Barnaby Jack, vooral bekend omdat hij pinautomaten kon hacken, is vrijdag op 36-jarige leeftijd overleden. Tot nu toe is de doodsoorzaak nog niet bekend, maar de politie acht een misdrijf uitgesloten. Barnaby zou volgende week op een hackerscongres in Las Vegas zijn methode om medische implantaten te hacken uit de doeken doen. Een maand geleden, op 25 juni, spraken we met Barnaby over de telefoon.

Het idee dat je pacemaker op afstand gehackt kan worden om het met 830 volt te doen exploderen, klinkt op zich wel als iets waardoor je zou kunnen gaan twijfelen als je overweegt er een te laten zetten. Het klinkt misschien als iets uit een Jason Statham-film waarin hij een bad guy met de afstandsbediening voor zijn hart (zo klinkt het nog vrij romantisch eigenlijk) moet verslaan door zo hard mogelijk te rennen, schieten, springen en kijken alsof hij zwaar teleurgesteld in je is. Maar het is écht.

Eerder deze maand verstuurde de Amerikaanse Food and Drug Administration een waarschuwing aan fabrikanten van medische technologie over mogelijke beveiligingslekken in de computersystemen van hun apparaten. Deze gaten in de beveiliging zou het mogelijk kunnen maken om levensreddende hart- en nierapparatuur te hacken en de patiënt van een afstand te doden. Wat op zich niet de meest aangename gedachte is als je hart of nieren al zo slecht functioneren dat je er apparatuur voor nodig hebt om ze aan de gang te houden.

Barnaby Jack ontwikkelde software die hem in staat stelde op afstand een electrische schok toe te dienen aan iedereen met een pacemaker binnen een straal van 15 meter. Ook maakte hij een systeem dat op zoek gaat naar automatische insulinepompen binnen 100 meter, waarmee hij mensen met suikerziekte meer of minder insuline kon toedienen, waardoor ze in shock kunnen raken.

Natuurlijk is het niet heel waarschijnlijk dat dit soort dingen daadwerkelijk gaat gebeuren tenzij er een wel heel speciaal type klootzak besluit om hacker supervillain te worden. Maar voor de zekerheid besloot ik, om mijn gemoed een beetje te kalmeren, Barnaby Jack op te bellen met een paar vragen.

Een röntgenfoto van een pacemaker in iemands lichaam. (foto via)

VICE: Hoi Barnaby. Waarom wilde je de pacemaker hacken?
Barnaby Jack: Ik was geïntrigeerd door het feit dat deze levensreddende apparatuur draadloos communiceert. Daarom wilde ik zien of deze communicatie in pacemakers en implanteerbare defibrillators wel veilig was, en of het mogelijk was om deze van een afstand te bedienen.

En dat bleek zo te zijn?
Ja, met de software die ik ontwikkeld heb is het mogelijk om de apparaten uit te zetten of in het geheugen ervan te rommelen, of zelfs een 830 volt schok toe te dienen met een defibrillator. Ik wilde vooral bewustzijn kweken [raise awareness] voor de problemen die ik vond en hopelijk de fabrikanten overtuigen om veiligere ontwerpen te fabriceren.

Is het moeilijk om in deze apparaten in te breken?
Het vereist wel gespecialiseerde vaardigheden, maar doordat steeds meer onderzoek zich richt op in het lichaam geïntegreerde apparatuur wordt deze skill set minder zeldzaam. Het kostte mij ongeveer zes maanden, om de programmatuur uit te vogelen, de fouten erin te vinden en software te schrijven om de zwakke plekken uit te buiten.

Als bijvoorbeeld iemand van de regering een pacemaker heeft, zou die dan kwetsbaar zijn voor een aanslag door hackers? Of gebruiken die beter beveiligde apparaten?
Ik voel me niet echt aangewezen om daarover te speculeren, maar voor zover ik weet is er geen speciale apparatuur voor mensen in officiële posities.

Barnaby Jack. (Foto via Barnaby Jack)

Okay. Waren er nog andere medische apparaten die je hebt gekraakt?
Ja, we hebben ook nog naar insulinepompen gekeken, en we vonden een ernstig veiligheidsrisico in het meest populaire model.

Wordt daar iets aan gedaan?
We hebben de fabrikant van het gebrek op de hoogte gesteld en het zal bij het volgende model verholpen worden. Wat de implantaten betreft proberen we de fabrikanten actief te bewegen om over oplossingen te denken en discussiëren.

Denk je dat het in de toekomst mogelijk zal zijn om ook dingen als bionische armen en benen te hacken?
Als zulke apparaten toegang van buitenaf toestaan is er altijd een mogelijkheid van misbruik.

Waarom zijn deze apparaten dan zo ontwikkeld dat er van afstand toegankelijke achterdeuren in zitten?
Er zit een vrij logische redenering achter het hebben van een noodmethode om zo’n apparaat te kunnen programmeren. Als dat niet kon, zou je iedere keer als er iets in het apparaat veranderd moest worden, de patient weer open snijden. Dus met het principe van draadloze toegankelijkheid is niets mis; het gaat ons vooral om de afstand waarop dit kan gebeuren.

Ik heb gehoord dat veel ziekenhuizen ouderwetse software gebruiken die mogelijk vol met malware zit. Is dat een mogelijk gezondheidsrisico?
Ja, veel ziekenhuizen gebruiken verlopen software, en het is bekend dat er veel malware rondzwerft op ziekenhuisnetwerken. Ik denk dat er wel een risico is, zeker als de malware belangrijke apparaten beïnvloedt.

Dank je, Barnaby.