18
de gener
del
2017
Actualitzat
a les
18:21h
L'Administració d'Alimentació i Drogues (FDA) del govern dels Estats Unitsha emès un comunicat on avisa que diversos dispositius relacionats amb implants cardíacs, com marcapassos, desfibril·ladors i aparells de resincronització, podrien ser manipulats a distància per criminals. Es tracta en concret dels aparells fabricats per la companyia St. Jude Medical, que ja ha creat un pegat de software que ho soluciona.
Una persona maliciosa podria assaltar el dispositiu que s'utilitza per comunicar-se, via ones, amb el marcapassos implantat en una persona, amb l'objectiu de deixar-lo sense bateria, enviar-li un "nombre inapropiat d'electroxocs" o alterar-ne els ritmes, segons denuncia la FDA, que aclareix que no se sap que ningú hagi patit un atac d'aquestes característiques. Ho confirma St. Jude Medical en el seu propi comunicat.
Com explica la FAD, "el transmissor Merlin@home, ubicat al domicili del pacient, utilitza un monitor domèstic que transmet i rep senyals de radiofreqüència per connectar-se sense fils al dispositiu cardíac implantat en el pacient i llegir les dades emmagatzemades en aquest dispositiu". El transmissor envia aquestes dades al metge via connexió Internet, wifi o 3G. El problema rau en el fet que s'utilitza un xifrat molt dèbil per protegir l'entrada a aquests aparells.
L'any passat diversos investigadors ja van avisar l'empresa que els seus dispositius eren insegurs. Però St. Jude Medical ho va negar públicament, va titllar les acusacions de "falses i enganyoses" i va denunciar els investigadors als tribunals, perquè s'havien aprofitat que les accions de St. Jude van baixar quan es va conèixer la notícia. Tot molt rocambolesc. Fins que, finalment, ha hagut d'intervenir l'administració.
L'única solució implica reprogramar no només els transmissors sinó també els dispositius que ja estan implantats que podrien ser un miler, segons alguns observadors. La reprogramació es farà de forma automàtica i només serà necessari que les persones usuàries d'aquests aparells els connectin a Internet.
Aquest cas ens remet al memorable hacker Barnaby Jack, el primer que el 2012 va avisar públicament i reiterada dels perills dels cada cop més dispositius mèdics connectats a Internet sense cap seguretat, com ara marcapassos que podien administrar un electroxoc mortal o dispensadors d'insulina que es podien manipular per dispensar dosis diferents de les prescrites pel metge. Barnaby Jack va morir el 2013 en estranyes circumstàncies, una setmana abans de donar una conferència on havia avisat que mostraria nous atacs que eren "un risc potencial per a la salut".
És curiós que llavors, quan la gran majoria no feia cas a Barnaby Jack, alguns personatges destacats ja se'l prenguessin seriosament. Com el vicepresident dels Estats Units, Dick Cheney, aquell any 2013. Va afirmar públicament que havia canviat la configuració del marcapassos que portava implantat perquè ningú el pogués manipular remotament. Cheney va explicar a la cadena CBS que tenia por que un grup terrorista intentés assassinar-lo d'aquesta forma.
Avui, mentre veiem com a Internet creixen els anomenats "crims d'odi", potser no caldria anar a buscar el grup terrorista com a assassí de la història. Potser, donada la nul·la seguretat en dispositius tan vitals, un cunyat que sabés una mica d'informàtica seria suficient per tenir el nostre marcapassos a les seves mans.
Una persona maliciosa podria assaltar el dispositiu que s'utilitza per comunicar-se, via ones, amb el marcapassos implantat en una persona, amb l'objectiu de deixar-lo sense bateria, enviar-li un "nombre inapropiat d'electroxocs" o alterar-ne els ritmes, segons denuncia la FDA, que aclareix que no se sap que ningú hagi patit un atac d'aquestes característiques. Ho confirma St. Jude Medical en el seu propi comunicat.
Com explica la FAD, "el transmissor Merlin@home, ubicat al domicili del pacient, utilitza un monitor domèstic que transmet i rep senyals de radiofreqüència per connectar-se sense fils al dispositiu cardíac implantat en el pacient i llegir les dades emmagatzemades en aquest dispositiu". El transmissor envia aquestes dades al metge via connexió Internet, wifi o 3G. El problema rau en el fet que s'utilitza un xifrat molt dèbil per protegir l'entrada a aquests aparells.
L'any passat diversos investigadors ja van avisar l'empresa que els seus dispositius eren insegurs. Però St. Jude Medical ho va negar públicament, va titllar les acusacions de "falses i enganyoses" i va denunciar els investigadors als tribunals, perquè s'havien aprofitat que les accions de St. Jude van baixar quan es va conèixer la notícia. Tot molt rocambolesc. Fins que, finalment, ha hagut d'intervenir l'administració.
L'única solució implica reprogramar no només els transmissors sinó també els dispositius que ja estan implantats que podrien ser un miler, segons alguns observadors. La reprogramació es farà de forma automàtica i només serà necessari que les persones usuàries d'aquests aparells els connectin a Internet.
Aquest cas ens remet al memorable hacker Barnaby Jack, el primer que el 2012 va avisar públicament i reiterada dels perills dels cada cop més dispositius mèdics connectats a Internet sense cap seguretat, com ara marcapassos que podien administrar un electroxoc mortal o dispensadors d'insulina que es podien manipular per dispensar dosis diferents de les prescrites pel metge. Barnaby Jack va morir el 2013 en estranyes circumstàncies, una setmana abans de donar una conferència on havia avisat que mostraria nous atacs que eren "un risc potencial per a la salut".
És curiós que llavors, quan la gran majoria no feia cas a Barnaby Jack, alguns personatges destacats ja se'l prenguessin seriosament. Com el vicepresident dels Estats Units, Dick Cheney, aquell any 2013. Va afirmar públicament que havia canviat la configuració del marcapassos que portava implantat perquè ningú el pogués manipular remotament. Cheney va explicar a la cadena CBS que tenia por que un grup terrorista intentés assassinar-lo d'aquesta forma.
Avui, mentre veiem com a Internet creixen els anomenats "crims d'odi", potser no caldria anar a buscar el grup terrorista com a assassí de la història. Potser, donada la nul·la seguretat en dispositius tan vitals, un cunyat que sabés una mica d'informàtica seria suficient per tenir el nostre marcapassos a les seves mans.