[ Update - 29/02/2012 ]
RSA 2012: Hacker Shows Off Lethal Attack By Controlling Wireless Medical Device
http://go.bloomberg.com/tech-blog/2012-02-29-hacker-shows-off-lethal-attack-by-controlling-wireless-medical-device/
[ Update - 26/02/2012 ]
Um excelente vídeo contendo a apresentação de Avi Rubin, diretor de segurança médica na Universidade Johns Hopkins foi publicada ontem no site do TED - nele são expostos várias avanços feitos pela Academia na área de segurança de dispositivos médicos.
http://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked.html
[ Update - 29/11/2011 ]
A utilização da tecnologia de comunicação moderna em variados dispositivos - também chamada de "A Internet das coisas" - é uma tendência crescente (hoje já temos mais de 20 bilhões de dispositivos diferentes de PCs comuns - que somam "apenas" 4 bilhões - se comunicando em rede - entre )
Informações sobre Vulnerabilidades e Ataques a dispositivos médicos são cada vez mais comuns, tanto na mídia especialiada quanto em papers.
Hoje pela manhã eu li um artigo interessante sobre o tema, entitulado "Killed by Code" publicado no blog do israelense Danny Lieberman.
No artigo, é publicada uma curta apresentação que trata do tema, incluindo o crescimento da utilização de dispositivos móveis na medicina, suas aplicações mais comuns (Data Tracking: Diabetes, Parkingson, Alzheimer, ../ Life Susteining: Doenças Cardíacas, Diabetes, Depressão, ..).
Um dos exemplos mais chocantes (literalmente) - diz respeito ao título do nosso post - é possível fazer a engenharia reversa dos comandos que são passados em texto claro e subverter o funcionamento de aparelhos médicos portáteis utilizados por doentes cardiológicos, para dar choques de 137 Volts no paciente - o que ocasionaria uma vibrilação ventricular que pode causar o óbito.. (ou simplesmenet desligar o aparelho forçando o consumo da bateria).
No artigo, ele apresenta uma empresa chamada Mocana, que se especializou em "Securing the Internet of Things" - incluindo soluções embedded de algorítimos, protocolos e serviços de criptografia como SSH, SSL, IPSec - por exemplo.
Dos 23 recalls deste tipo de aparelho feitos pela FDA que ocorreram no primeiro semestre de 2010, 6 foram causados por defeitos de software.
A apresentação prossegue com outros cenários e propõe um framework de modelagem de ameaças que auxilie os fabricantes e também o governo na missão de evitar que ataques deste tipo sejam utilizados para - por exemplo - matar alguém remotamente..
Leitura recomendada:
http://www.software.co.il/2011/11/killed-by-code/
[ Update - 14/06/2011 ]
Hoje o MIT e a UMass divulgaram novidades sobre o assunto
O paper inclui medidas de defesa para ataques passivos e ativos a implantes médicos wireless, incluindo Jamming por exemlo.
obrigado ao Alexandre Cezar/Anchises pelo tweet que retomou o assunto..
[ Update - 30/10/2009 ]
Pesquisadores suíços apresentaram uma alternativa segura de comunicação remota com marcapassos utilizando ultrassom: "Keeping Pacemakers Safe from Hackers" - http://www.technologyreview.in/computing/23923/
[ Post Original - 17/08/2008 ]
É cada vez mais difícil definir os limites da importância da correta utilização dos conceitos de segurança da informação na sociedade moderna.
Um paper publicado em março - envolvendo as disciplinas de segurança da informação, criptografia, cardiologia, processamento de sinais, comunicações por rádio, e design de antenas está trazendo a discussão sobre estes limites.
Kevin Fu e oito outros pesquisadores da University of Massachusetts estão trazendo gerando discussões em várias fontes de informação de segurança da informação (ex: 1,2,3,4,5) ao expor vulnerabilidades em alguns modelos de marcapassos modernos que permitem que o médico controle o marca passo instalado no coração de pacientes.
O problema é que não há qualquer tipo de autenticação para se comunicar de forma wireless com o marcapasso, e comandos perigosos que permitem ataques passivos e ativos ao ponto de permitirem que se mude a configuração e se desligue o aparelho remotamente - sem a entrada de nenhuma credencial de acesso.
É cada vez mais difícil definir os limites da importância da correta utilização dos conceitos de segurança da informação na sociedade moderna.
Um paper publicado em março - envolvendo as disciplinas de segurança da informação, criptografia, cardiologia, processamento de sinais, comunicações por rádio, e design de antenas está trazendo a discussão sobre estes limites.
Kevin Fu e oito outros pesquisadores da University of Massachusetts estão trazendo gerando discussões em várias fontes de informação de segurança da informação (ex: 1,2,3,4,5) ao expor vulnerabilidades em alguns modelos de marcapassos modernos que permitem que o médico controle o marca passo instalado no coração de pacientes.
O problema é que não há qualquer tipo de autenticação para se comunicar de forma wireless com o marcapasso, e comandos perigosos que permitem ataques passivos e ativos ao ponto de permitirem que se mude a configuração e se desligue o aparelho remotamente - sem a entrada de nenhuma credencial de acesso.