Ein australischer Hacker hat Tausende von Stunden damit verbracht, DRM zu hacken, das von Herstellern medizinischer Geräte auf CPAP-Geräten installiert wurde, um ein kostenloses Programm zu erstellen, mit dem Patienten den Behandlungsprozess regulieren können
Christy Lynn war ständig müde, und nachdem sie viele Monate lang versucht hatte, das Problem zu diagnostizieren, entschied einer der Ärzte, dass sie das Problem erraten hatte.
"Ich habe keine Beschreibung der Symptome der Apnoe gefunden", sagte sie mir telefonisch. - Ich bin eine Frau, ich habe kein Übergewicht. Es ist niemandem in den Sinn gekommen, mich zu untersuchen, außer einem Arzt mit einer ähnlichen Krankengeschichte. "
Lynn, die im ländlichen Arizona lebt, führte zu Hause eine
Pulsoximetrie durch , um den Blutsauerstoffgehalt zu messen, und führte dann eine Schlafstudie durch. Bei ihr wurde
Apnoe diagnostiziert, eine Krankheit, bei der Patienten plötzlich für eine Weile nicht mehr im Schlaf atmen und die am häufigsten übergewichtige Männer verfolgt. Sie erhielt ein CPAP-Gerät (ein Gerät zur künstlichen Beatmung der Lunge mit konstantem Überdruck) mit einer Maske - dieses Gerät bläst Luft in die Atemwege, damit die Atemwege offen bleiben - und wurde nach Hause geschickt.
Eineinhalb Jahre und drei
Somnologen später besserten sich ihre Symptome jedoch nicht. Ihr Apnoe-Hypopnoe-Index (AHI), der die Anzahl der Atemstillstände in einem Traum beschreibt, lag auf einem „schrecklichen“ Niveau.
"Kein einziger Arzt konnte meinen AHI senken, und ehrlich gesagt war keiner von ihnen besonders besorgt darüber", sagte sie. Sie fing an, um Hilfe zu googeln und stieß auf das
CPAPtalk.com- Forum. Darauf sprachen Benutzer über das Programm SleepyHead.
Dieses kostenlose,
offene und definitiv nicht vom US-amerikanischen FDA (Food and Drug Administration) genehmigte
Programm war das Ergebnis von Tausenden von Stunden Hacking und Entwicklung, die der einzige australische Entwickler, Mark Watkins, aufgewendet hat. Infolgedessen half er Tausenden von Patienten mit Apnoe, die Kontrolle über ihre eigene Behandlung von überarbeiteten und unterbezahlten Ärzten zu übernehmen. Die Software ermöglicht dem Patienten den Zugriff auf Schlafdaten, die von seinem CPAP-Gerät generiert wurden, sich jedoch normalerweise als unzugänglich herausstellen. Sie sind
hinter proprietären Datenformaten verborgen, die nur von einem autorisierten Benutzer (Arzt) mit einem proprietären Programm gelesen werden können, das Patienten nicht herunterladen oder sogar kaufen können . SleepyHead und von der Community unterstützte Foren wie CPAPtalk.com und
ApneaBoard.com haben Patienten dabei geholfen, Hersteller von Medizinprodukten zu umgehen, die solche Programme lieber gar nicht haben.
„Ich kann nicht vermitteln, wie sehr sich meine Erfahrung mit CPAP dank dieses Programms geändert hat. Es ist nur Tag und Nacht “, sagte Lynn. "Vielleicht lebe ich nur wegen ihr."
Die meisten modernen CPAP-Geräte generieren während der Verwendung eine große Datenmenge. Sie verfolgen Indikatoren wie den durchschnittlichen Luftdruck, den AHI, die durchschnittliche Anzahl der Anwendungen pro Nacht, die Luftleckrate unter der Maske, den „Durchflussbegrenzungsindex“ und andere Daten, die den Betrieb der Maschine und die Schlafqualität des Patienten beschreiben. Normalerweise werden sie auf einer SD-Karte gespeichert, die der Patient alle sechs Monate zum Arzt bringt (einige moderne Geräte können Daten drahtlos an die Anwendung übertragen, aber die Daten, die in der Anwendung angezeigt werden können, sind, wie mir die Patienten sagten, selten so detailliert wie diejenigen, die das Auto tatsächlich sammelt). Diese Daten können verwendet werden, um den Behandlungsprozess zu ändern, Schwellendruckanzeigen und andere Maschineneinstellungen zu erhöhen oder zu verringern, wodurch das Ergebnis verbessert werden kann.
Aber viele Ärzte, wie mir mehrere SleepyHead-Benutzer gesagt haben, sehen sich diese Zahlen nebenbei an und schicken dann Patienten nach Hause. Mehrere Industriestudien haben einen Mangel an Somnologen festgestellt, was bedeutet, dass nur sehr wenige Ärzte Patienten die besondere Pflege bieten können, nach der sich viele sehnen. Eine Studie der American Academy of Sleep Medicine aus dem Jahr 2015 ergab "einen ernsthaften Mangel an zertifizierten Fachleuten für Schlafmedizin" und stellte fest, dass "in einigen Teilen der USA dieser Bereich der Medizin schlecht oder gar nicht unterstützt wird".
Thomas Penzel, Schlafphysiologe und Forschungsleiter bei der Europäischen Gesellschaft für Schlafforschung, sagte mir per Post: "Er glaubt, dass jeder kluge Patient tun kann, was er will."
„Der Patient kann den Druck anpassen, wenn er versteht, was er tut. Einige unserer Patienten haben ihren Druck selbst angepasst “, fügte er hinzu. "Wenn etwas schief geht, können sie im Bett sterben." Dies ist ihr persönliches Risiko. CPAP ist kein Spielzeug, sondern ein medizinisches Instrument. “
Er stimmte zu, dass die meisten Patienten mit Apnoe auf der ganzen Welt nicht ausreichend versorgt werden. "Ärzte hören ihnen nicht zu und sie haben keine Zeit - und so weiter auf der ganzen Welt."
„Der Arzt bittet Sie, einen Chip oder eine Karte mitzubringen, liest sie, liest sie aber nicht für die Diagnose. Er liest es, um die Regeln der Versicherungsgesellschaft zu befolgen und sicherzustellen, dass Sie das Auto benutzen “, sagte mir Steve Levin, ein in Kalifornien ansässiger SleepyHead-Benutzer. "Jeder versucht, dich zu akzeptieren, dich rauszuschicken und auf deine Kosten einen Gewinn zu erzielen."
Einige CPAP-Geräte ermöglichen es Patienten, fragmentarische Daten auf dem Bildschirm anzuzeigen, aber nur wenige Geräte bieten Patienten echten Zugriff auf alle von ihnen gesammelten Daten. Ein beliebter CPAP-Hersteller, ResMed, veröffentlicht die ResScan-Datenanalysesoftware, die aufgrund
gesetzlicher Bestimmungen nur erhältlich ist, wenn Sie ein Arzt sind oder „auf Anordnung eines Arztes“.
Ein derart unerschwinglicher Ansatz zur Behandlung von Apnoe- und CPAP-Daten hat zur Entstehung einer ganzen Richtung von selbstbrechendem CPAP und sich ändernden Einstellungen geführt.
Der größte Teil der Diskussion in den Foren CPAPtalk.com und ApneaBoard.com, von denen das letzte ungefähr 71.000 registrierte Benutzer hat, dreht sich um SleepyHead, das die von CPAP-Geräten erstellten Daten dekodiert und normalen Patienten die Verwendung ermöglicht. Die Software entschlüsselt die Daten buchstäblich: Watkins hat mit großen Schwierigkeiten die proprietären Datenformate für jedes einzelne CPAP-Gerät geknackt, das die Software jetzt unterstützt. Diese Formate dürfen nur von herstellereigenen Programmen gelesen werden.
"Alle Maschinen haben eingebaute Prüfungen mit Signaturen und Prüfsummen von Datenformaten, einige sind schwieriger, andere einfacher", sagte Watkins. - Das Hacken des Dateiformats ist ein komplexer Prozess, für den Daten zum Vergleich erforderlich sind. Daher müssen die Einstellungen im Maschinenmenü geändert oder PDF-Berichte bearbeitet werden, die von kommerziellen Programmen auf der Grundlage bekannter Datensätze erstellt wurden, die zuerst von Personen angefordert und gesammelt werden müssen, die Zugriff darauf haben Maschine und Software. "
Watkins begann vor sieben Jahren mit der Arbeit am SleepyHead-Projekt, als er sich für die „verbotenen Geheimnisse“ der SD-Karte seines eigenen Computers interessierte. Seitdem ist SleepyHead für die Apnoe-Community von entscheidender Bedeutung.
"Im Laufe der Zeit war ich zunehmend angewidert darüber, wie die CPAP-Branche die Probleme der Menschen nutzt und missbraucht, und die Notwendigkeit eines kostenlosen CPAP-Analysetools, das sich auf Daten konzentriert und alle Formate unterstützt, ist offensichtlich geworden."
* *
Technische Maßnahmen zum Schutz des Urheberrechts, mit denen der Zugriff auf Daten auf Gerätebenutzer beschränkt wird, sind in einer Vielzahl von Branchen weit verbreitet. Das Problem, mit dem CIPAP-Benutzer konfrontiert sind, ähnelt den Problemen der
Landwirte , die John Deere-Traktoren reparieren müssen, den Problemen der Besitzer von
Keurig- Kaffeemaschinen
, die Kaffee nur aus zugelassenen Kapseln brauen, und den Problemen
unabhängiger Elektronikreparaturspezialisten, die bei der Reparatur von
iPhones und
Macbooks zunehmend behindert werden , Server, Klimaanlagen,
Staubsauger und Geräte, die mit dem Internet der Dinge verbunden sind.
CPAP-Benutzer, insbesondere Watkins, sind Teil einer neuen Bewegung von Patienten, die versuchen, die Kontrolle über ihre Daten zurückzugewinnen. Hugo Campos, ein Aktivist,
sprach 2011
mit TEDx über sein Recht auf Zugriff auf Daten, die von seinem Herzschrittmacher generiert wurden, und
Nightscout startete eine DRM-Cracking-Anwendung, die Patienten daran hinderte, die Blutzuckermessgeräte ihrer Kinder aus der Ferne zu überwachen.
Hersteller von Medizinprodukten sind im Allgemeinen mit der entstehenden Bewegung unzufrieden, aber was Watkins für das SleepyHead-Projekt tut, verstößt nicht gegen das Gesetz.
Im Jahr 2015 beantragte die von Campos geleitete Koalition von Medizintechnikforschern bei der Library of Congress und dem US-amerikanischen Copyright Office eine Ausnahme
vom Digital Age Copyright Act (DMCA), dem wichtigsten US-amerikanischen Urheberrechtsgesetz, das Patienten erlauben würde legal ihre medizinischen Geräte für Sicherheitsforschung zu knacken und Zugang zu den Daten zu erhalten, die sie erstellen.
Die medizinische Industrie argumentierte, dass „Patienten, die direkt von ihren Geräten auf Daten zugreifen, das Datenformat möglicherweise nicht verstehen oder falsch interpretieren. Das Recht auf Zugang zu Daten muss durch Gesundheitsdienstleister sichergestellt werden. “
Campos "verfolgte seine Schrittmacherdaten mit Google Spreadsheet - nicht die beste Option für den Patienten", sagte Andrew Sellars, Anwalt am Berkman Center für Internet und Community in Harvard, der die Rechte von Campos vertrat. - Der Schrittmacher überträgt Daten an die Basisstation. Er hat erfunden, dieses Signal abzufangen, um herauszufinden, was sein Herz tat. “
Hersteller von Medizinprodukten kämpften heftig gegen die Petition von Campos und Sellars: „Hersteller von Medizinprodukten nahmen folgende Position ein: Die Daten haben ein urheberrechtlich geschütztes Format, das unter die DMCA fällt“, fügte Sellars hinzu, der jetzt Direktor der Klinik für kybernetisches und technologisches Recht ist.
Die Handelsorganisation AdvaMed, die sich für die Interessen der medizinischen Industrie einsetzt, hat eine
Petition gestartet, in der Kampos 'Anfrage blockiert wird: „Patienten, die direkten Zugriff auf Daten auf ihren Geräten haben, verstehen das Datenformat möglicherweise nicht oder interpretieren es nicht falsch. "Das Recht auf Zugriff auf Daten muss durch medizinisches Personal sichergestellt werden (und ist bereits gewährleistet), das über die entsprechenden Tools verfügt, die für die Erfassung und den Schutz von Patientendaten geschult sind, die die Sicherheit und den langfristigen Betrieb ihrer Geräte nicht verletzen."
Die Organisation argumentierte auch, dass eine Ausnahme, die den Zugang von Patienten zu Daten legalisieren würde, Risiken für die Gesundheit und die Privatsphäre von Patienten darstellen und „den Batterieentladevorgang beschleunigen“ könnte.
Die Medical Alley Association , ein weiterer Hersteller von Medizinprodukten, argumentierte: "Wenn Sie diese Ausnahme akzeptieren, wird die Interaktion zwischen Ärzten und Patienten direkt gestört, und die Patienten werden aufgefordert, Entscheidungen ohne die Unterstützung ihres Gesundheitsdienstleisters zu treffen."
In der Zwischenzeit berichtete die FDA dem US-amerikanischen Copyright Bureau, dass Geräte, die der Benutzer modifiziert hat, ohne die Genehmigung der FDA nicht beworben oder weiterverkauft werden können. Wenn der Patient aufgrund der geänderten Maschine verletzt wurde, kann die Behörde nur schwer feststellen, ob der Hersteller schuld ist oder nicht Wer hat die Software geändert? Letztendlich hat die FDA jedoch nicht versucht, die Annahme der Ausnahme zu stören: "Die FDA empfiehlt, dass die endgültige Schlussfolgerung besagt, dass nichts darin die Produktregulierung in der Gerichtsbarkeit anderer Bundesbehörden beeinflusst."
Der große Sieg des Verbrauchers war, dass die Library of Congress
die Legalisierung dieser Ausnahme ermöglichte, nicht nur für Campos, der versucht, auf Schrittmacherdaten zuzugreifen, sondern auch für das Hacking, an dem Watkins im SleepyHead-Projekt arbeitet. In diesem Jahr wurde die Ausnahme aktualisiert, und keiner der Hersteller von Medizinprodukten hat dies gestört. Keiner der CPAP-Hersteller stimmte einer Stellungnahme zur Situation für diesen Artikel zu.
* *
Nur weil das Hacken von CPAP-Maschinen für den Zugriff auf Daten jetzt legal ist, bedeutet dies nicht, dass Hersteller diese Aufgabe erleichtern werden. Laut Watkins kann das Hacken eines neuen Datenformats (und die meisten Hersteller haben eines) ohne Lecks Hunderte von Stunden dauern. Es verwendet den Hex-Editor
Synalize It! zur Analyse von Datenformaten und zum Reverse Engineering durch validierte Daten, die Watkins von seinen bekannten Insidern gesendet hat.
"Erfahrungsgemäß ist es nicht einfacher, Unterlagen von einem Hersteller zu erhalten, ohne eine Geheimhaltungsvereinbarung zu unterzeichnen, als Blut aus einem Stein zu holen", sagte Watkins. "Die meisten ignorieren meine E-Mails, einige ärgern sich sogar über meine Versuche."
CIPAP-Benutzer fordern Watkins regelmäßig auf, ihren Computer zu hacken, und es kam zu dem Punkt, dass Watkins die Entwicklung des Hauptprogramms einstellen musste, um die ganze Zeit damit zu verbringen, neue Geräte zu unterstützen. Obwohl er den größten Teil der Softwareentwicklung und des Hackens erledigt hat, helfen ihm andere Mitglieder der Community bei bestimmten Projekten, und manchmal gibt es gemeinsame Hacking-Versuche, wenn Benutzer zusammen besonders schwierige Datenformate verstehen.
"Die Oximeter von Contec waren sehr interessant zu brechen. Ich habe Protokoll 7 gehackt, die ganze Nacht danach gesessen, ein paar andere Hacker haben mir Abfangdaten von seriellen Schnittstellen gesendet und dabei geholfen, Protokolle mit Python-Code zu knacken und den Import von Daten in SleepyHead zu überprüfen", sagte er er ist.
Tausende von Entwicklungsstunden waren für Watkins nicht umsonst - laut ihm leidet er regelmäßig an Burnout-Symptomen, die Entwicklung von SleepyHead ist ruckartig und hängt von seiner eigenen Gesundheit und Beschäftigung ab (jetzt sucht er nach einer bezahlten Entwicklerarbeit).
"Ich habe nicht gearbeitet, weil ich ein Haushaltsvorstand war, ich saß mit meiner Tochter zusammen, und obwohl dies dem SleepyHead-Projekt und meiner Tochter zugute kam, hat es auf lange Sicht nicht dem Wohl meiner Familie zugute gekommen", sagte er. - In den letzten sieben Jahren wurde ich hauptsächlich von meiner Frau unterstützt, die mich geduldig behandelte und meine Arbeit an dem Projekt unterstützte. Jetzt hat sich mein Gesundheitszustand verbessert, meine Tochter ist erwachsen geworden und ich habe keine andere Wahl, als die Verantwortung zuerst der Familie zu übertragen und zu ihr zurückzukehren Arbeit. Und bis ich damit in den Rhythmus komme und einen Job finde, der Einkommen generiert und für meine Situation geeignet ist, muss ich die Entwicklung des Projekts vorübergehend verzögern. “
Er sagte, er wolle ein Open-Circuit-CPAP-Gerät ohne DRM entwickeln, das leicht zu reparieren sei.
"Ich freue mich sehr, dass meine Arbeit anderen hilft. Ich freue mich über unterstützende Worte, Spenden und Beispiele von Daten von ihnen, um den Wunsch zu verspüren, trotz langsamer Entwicklung zu warten. All dies hat mir geholfen, motiviert zu bleiben", sagte er. "Ich bin stolz auf meine Leistungen, obwohl ich dies ohne kommerzielle Unterstützung getan habe."
Wenn ein neuer Computer gehackt und zur Liste der unterstützten Computer hinzugefügt wird, wird dies in der Facebook-Gruppe und in den CPAPtalk- und Apnea Board-Foren vermerkt, was auch für Patienten von entscheidender Bedeutung ist: Die Benutzerbasis der Foren hilft neuen Patienten, die von SleepyHead bereitgestellten Daten zu verstehen. Es hilft Patienten auch bei der Entscheidung, welche Änderungen an ihrer Therapie vorgenommen werden sollen und wie ihre Maschinen eingestellt werden müssen (Menüs mit Änderungen der Einstellungen werden häufig ausgeblendet, und normalerweise sollten nur Ärzte Zugriff auf sie erhalten).
"Das Hauptziel des Apnoe Board ist es, die" Befähigung von Patienten "zu fördern, wenn der Patient aktiv an der Behandlung seiner Apnoe beteiligt ist", sagte SuperSleeper, der das Forum 2004 gründete. - Die Apnoe-Branche ist insgesamt überlastet und kann nicht den persönlichen Service bieten, den viele CPAP-Benutzer benötigen. "Sie organisieren hervorragend Veranstaltungen, für die Sie Geld verdienen können (Schlafforschung, Arztbesuch, Verkauf eines CPAP-Geräts und verwandter Produkte), haben jedoch nicht die Zeit und den finanziellen Anreiz, um Probleme und Probleme zu lösen, die bei CPAP-Benutzern während der Behandlung auftreten."
Das Apnoe Board ist zu einer Bastion von Informationen und autodidaktischen Apnoe-Experten geworden. Das Forum verfügt über einen privaten Bereich, in dem Benutzer Anweisungen für Ärzte herunterladen können. Sie zeichneten auf, wie das „klinische Menü“ aufgerufen wird, in dem sie die CPAP-Einstellungen gemäß den auf SleepyHead verfügbaren Informationen zu ihrer Therapie ändern können.
"Apnea Board verteilt frei klinische Anweisungen, veröffentlicht die" Geheimnisse "von CPAP-Geräten, damit unsere Benutzer lernen und, wenn sie möchten, die Kontrolle über ihre eigene Apnoe-Therapie in ihren eigenen Händen übernehmen können", sagte SuperSleeper. "Wenn Sie diese" Geheimnisse "kennen, reicht es aus, einfach das" klinische Menü "aufzurufen und die meisten CPAP-Geräte zu programmieren, obwohl die Hersteller diese Aufgabe für Patienten nach und nach komplizieren und einige Geräte ein wenig" gehackt "werden müssen.
Levine und Lynn sagen, dass SleepyHead und die Foren ihr Leben und ihre Therapien komplett verändert haben. "Nach der ersten Diagnose fühlen Sie sich einsam", sagte Levin. - Im Forum schreiben die Leute: Hey, das ist mir letzte Nacht passiert, und das habe ich getan. Was empfehlen Sie? "
Lynn sagte, als ihre Ärzte ihre Daten analysierten, betrachteten sie die Durchschnittswerte der letzten sechs Monate und nicht einzelne Nächte, was sich zum Schlechten von den anderen unterscheiden könnte: „Sie graben sich nicht in die Orte ein, an denen Ihre Probleme auftreten.
Und mit SleepyHead kann ich tägliche Zahlen sehen und Einstellungen anpassen “, sagte sie. - Ich habe den Druck auf das Ausatmen erhöht, um die Leistung zu verringern. Jetzt geht es mir viel besser als bei der ersten Diagnose. Ich habe mehr Energie, ich schlafe besser. "Einige Menschen mit Apnoe, mit denen ich gesprochen habe, sagen, dass es unbegründet ist, sich über die Gefahren einer selbstanpassenden Therapie Gedanken zu machen. Viele sind sich sicher, dass dies nur Horrorgeschichten von Ärzten und Geräteherstellern sind, und alle sagten, dass sie keine Änderungen vornehmen könnten, ohne vollständig zu verstehen, wie diese Maschinen funktionieren und was die Daten ihnen sagen.Lynn sagte, Selbstmedikation sei das einzige, was für sie funktioniere, und das sei die einzige Option, die sie noch habe. "Ich bin 62 Jahre alt, habe keine Krankenversicherung, weil ich es mir nicht leisten kann, und bin selbstständig", sagte sie. "Es wäre eine Katastrophe für mich, dieses Programm zu verlieren." Wenn ich aufhöre zu arbeiten, weiß ich nicht, was ich tun würde. "