O fato de os fabricantes de vários tipos de dispositivos se concentrarem no design e na facilidade de uso, deixando os problemas de segurança da informação em excesso, foi escrito muitas vezes em Habré. Isso se aplica a ambas as empresas que produzem smartphones, gadgets de IoT, e também os desenvolvedores de gadgets médicos também não estão preocupados em proteger seus dispositivos contra interferências externas.
E estamos falando de dispositivos vitais, como marca-passos e desfibriladores (não os que são mostrados na série sobre médicos, outros). Estes são dispositivos em miniatura implantados no corpo humano para que, quando o coração estiver trabalhando com problemas, ele receba um sinal elétrico que permita "ativar" o modo normal de operação do músculo cardíaco.
Se algo acontecer com um dispositivo desse tipo, seu proprietário enfrentará problemas inevitáveis, até a morte. O pior de tudo é que os desfibriladores estão se tornando cada vez mais "inteligentes". Os da Medtronic também eram vulneráveis a interferências externas.
Para fazer a manutenção e verificar o funcionamento dos dispositivos, são usados dispositivos especializados. Nos hospitais, um modelo chamado CareLink Programmer é usado em casa - MyCareLink Monitor.
E tudo ficaria bem, mas, como mostraram os pesquisadores da Clever Security, o protocolo de comunicação usado por esses dispositivos não é seguro. Ao transmitir dados, a criptografia não é usada - nenhuma, as informações são transmitidas, de fato, de forma clara. Além disso, não há proteção contra conexões externas, que podem ser usadas por atacantes.
Assim, um cibercriminoso pode se conectar ao dispositivo e alterar o modo de operação ou atualizar completamente usando um software personalizado.
Os especialistas classificaram a gravidade do problema em 9,3 pontos em uma escala de 10 pontos. A situação é realmente muito difícil, pois é impossível mudar qualquer coisa no sentido de fortalecer a segurança da informação do dispositivo no modo online. E os atacantes podem muito bem usar o problema para seus próprios propósitos.
Até o momento, os pesquisadores realizaram apenas um ataque de prova de conceito, apenas para demonstrar os recursos mencionados no estudo. É verdade que isso requer acesso físico ao dispositivo de controle - MyCareLink ou CareLink. Se houver acesso, a ação mais inocente pode ser obter dados do usuário armazenados no dispositivo. Se desejar, você pode atualizar novamente o dispositivo, conforme mencionado acima.
Mas há outra possibilidade: os invasores, se tiverem a experiência adequada, podem criar um dispositivo personalizado que, estando dentro do alcance do desfibrilador, possa definir um modo de operação específico para qualquer dispositivo fabricado pela Medtronic.
Obviamente, os especialistas em segurança cibernética publicaram informações sobre o problema em domínio público depois de enviarem todo o necessário para os desenvolvedores de dispositivos médicos. Eles fortaleceram seus sistemas, tornando o acesso ao MyCareLink e CareLink mais difícil. Mas a conexão permaneceu desprotegida - não há criptografia e autenticação.
A propósito, os dois dispositivos de controle estão executando uma versão personalizada do Linux. As senhas que permitem acesso root a esses gadgets são armazenadas como um hash MD5, que pode ser descriptografado sem nenhuma dificuldade. Segundo os pesquisadores, a senha de 8 dígitos que dá acesso a esse sistema pode ser quebrada mesmo usando um laptop comum e a base de senhas / logins do serviço RockYou, compartilhada há 10 anos.
É verdade que, para que um ataque de invasores seja bem-sucedido, o desfibrilador deve estar no estado de ouvir o "rádio". Os gadgets entram nesse modo no momento em que os médicos realizam serviços especiais, bem como durante um teste de desfibrilador usando o Carelink.
Os problemas com dispositivos médicos não param por aí, porque apenas o problema inerente a um determinado tipo de dispositivo de um dos fabricantes é mostrado. Mas existem muitos implantes médicos "inteligentes" e ninguém pode garantir que outros aparelhos sejam mais seguros que os sistemas fabricados pela Medtronic.