Barnaby Jack può far esplodere il vostro pacemaker

Radiografia di un portatore di pacemaker. (Foto via)

Il fatto di avere il cuore controllato a distanza e pronto a esplodere con una potenza di 830 volt potrebbe essere considerato un valido “contro” nel decidere di farsi mettere il pacemaker. Certo, sembra una cosa che potrebbe succedere solo in un film di Jason Statham su un serial killer che nutre un odio ingiustificato per chi soffre di aritmie cardiache. E invece no.

Questo mese, la FDA [Food and Drug Administration] ha inviato una circolare ai produttori di apparecchiature mediche per metterli in guardia sulla scarsa sicurezza dei sistemi computerizzati dei loro prodotti. Le falle nel sistema potrebbero permettere agli hacker di penetrare nei dispositivi medici che fanno funzionare cuore e reni. Il che è, credo, l’ultima cosa che vorreste quando avete già cuore e reni malmessi e siete costretti a ricorrere a una tecnologia specialistica per farli funzionare.

Barnaby Jack, direttore di IOActive, una società di sicurezza informatica specializzata in questo tipo di dispositivi, ha sviluppato un software che permette di colpire con una scossa elettrica chiunque abbia un pacemaker in un raggio di 15 metri. Ha anche trovato un sistema che si connette a una qualsiasi pompa di insulina nel raggio di 90 metri. Il software permette di accedere alla programmazione del microinfusore senza bisogno del numero identificativo e di modificare la quantità di insulina rilasciata, facendo andare il paziente in shock ipoglicemico.

Un’altra cosa abbastanza preoccupante è il software utilizzato nelle apparecchiature mediche. Apparecchi medici fondamentali per il controllo della pressione sanguigna e del cuore utilizzano vecchi software incredibilmente vulnerabili ai malware. Il che significa che chiunque sia in grado di craccare il sistema, può falsare i valori indicati dalle apparecchiature e spingere i medici a somministrare cure non necessarie.

Ovviamente, non succederà nulla di tutto questo, a meno che qualche cazzone decida che vuole violare i sistemi di apparecchiature mediche specialistiche. Ma, in ogni caso, ho pensato di fare una chiamata a Barnaby per tranquillizzarmi.

Barnaby Jack. (Foto per gentile concessione di Barnaby Jack)

VICE: Ciao Barnaby. Perché hai deciso di craccare il sistema dei pacemaker?
Barnaby Jack: Mi ha affascinato il fatto che questi apparecchi comunichino wireless. Ho deciso di concentrarmi sui pacemaker e sui defibrillatori cardiaci impiantabili, per vedere se le comunicazioni sono sicure e se è possibile controllarli dall’esterno.

È possibile?
Sì, il software consente di spegnere il pacemaker e i defibrillatori, di leggere e scrivere nella memoria dell’apparecchio e, nel caso dei defibrillatori, permette di dare una scarica ad alta tensione, fino a 830 volt. Volevo esaminare questi apparecchi per portare agli occhi di tutti il problema e renderne consapevoli le aziende, perché studino un prodotto più sicuro.

È difficile craccare questi apparecchi?
Servono competenze specifiche, ma queste competenze stanno diventando sempre più comuni, dato che sempre più ricercatori  lavorano su questo tipo di macchinari. Mi ci sono voluti circa sei mesi per finire il processo di ingegneria inversa e trovare le falle nel sistema. Sfruttando queste falle, ho sviluppato il software.

Poniamo che un’alta carica governativa abbia il pacemaker. Corre il rischio di essere assassinato dagli hacker, come in quell’episodio di Homeland? Oppure si usano dei congegni con maggiori difese, per quei casi?
Non vorrei azzardare, ma per quanto ne so, non ci sono differenze tra gli apparecchi usati dai politici e quelli usati dalla gente comune.

Ok. Hai preso in considerazione altri apparecchi per sviluppare il sistema?
Sì, abbiamo analizzato delle pompe per insulina e abbiamo trovato un’evidente vulnerabilità nel modello più diffuso.

È stato fatto qualcosa a riguardo?
Abbiamo fatto presente il potenziale problema ai produttori, i quali provvederanno a risolverlo con la prossima revisione. Come abbiamo fatto con i pacemaker, contattiamo direttamente i produttori per discutere le possibili soluzioni.

Pensi che, in futuro, sarà possibile violare e interferire con il funzionamento di arti bionici?
Se sono apparecchi con un controllo remoto, c’è sempre la possibilità di qualche abuso.

Perché nel progettare questi apparecchi si lasciano degli "spazi" da cui poi gli hacker possono entrare per manomettere il prodotto?
C’è un valido motivo per cui si lascia la possibilità di accedere ai congegni e interrogarli. Dopotutto, questi apparecchi sono impiantati nel corpo, e dimenticarsi le credenziali comporterebbe il dover operare il paziente [è per questo che sono accessibili anche in remoto, in modo che i medici non debbano intervenire chirurgicamente]. La nostra preoccupazione principale è la distanza da cui questi apparecchi possono essere violati e riprogrammati.

Ho sentito che molti ospedali usano software obsoleti, potenzialmente pieni di malware. È un rischio per la salute dei pazienti?
Sì, molti ospedali usano software non aggiornati e i malware invadono spesso le reti ospedaliere. Gli ospedali non aggiornano le loro reti informatiche perché hanno paura di finire impantanati in restrizioni governative. Credo ci siano forti rischi per i pazienti, specialmente se qualche malware infetta dei macchinari delicati.

Hacker a cui non interessa del vostro cuore: 

Questi hacker se ne fottono dei vostri sentimenti