Marie Moe era un esperto di sicurezza che lavorava presso il Computer Emergency Response Team norvegese. Quattro anni fa le fu installato un pacemaker in seguito a un problema medico che le causava una aritmia cardiaca.
Da brava nerd, dopo poche settimane Marie ha inziato a diventare curiosa sul dispositivo che le avevano impiantato, soprattutto per il fatto che sia il progetto sia il software fossero proprietari e chiusi.
Per andare più a fondo possibile, ha chiesto aiuto a Eireann Leverett, dell'Università di Cambridge, che ha accettato di buon grado di condurre una serie di test sulle funzionalità del dispositivo, sui suoi protocolli di comunicazione e su come vengono protetti i dati in uscita.
La prima scoperta è stata che il pacemaker incorpora due sezioni radio, una NFC per lo scambio dati durante i controlli medici in ospedale e un'altra dedicata alle comunicazioni con una stazione esterna da tenere vicino al letto.
Questa stazione esterna trasmette i dati relativi al paziente e al pacemaker stesso a dei server remoti, solitamente posti in una cloud, che poi smistano i dati fino ai computer dei medici che ne fanno richiesta.
I canali di trasmissione sono i soliti: connessioni wi-fi, GSM/3G o addirittura SMS. Leverett, però, teme che le comunicazioni non vengano protette in maniera appropriata e solleva anche un problema relativo al posizionamento fisico dei dati, in quanto se vengono distribuiti su server stranieri potrebbero incorrere in violazioni della legge sulla privacy.
Privacy che sembra essere un problema sin da subito, anche se per altri motivi, molto più terra terra. Marie, infatti, decide di comprare da eBay una di queste stazioni per capire come funzionano e al suo arrivo subito scopre che conteneva i dati di un altro paziente.
Ovviamente, chi ha gestito la vendita non si è preoccupato di cancellare quanto contenuto, ma viene anche da chiedersi quanto sia facile farlo e perché non siano previsti sistemi che impediscano l'accesso non autorizzato.
"Lo scopo di questa ricerca" – puntualizza Leverett – "non è quello di puntare il dito contro il fatto che questi dispositivi si possono hackerare e che quindi possano esistere rischi per i pazienti, ma di far capire che gli hacker possono essere un grande aiuto nello sviluppo e nel controllo di queste soluzioni ad alto rischio".
Del resto, che i dispositivi medici connessi siano hackerabili non è una novità. A settembre, per fare un esempio, i ricercatori di sicurezza Scott Erven e Mark Collao hanno scovato una grande società americana specializzata in cure mediche che aveva esposte al rischio di hacking qualcosa come 68.000 dispositivi medici.
Questi andavano dalle macchine per la risonanza magnetica ai sistemi per le trasfusioni, passando per archivi di immagini mediche, pacemaker e via così.
Ma il problema è che cercando su Shodan, il motore di ricerca per i dispositivi connessi, i dispositivi vulnerabili sono molti di più.
Ecco, quindi, che ricorrere a hacker o a progetti open per gestire questi prodotti salvavita potrebbe essere una buona idea, soprattutto adesso che le loro competenze sono riconosciute a livello internazionale.
Alcuni ricercatori, tra i quali Hugo Campus che da anni traffica su di un defibrillatore per renderlo sempre più sicuro e Jay Radcliff che invece ha mostrato come le pompe di insulina in uso fino a qualche anno fa fossero controllabili da remoto anche da personale non addetto, sono riusciti a far approvare al governo degli USA una deroga in relazione all'orrendo DMCA che permette agli hacker di analizzare e sperimentare con dispositivi medici e automobili.
"Non è che io tema" – ha detto Marie Moe in un intervento pubblico tenuto durante il Chaos Communication Congress ad Amburgo – "di essere uccisa da remoto, ma ho paura dei bug."
Bug che non compaiono solo in ambito sicurezza, ovviamente, ma che potrebbero influenzare il comportamento dei dispositivi anche durante il loro normale utilizzo.
Marie ha avuto bisogno di far ritarare il proprio pacemaker a causa di un problema nella configurazione che le ha quasi causato un collasso mentre saliva le scale della metropolitana.
Avere una base di hacker in gamba che metta alla prova il software di gestione risolverebbe sicuramente molti problemi, anche se bisogna puntualizzare che molte delle falle di sicurezza sono in realtà dettate dalla volontà di non scontrarsi con problemi di ordine pratico negli ospedali.
Se ti arriva un paziente in emergenza e privo di conoscenza, i medici vorrebbero poter accedere ai dati contenuti nei suoi dispositivi anche senza conoscerne la password…