicando-se com algo fora do corpo para determinar ocasionalmente o quão grande o impulso precisa ser.

Se esses dispositivos podem se comunicar com fontes fora do corpo, eles estão fazendo isso sem fio, o que apresenta alguns problemas de segurança óbvios, como Jack e outros pesquisadores mostraram. A próxima etapa, ao que parece, seria garantir que essas coisas se comuniquem por meio de canais criptografados e talvez configurar alguma forma de autenticação, limitando o acesso aos dispositivos. Pode ser muito desafiador devido às inúmeras restrições impostas pela natureza desses dispositivos. Definir senhas pode impedir que médicos em outro país salvem sua vida durante as férias. A criptografia pode esgotar rapidamente a bateria de um pequeno dispositivo implantado. Esses desafios são novos e as respostas ainda não foram encontradas.

Se há uma coisa de que tenho certeza é que os médicos e pesquisadores de segurança são algumas das pessoas mais inteligentes do mundo. Não apenas isso, mas os médicos se orgulham de salvar vidas. Os próprios pesquisadores de segurança são um pouco zelosos demais no que diz respeito à proteção de dados e sistemas.

Não há muito que você possa fazer pessoalmente para se proteger aqui. Ninguém está desenvolvendo produtos de segurança para proteger essas coisas e eu duvido seriamente que haja algo na forma de configurações de segurança controladas pelo usuário. Suponho que, se você sofre de diabetes, pode voltar ao método antiquado de monitorar o açúcar no sangue e injetar insulina manualmente. Talvez você tenha sorte e nunca precise usar um marca-passo, bomba de insulina ou qualquer outro dispositivo médico implantável, mas talvez você já use um: o melhor que você pode fazer é procurar os fabricantes e os médicos e esperar que eles estejam prestando atenção para pesquisar como esta, o que quase certamente é.

Pode parecer imprudente publicar informações altamente confidenciais dessa forma, mas, na verdade, o trabalho de Jack e outros semelhantes é exatamente o tipo que pode levar os fabricantes de dispositivos médicos a começar a fabricar e manter equipamentos mais seguros. Afinal, são médicos e engenheiros. Eles aprendem com seus erros. Quando um pesquisador mostra a eles um bug em seus produtos, esse bug provavelmente não aparecerá novamente.

O resultado final é o seguinte: dispositivos médicos incorporados salvam milhões de vidas todos os anos e o número de pessoas que morreram como resultado de um hack de dispositivos médicos é algo em torno de zero.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.