Anche i pacemaker possono cadere vittima di hacker criminali

Anche i pacemaker possono cadere vittima di hacker criminali

Un'azienda farmaceutica statunitense deve aggiornare il firmware di quasi 500 mila pacemaker perché affetti da vulnerabilità che potrebbero consentire di prenderne il controllo da remoto

di Andrea Bai pubblicata il , alle 10:01 nel canale Sicurezza
 

Avete presente quando acquistate un nuovo gadget hi-tech o un videogioco e non vedete l'ora di provarlo: arrivate a casa e scartate freneticamente l'oggetto del vostro desiderio, accendete tutto quello che c'è da accendere e... tre ore di download per aggiornamenti e patch. Un bel fastidio, eh?

Provate a immaginare che grado di fastidio possono aver avvertito i quasi 500 mila statunitensi che sono stati raggiunti da un avviso per aggiornare il firmware del loro pacemaker, per non correre il rischio di restare vittime di possibili compromissioni con esito potenzialmente letale. I pacemaker sono infatti provvisti, di norma, di un piccolo accessorio che si connette con loro sfruttando le tecnologie a radiofrequenza, così che possano essere gestiti da remoto in maniera tale da non rendere necessari ulteriori interventi chirurgici per la manutenzione ordinaria dopo che sono stati impiantati nel torace.

Accade che Abbott Laboratories, società statunitense molto attiva nel settore sanitario, ha inviato una lettera aperta al personale medico negli USA avvertendo che alcuni dei loro pacemaker contengono falle critiche che potrebbero consentire a terze parti, nel raggio d'azione del dispositivo, di prendere il controllo del pacemaker durante la sua normale operatività. "Se un attacco dovesse andare a segno, un individuo potrebbe avere accesso al dispositivo impiantato ed impartirvi comandi, quindi modificare le impostazioni o il suo funzionamento" si legge nella lettera. Un avviso emesso dalla Food and Drug Administration USA afferma che sono 465 mila i dispositivi interessati dal problema negli Stati Uniti, ma non è possibile sapere quante possano essere le persone al di fuori degli USA che sono toccate dalla medesima vicenda.

Le prime informazioni sulla vulnerabilità dei pacemaker di Abbott Laboratories sono emerse lo scorso anno all'interno di un resoconto sponsorizzato da una banca di investimenti, Muddy Waters, che aveva in corso una posizione ribassista sulle azioni di St Jude, acquisita da Abbott Laboratories a gennaio. Nei giorni seguenti la rivelazione delle informazioni da parte di Muddy Waters, il prezzo delle azioni di St Jude è calato del 12%, e la società aveva allora emesso un comunicato bollando come "false e fuorvianti" le dichiarazioni di Muddy Waters.

Perché sia possibile effettuare l'operazione di aggiornamento, i pazienti dovranno recarsi presso una clinica dove il personale medico provvederà a mettere il dispositivo in modalità di backup durante l'aggiornamento del firmware. Abbott spiega che è consigliabile condurre l'operazione in una struttura provvista degli opportuni strumenti d'intervento nel caso in cui, rischio estremamente basso ma non escludibile, insorgesse un malfunzionamento durante l'aggiornamento del firmware.

Il problema della sicurezza dei dispositivi elettronici impiantabili per uso sanitario è tutto fuorché irrilevante. Molti pazienti, medici e anche esperti di sicurezza sottovalutano il rischio delle minacce poste da questo tipo di vulnerabilità, per lo più perché un attacco del genere per poter essere orchestrato deve avvenire a pochi metri dalla vittima, nel raggio d'azione delle comunicazioni radio del dispositivo. In realtà non è per niente remota l'ipotesi che le bande criminali tanto appassionate di colpi a suon di ransomware possano un domani iniziare ad interessarsi anche a questo tipo di dispositivi, ponendo minacce ben più infauste rispetto al rischio di una perdita di dati (per quanto sensibili).

Chiaramente non può funzionare l'approccio tradizionale di usare password o metodi di autenticazione confrontabili per assicurare che solamente le persone autorizzate possano prendere il controllo remoto del dispositivo. Nel caso, infatti, sopraggiunga un'emergenza medica il personale preposto all'intervento potrebbe avere la necessità di accedere prontamente al dispositivo. Se il paziente non è in grado di condividere le credenziali o non vi fosse la possibilità di contattare immediatamente il medico curante (o altre persone autorizzate ad accedere al dispositivo) si corre il rischio di ritardare interventi urgenti. Una possibile soluzione potrebbe essere quella di usare le firme fisiologiche uniche del paziente (legate per esempio all'impronta delle vene, o ad altri parametri) così da prevenire possibili attacchi da parte di hacker criminali.

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
aqua8402 Settembre 2017, 10:09 #1
non vedo la novità, mi pare che tutto ciò che è "informatico" sia a rischio attacco, anche un tostapane "smart"
Zetino7402 Settembre 2017, 10:25 #2
Per favore recatevi al più presto ad una clinica LIMB per l'update.
makka02 Settembre 2017, 10:43 #3
Se non ricordo male in un episodio della serie tv Homeland
c'era proprio un hackeraggio di pacemaker per uccidere una persona.
zappy02 Settembre 2017, 11:30 #4
nel caso serva una pass, piuttosto che impronte strane e difficili da decifrare, io la farei tatuare sul corpo del paziente, magari come codice a barre o anche direttamente in chiaro, magari sotto il piede o in qualche altro posto poco visibile ma prontamente accessibile x emergenze.
Scarfatio02 Settembre 2017, 11:40 #5
Se sbagliano l'aggiornamento che succede? C'è un dual bios eventualmente?
aqua8402 Settembre 2017, 11:42 #6
Originariamente inviato da: zappy
nel caso serva una pass, piuttosto che impronte strane e difficili da decifrare, io la farei tatuare sul corpo del paziente, magari come codice a barre o anche direttamente in chiaro, magari sotto il piede o in qualche altro posto poco visibile ma prontamente accessibile x emergenze.

così ad esempio
Link ad immagine (click per visualizzarla)
zappy02 Settembre 2017, 12:49 #7
Originariamente inviato da: aqua84
così ad esempio

un po' visibile... può essere sul petto dove c'è già il "bozzo" del pacemaker, o come detto sotto un piede.
zappy02 Settembre 2017, 12:51 #8
Originariamente inviato da: Scarfatio
Se sbagliano l'aggiornamento che succede? C'è un dual bios eventualmente?

infatti consigliano di farlo in strutture ospedaliere adeguate a "recuperarti" se l'agg. va male.
rug2202 Settembre 2017, 13:19 #9
solitamente gli upgrade riguardano il riconoscere o meno aritmie mortali, ma questo vale per quelli che sono anche defibrillatori.

Cioè, capita a volte che un eccessivo rallentamento o una particolare sequenza venga riconosciuta come pericolosa e al tizio venga data una scarica elettrica per far ripartire il cuore.

In quei casi il software viene aggiornato e quella particolare sequenza esclusa dagli interventi...
s-y02 Settembre 2017, 18:08 #10
esagero nel ritenere inaccettabile la cosa?
mica si parla di un pc, e che cacchio

spero almeno che il tutto sia a carico dell'azienda

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^