El hecho de que los fabricantes de varios tipos de dispositivos se centren en el diseño y la facilidad de uso, dejando los problemas de seguridad de la información por la borda, se escribió muchas veces en Habré. Esto se aplica a ambas compañías que producen teléfonos inteligentes, dispositivos IoT, además resultó que los desarrolladores de dispositivos médicos tampoco están demasiado preocupados por proteger sus dispositivos de interferencias externas.
Y estamos hablando de dispositivos tan vitales como marcapasos y desfibriladores (no los que se muestran en la serie sobre médicos, otros). Estos son dispositivos en miniatura que se implantan en el cuerpo humano de modo que cuando el corazón está trabajando con problemas, recibe una señal eléctrica que le permite "activar" el modo normal de funcionamiento del músculo cardíaco.
Si algo le sucede a un dispositivo así, entonces su propietario enfrentará problemas inevitables, incluso la muerte. Lo peor de todo es que los desfibriladores se están volviendo cada vez más "inteligentes". Los de Medtronic también eran vulnerables a la interferencia externa.
Para dar servicio y verificar el funcionamiento de los dispositivos, se utilizan dispositivos especializados. En los hospitales, se utiliza un modelo llamado CareLink Programmer, en el hogar: MyCareLink Monitor.
Y todo estaría bien, pero, como lo demostraron los investigadores de Clever Security, el protocolo de comunicación utilizado por estos dispositivos no es seguro. Cuando se transmiten datos, no se utiliza el cifrado; ninguno, la información se transmite, de hecho, de forma clara. Además, no hay protección contra las conexiones externas, que pueden ser utilizadas por los atacantes.
Por lo tanto, un ciberdelincuente puede conectarse al gadget y cambiar el modo de funcionamiento o volver a utilizar el software personalizado.
Los expertos calificaron la gravedad del problema en 9.3 puntos en una escala de 10 puntos. La situación es realmente muy difícil, ya que es imposible cambiar algo en el sentido de fortalecer la seguridad de la información del dispositivo en el modo en línea. Y los atacantes pueden usar el problema para sus propios fines.
Hasta ahora, los investigadores han llevado a cabo solo un ataque de prueba de concepto, solo para demostrar las capacidades mencionadas en el estudio. Es cierto que esto requiere acceso físico al dispositivo de control: MyCareLink o CareLink. Si hay acceso, la acción más inocente puede ser obtener los datos del usuario almacenados en el dispositivo. Si lo desea, puede volver a actualizar el dispositivo, como se mencionó anteriormente.
Pero existe otra posibilidad: los atacantes, si tienen la experiencia adecuada, pueden crear un dispositivo personalizado que, al estar dentro del rango del desfibrilador, puede establecer un modo de operación específico para cualquiera de los dispositivos fabricados por Medtronic.
Por supuesto, los expertos en ciberseguridad publicaron información sobre el problema en el dominio público después de enviar todo lo necesario a los desarrolladores de dispositivos médicos. Fortalecieron sus sistemas al dificultar el acceso a MyCareLink y CareLink. Pero la conexión permaneció desprotegida: no hay cifrado ni autenticación.
Por cierto, ambos dispositivos de control ejecutan una versión personalizada de Linux. Las contraseñas que permiten el acceso de root a estos gadgets se almacenan como un hash MD5, que se puede descifrar sin ninguna dificultad. Según los investigadores, la contraseña de 8 dígitos que da acceso a este sistema puede descifrarse incluso usando una computadora portátil normal y la base de contraseñas / inicios de sesión del servicio RockYou, compartida hace 10 años.
Es cierto que para que un ataque de atacantes tenga éxito, el desfibrilador debe estar en el estado de escuchar la "radio". Los gadgets entran en este modo en el momento en que los médicos realizan un trabajo de servicio especial, así como durante una prueba de desfibrilador con Carelink.
Los problemas con los dispositivos médicos no terminan allí, porque solo se muestra el problema inherente a un cierto tipo de dispositivo de uno de los fabricantes. Pero hay muchos implantes médicos "inteligentes", y nadie puede garantizar que otros dispositivos sean más seguros que los sistemas fabricados por Medtronic.