Um hacker australiano passou milhares de horas invadindo DRM instalado por fabricantes de equipamentos médicos em máquinas de CPAP para criar um programa gratuito que permite que os pacientes regulem o processo de tratamento
Christy Lynn estava constantemente cansada e, depois de muitos meses tentando diagnosticar o problema, um dos médicos decidiu que ela havia adivinhado qual era o problema.
"Não me encaixava em nenhuma das descrições dos sintomas da apneia", ela me disse por telefone. - Sou mulher, não tenho excesso de peso. Nunca ocorreu a ninguém me verificar, exceto por um médico com histórico médico semelhante ".
Lynn, que vive na zona rural do Arizona, realizou
oximetria de pulso em casa para medir os níveis de oxigênio no sangue e depois passou por um estudo do sono. Ela foi diagnosticada com
apneia , uma doença devido à qual os pacientes repentinamente param de respirar durante um tempo e que mais frequentemente persegue homens com sobrepeso. Ela recebeu uma máquina de CPAP (um dispositivo para ventilação artificial dos pulmões com pressão positiva constante) com uma máscara - esse dispositivo sopra ar na garganta respiratória para que as vias aéreas permaneçam abertas - e é enviado para casa.
No entanto, um ano e meio e três
sonologistas depois, seus sintomas não melhoraram. O índice de apneia-hipopneia (IAH), que descreve o número de paradas respiratórias em um sonho, estava em um nível "terrível".
"Nenhum médico foi capaz de diminuir meu IAH e, francamente, nenhum deles estava especialmente preocupado com isso", disse ela. Ela começou a pesquisar no Google por ajuda e se deparou com o fórum do
CPAPtalk.com . Nele, os usuários conversaram sobre o programa SleepyHead.
Esse programa gratuito,
aberto e definitivamente não endossado pelo FDA (Food and Drug Administration) dos
EUA foi o resultado de milhares de horas de hackers e desenvolvimento gastos pelo único desenvolvedor australiano Mark Watkins. Como resultado, ele ajudou milhares de pacientes com apneia a assumir o controle de seu próprio tratamento de médicos sobrecarregados e mal pagos. O software dá ao paciente acesso aos dados de suspensão gerados por sua máquina de CPAP, mas que geralmente se tornam inacessíveis, ocultos
por trás de formatos de dados proprietários que só podem ser lidos por um usuário autorizado (médico) usando um programa proprietário que os pacientes não podem baixar ou comprar . SleepyHead e fóruns com suporte da comunidade, como CPAPtalk.com e
ApneaBoard.com , ajudaram os pacientes a contornar os fabricantes de dispositivos médicos que preferem não ter esses programas.
"Não posso transmitir o quanto minha experiência no uso do CPAP mudou graças a este programa. É apenas dia e noite - disse Lynn. "Talvez eu só esteja vivo por causa dela."
A maioria das máquinas modernas de CPAP gera uma enorme quantidade de dados durante o uso. Eles rastreiam indicadores como pressão média do ar, IAH, número médio de usos por noite, taxa de vazamento de ar sob a máscara, "índice de restrição de fluxo" e outros dados que descrevem o funcionamento da máquina e a qualidade do sono do paciente. Geralmente, eles são salvos em um cartão SD, que o paciente leva ao médico a cada seis meses (alguns dispositivos modernos podem transferir dados sem fio para o aplicativo; mas os dados disponíveis para visualização no aplicativo, como os pacientes me disseram, raramente são tão detalhados quanto aqueles que o carro realmente coleta). Esses dados podem ser usados para alterar o processo de tratamento, aumentar ou diminuir os indicadores de pressão limite e outras configurações da máquina, o que pode melhorar o resultado.
Mas muitos médicos, como vários usuários do SleepyHead me disseram, examinam esses números de passagem e depois enviam os pacientes para casa. Vários
estudos da indústria descobriram uma escassez de somnologistas, o que significa que pouquíssimos médicos podem oferecer aos pacientes os cuidados especiais que muitos desejam. Um estudo de 2015 da Academia Americana de Medicina do Sono revelou "uma grave escassez de profissionais certificados em medicina do sono" e observou que "em algumas partes dos Estados Unidos, esta área da medicina é pouco suportada ou não é suportada".
Thomas Penzel, fisiologista do sono, supervisor de pesquisa da Sociedade Europeia de Pesquisa do Sono, me disse por e-mail que "ele acredita que qualquer paciente inteligente pode fazer o que quer".
“O paciente pode ajustar a pressão se entender o que está fazendo. Alguns de nossos pacientes ajustaram a pressão por conta própria ”, acrescentou. "Se algo der errado, eles podem morrer na cama." Esse é o risco pessoal deles. O CPAP não é um brinquedo, mas uma ferramenta médica. ”
Ele concordou que a maioria dos pacientes com apneia em todo o mundo recebe atendimento insuficiente. "Os médicos não os ouvem e não têm tempo - e assim por diante em todo o mundo".
“O médico pede para você trazer um chip ou cartão, lê, mas não lê para o diagnóstico. Ele lê para seguir as regras da companhia de seguros para garantir o uso do carro ”, disse Steve Levin, um usuário do SleepyHead da Califórnia. "Todo mundo está tentando aceitá-lo, mandá-lo e lucrar às suas custas."
Algumas máquinas de CPAP permitem que os pacientes vejam dados fragmentados na tela, mas poucas oferecem aos pacientes acesso real a todos os dados que coletam. Um fabricante popular de CPAP, a ResMed, lança o software de análise de dados ResScan, que, devido a
requisitos legais, só pode ser obtido se você for um profissional médico ou "por ordem de um médico".
Essa abordagem proibitiva para o tratamento dos dados de apneia e CPAP levou ao surgimento de toda uma direção do CPAP autodestrutivo e da alteração das configurações.
A maior parte das discussões nos fóruns CPAPtalk.com e ApneaBoard.com, a última das quais com aproximadamente 71.000 usuários registrados, gira em torno do SleepyHead, que decodifica os dados criados pelas máquinas CPAP e permite que pacientes comuns os usem. O software literalmente descriptografa os dados: o Watkins com grande dificuldade decifrou os formatos de dados proprietários para cada máquina CPAP individual que o software agora suporta. Esses formatos devem ser lidos somente pelos próprios programas dos fabricantes.
"Todas as máquinas possuem verificações integradas com assinaturas e somas de verificação de formatos de dados, algumas são mais difíceis, outras são mais simples", disse-me Watkins. - Hackear o formato do arquivo é um processo complexo que requer dados para comparação, como resultado da necessidade de alterar as configurações no menu da máquina ou trabalhar em relatórios em PDF criados por programas comerciais baseados em conjuntos de dados conhecidos que primeiro devem ser solicitados e coletados de pessoas que têm acesso a máquina e software ".
Watkins começou a trabalhar no projeto SleepyHead sete anos atrás, quando se interessou pelos "segredos proibidos" do cartão SD de sua própria máquina. Desde então, o SleepyHead se tornou vital para a comunidade de apneia.
"Com o tempo, fiquei cada vez mais enojado com o modo como o setor de CPAP usa e abusa dos problemas das pessoas, e a necessidade de uma ferramenta gratuita de análise de CPAP que se concentre nos dados e suporte a todos os formatos se tornou aparente".
*
As medidas técnicas de proteção de direitos autorais usadas para restringir o acesso aos dados para os usuários do dispositivo são comuns em uma ampla variedade de setores. O problema que os usuários do CIPAP enfrentam é semelhante aos problemas dos
agricultores que precisam reparar os tratores John Deere, os problemas dos proprietários de
máquinas de café
Keurig que fabricam café apenas a partir de cápsulas autorizadas e os problemas de
especialistas independentes em reparos eletrônicos, cada vez mais prejudicados no reparo de
iPhones e
Macbooks. , servidores, condicionadores de ar,
aspiradores de pó e dispositivos conectados à Internet das coisas.
Os usuários do CPAP, em particular o Watkins, fazem parte de um novo movimento de pacientes que tentam recuperar o controle de seus dados. Hugo Campos, um ativista,
conversou com o TEDx em 2011 sobre seu direito de acessar os dados gerados pelo marcapasso, e o
Nightscout lançou um aplicativo de quebra de DRM que impedia os pacientes de monitorar remotamente os medidores de glicose no sangue de seus filhos.
Os fabricantes de dispositivos médicos geralmente ficam descontentes com o movimento nascente, mas o que Watkins faz pelo projeto SleepyHead não viola a lei.
Em 2015, a Coalizão de Pesquisadores de Dispositivos Médicos, liderada por Campos,
solicitou à Biblioteca do Congresso e ao Escritório de Direitos Autorais dos EUA que exigissem uma exceção
à Lei de Direitos Autorais da Era Digital (DMCA), a lei de direitos autorais mais importante dos EUA que permitiria aos pacientes decifrar legalmente seus dispositivos médicos para pesquisa de segurança e obter acesso aos dados que eles criam.
A indústria médica argumentou que “os pacientes que acessam diretamente os dados de seus dispositivos podem não entender o formato dos dados ou interpretá-los incorretamente. Os direitos de acesso aos dados devem ser garantidos por prestadores de serviços de saúde. ”
Campos "rastreou seus dados de marca-passo com o Google Spreadsheet - não é a melhor opção para o paciente", disse Andrew Sellars, advogado do Berkman Center for Internet and Community em Harvard, representando os direitos de Campos. - O marcapasso transmite dados para a estação base. Ele inventou para interceptar esse sinal para descobrir o que seu coração estava fazendo.
Os fabricantes de dispositivos médicos lutaram ferozmente contra a petição de Campos e Sellars: "Os fabricantes de dispositivos médicos adotaram a seguinte posição: os dados estão em um formato protegido por direitos autorais que se enquadra no DMCA", acrescentou Sellars, agora diretor da Clínica de Jurisprudência Cibernética e Tecnológica.
A organização comercial AdvaMed, fazendo lobby pelos interesses da indústria médica, lançou uma
petição bloqueando a solicitação de Kampos, afirmando que “os pacientes que têm acesso direto aos dados em seus dispositivos podem não entender o formato dos dados ou interpretá-los incorretamente. "Os direitos de acesso aos dados devem ser garantidos (e já garantidos) por pessoal médico que possua as ferramentas apropriadas, treinado para coletar e proteger dados do paciente que não violem a segurança e a operação a longo prazo de seus dispositivos".
A organização também argumentou que uma exceção que legalizaria o acesso dos pacientes aos dados representaria riscos à saúde e à privacidade dos pacientes e poderia "acelerar o processo de descarga da bateria".
A Medical Alley Association , outro fabricante de dispositivos médicos, argumentou que "se você aceitar essa exceção, ela interromperá diretamente a interação de médicos e pacientes, levando os pacientes a tomar decisões sem o apoio de seu médico".
Enquanto isso, o FDA
informou ao U.S. Copyright Bureau que qualquer dispositivo modificado pelo usuário não poderia ser anunciado ou revendido sem a aprovação do FDA e que, se um paciente fosse ferido devido à máquina trocada, seria difícil para a agência determinar se o fabricante era ou não culpado. quem modificou o software. Mas, no final, o FDA não tentou interferir com a adoção da exceção: "O FDA recomenda que a conclusão final afirme que nada nele afetará a regulamentação do produto na jurisdição de outras agências federais".
A grande vitória do consumidor foi que a Biblioteca do Congresso
permitiu que essa exceção fosse legalizada, não apenas por Campos tentando acessar dados do marcapasso, mas também pelos hackers em que Watkins está trabalhando no projeto SleepyHead. Este ano, a exceção foi atualizada e nenhum dos fabricantes de dispositivos médicos não interferiu nisso. Nenhum dos fabricantes de CPAP concordou em comentar a situação deste artigo.
*
Mas apenas porque invadir máquinas de CPAP para acessar dados é legal agora não significa que os fabricantes facilitem essa tarefa. Watkins diz que, sem vazamentos, invadir um novo formato de dados (e a maioria dos fabricantes possui um) pode levar centenas de horas. Ele usa o editor hexadecimal
Synalize It! para analisar formatos de dados e engenharia reversa por meio de dados validados enviados a Watkins por seus membros familiares.
"Por experiência, obter documentação de um fabricante sem assinar um contrato de confidencialidade não é mais fácil do que obter sangue de uma pedra", disse Watkins. "A maioria ignora meus e-mails, alguns até se ressentem de minhas tentativas."
Os usuários do CIPAP pedem regularmente ao Watkins para invadir sua máquina, e chegou ao ponto em que o Watkins teve que parar de desenvolver o programa principal para gastar todo o tempo suportando novos dispositivos. Embora ele tenha feito a maior parte do trabalho de desenvolvimento de software e hackers, outros membros da comunidade o ajudam em determinados projetos, e às vezes há tentativas conjuntas de hackers, quando os usuários juntos entendem formatos de dados particularmente difíceis.
"Os oxímetros da Contec foram muito interessantes para quebrar, eu fiz hackers no Protocolo 7, sentado depois dele a noite toda, outros dois hackers me enviaram dados de interceptação de portas seriais, ajudando a quebrar protocolos usando código python, verificando a importação de dados para o SleepyHead", disse ele é
Milhares de horas de desenvolvimento não foram em vão para Watkins - segundo ele, ele sofre periodicamente de sintomas de esgotamento, o desenvolvimento do SleepyHead é instável e depende de sua própria saúde e emprego (agora ele está procurando um trabalho de desenvolvedor pago).
"Não trabalhei porque era chefe de família, sentei-me com minha filha e, embora isso tenha beneficiado o projeto SleepyHead e minha filha, a longo prazo, não beneficiou o bem-estar da minha família", disse ele. - Nos últimos sete anos, fui apoiada principalmente por minha esposa, que pacientemente me tratou e apoiou meu trabalho no projeto, mas agora minha saúde melhorou e minha filha cresceu - e não me resta mais nada além de colocar a responsabilidade na família primeiro e retornar a trabalho E até que eu entre no ritmo e encontre um emprego que gere renda e seja adequado à minha situação, terei que atrasar temporariamente o desenvolvimento do projeto. ”
Ele disse que queria criar uma máquina de CPAP de circuito aberto, livre de DRM, que fosse fácil de reparar.
"Estou muito satisfeito por meu trabalho ajudar outras pessoas, por receber palavras de apoio, doações, exemplos de dados deles, por sentir o desejo de esperar, apesar do desenvolvimento lento - tudo isso me ajudou a permanecer motivado", disse ele. "Estou orgulhoso de minhas realizações, apesar de ter feito isso sem apoio comercial."
Quando uma nova máquina é hackeada e adicionada à lista de suportadas, isso é observado no grupo do Facebook e nos fóruns do CPAPtalk e Apnea Board, o que também é extremamente importante para os pacientes: a base de usuários dos fóruns ajuda os novos pacientes a entender os dados que o SleepyHead fornece. Também ajuda os pacientes a decidir quais alterações devem ser feitas na terapia e como seus aparelhos precisam ser ajustados (menus com alterações nas configurações geralmente ficam ocultos e somente os médicos devem ter acesso a elas).
“O principal objetivo do Conselho de Apneia é promover“ capacitar os pacientes ”quando o paciente está envolvido ativamente no tratamento de sua apneia”, disse-me SuperSleeper, que fundou o fórum em 2004. - O setor de apneia como um todo está sobrecarregado e não pode fornecer o serviço pessoal que muitos usuários de CPAP exigem. "Eles fazem um excelente trabalho de organização de eventos para os quais você pode obter dinheiro (pesquisa do sono, visita a um médico, venda de uma máquina de CPAP e produtos relacionados), mas eles não têm tempo e incentivo financeiro para ajudar a resolver problemas e problemas que surgem com os usuários de CPAP durante o tratamento".
O Conselho de Apneia tornou-se um bastião de informações e especialistas em apneia autodidata. O fórum tem uma seção privada onde os usuários podem baixar instruções destinadas a médicos. Eles registraram como entrar no “menu clínico”, no qual podem alterar as configurações de CPAP de acordo com as informações sobre a terapia disponíveis no SleepyHead.
“O Conselho de apneia distribui livremente instruções clínicas, publica os“ segredos ”das máquinas de CPAP para que nossos usuários possam aprender e, se desejarem, assumir o controle de sua própria terapia de apneia em suas mãos, disse-me SuperSleeper. "Conhecendo esses" segredos ", basta entrar no" menu clínico "e programar a maioria das máquinas de CPAP, embora os fabricantes estejam gradualmente complicando essa tarefa para os pacientes, e algumas máquinas precisarão ser um pouco" hackeadas ".
Levine e Lynn dizem que SleepyHead e os fóruns mudaram completamente suas vidas e terapias. "Depois de fazer o primeiro diagnóstico, você se sente sozinho", disse Levin. - No fórum, as pessoas escrevem: Ei, foi o que aconteceu comigo ontem à noite e foi o que eu fiz. O que você recomenda?
Lynn disse que, quando seus médicos analisaram seus dados, eles analisaram a média nos últimos seis meses, e não em noites únicas, o que pode diferir do resto para pior: “Eles não investigam os lugares onde seus problemas ocorrem.
E com o SleepyHead, posso ver os números diários e ajustar as configurações ”, disse ela. - Aumentei a pressão na expiração para reduzir o desempenho. Agora me sinto muito melhor do que durante o primeiro diagnóstico. Eu tenho mais energia, durmo melhor. "Várias pessoas com apneia com quem conversei dizem que a preocupação com as ameaças associadas ao autoajuste da terapia é infundada; muitos têm certeza de que são apenas histórias de horror de médicos e fabricantes de dispositivos, e todos disseram que não poderiam fazer alterações sem entender completamente como essas máquinas funcionam e o que os dados lhes dizem.Lynn disse que a automedicação era a única coisa que funcionava para ela, e essa era a única opção que lhe restava. "Tenho 62 anos, não tenho seguro de saúde, porque não posso pagar e sou autônoma", disse ela. "Seria um desastre para mim perder este programa." Se eu parar de trabalhar, não sei o que faria. "