Rumore di Fondo

Share this post

Rumore di Fondo
Rumore di Fondo
Quanto vale la tua vita?
Copy link
Facebook
Email
Notes
More

Quanto vale la tua vita?

Rumore di Fondo - E02S01

Claudia aka signorina37
Nov 13, 2022
3

Share this post

Rumore di Fondo
Rumore di Fondo
Quanto vale la tua vita?
Copy link
Facebook
Email
Notes
More
Share

Rumore di Fondo E02S01 - Quanto vale la tua vita?
🗓️ Novembre, il mese della brina
🎬 Alien (la saga completa)
#becyberbesafe #digitalcommodity #security #privacy #medhack

//.intro
"Rumore di Fondo" è una pubblicazione altamente aperiodica, indipendente e senza alcuno scopo di lucro

//.signorina37
sono una digital strategist, retrogamer, programmatrice, cucino e parlo giapponese, ho scritto libri, ho visto cose, frequento gente discutibile

E02S01:

  • quanto vale la tua vita?

  • la #retroplaylist di novembre

  • changelog

❌ QUANTO VALE LA TUA VITA?

"tutto è hackabile"

Si legge ogni giorno della telecamera di sorveglianza usata per un DDoS1, di un satellite in disuso hackato per trasmettere film sugli hacker (ok, questo si legge meno spesso ultimamente), di quell'Internet of Things che senza un minimo di accortezza diventa un inferno.

Diventa un inferno soprattutto per chi ha dei dispositivi medici dai quali dipende la salute: saturimetri, auricolari, monitor cardiaci, glucometri, pompe di insulina. Impossibile? Nulla è impossibile.

Avanzamento tecnologico

Se il microbiologo Alexander Fleming avesse avuto la mania dell'ordine di Marie Kondo o fosse stato distratto come lo Smemorato di Collegno, oggi non avremmo la penicillina2. Un piccolo passo per una muffa ma un grande passo per la comunità scientifica - sebbene nei primi anni del novecento non ci fosse una pletora di malattie da poter curare con la penicillina.

Da quel giorno del 1928 la scienza medica ha fatto progressi, non solo con le muffe. E la collaborazione stretta tra medici e altre figure professionali è stata alla base della moderna medicina: architetti e progettisti, meccanici ma anche astrofisici e biologi marini. Tutto ha contribuito ad avere, oggi, protesi e ausili strabilianti, esoscheletri che permettono a persone con deficit motori di poter camminare, impianti cocleari e, diamine, ce ne sono tanti e tutti favolosi!

Talmente favolosi che spesso sono governabili da remoto, collegati via bluetooth o via Wi-Fi. Perché a volte serve poter controllare il proprio dispositivo medico impiantato (IMD), proprio come si controlla la batteria di un orologio.

questo per darvi un’idea di come si strutturano le pompe di insulina

Il problema

Tutto bellissimo, ma il problema esiste.

Il problema è che se ho un dispositivo dal quale dipende, more or less, la mia salute e lo posso controllare dal telefonino esattamente come la caldaia di casa, chi mi assicura che non ci sia qualcuno che lo possa hackare e farmi del male?

Diciamocelo, non siamo una società gentile e altruista, sarebbe utopico anche il solo pensarlo, e se la lavatrice già chiede un ransomware per finire di lavare la tutina con la quale andiamo in palestra a misurare con l'AppleWatch quante calorie bruciamo, perché la mia pompa di insulina non dovrebbe fare lo stesso?

Perché hackare un IMD?

Le risposte sono diverse: dalla semplice vanagloria del "ho hackato un frigorifero e un pacemaker" alla dimostrazione che serve più sicurezza, passando per la curiosità e il mettersi alla prova.

Lungi da me criticare, ma voglio sottolineare che le comodità digitali, ancora una volta, hanno un prezzo. In ambito medico il prezzo aumenta esponenzialmente, fino a diventare irrisorio rispetto al valore della vita stessa.

Ora, snoccioliamo due fatti: nel 2018 Jonathan Butts e Billy Rios (entrambi ricercatori alla QED Security Solutions) hanno scoperto una vulnerabilità nelle pompe di insulina prodotte da Medtronic (nei device MiniMed 508 e MiniMed Paradigm) tale da mettere in serio pericolo la vita dei pazienti. Era infatti possibile hackare le pompe da remoto e inserire valori di erogazione del bolo (la dose) potenzialmente letali.

Come?
Le Medtronic MiniMed hanno un pad con bottoni di selezione per aumentare o diminuire la dose di insulina. Hanno anche un telecomando a radio frequenza che permette, in caso di emergenza, di erogare una dose da un assistente sanitario o da un familiare se la persona non fosse in grado di farlo da sola. Da una breve distanza.

Sapete bene come funzionano i telecomandi, no? I jammer pure, vero?
Ecco, i telecomandi di Medtronic non disponevano di criptazione per le comunicazioni e nemmeno di un’autenticazione del dispositivo. Una volta iniziato l'handshake, trovato il numero di serie3 e fatto riconoscere al device un input valido siamo in grado di fare un bruteforce su ogni pompa di insulina Medtronic e diventare padroni della vita di una persona.

Dopo un accurato report di Butts&Rios, la Medtronic ha fatto quello che nessuna azienda dovrebbe mai fare: non prendere provvedimenti, non fare uno statement pubblico, non cercare una soluzione - e qui io avrei già regalato il santino di Matteo Flora!

Medtronic ha cincischiato abbastanza a lungo da permettere a Butts&Rios di creare un'app Android che poteva uccidere i portatori di pompe di insulina da remoto. Solo per dimostrare che le vulnerabilità devono essere prese in seria considerazione e fixate prima di subito.

Successivamente anche FDA (Food and Drug Administration) ha preso posizione4, informando gli utilizzatori delle suddette pompe del pericolo e sollecitando Medtronic per il ritiro delle stesse5.

L'hack di un IMD non è certo una novità in campo medico: già nel 2013 sono stati presentati talks sulla sicurezza dei vari dispositivi (qui un piccolo recap di Forbes: https://www.forbes.com/sites/ericbasu/2013/08/03/hacking-insulin-pumps-and-other-medical-devices-reality-not-fiction/?sh=56c90bc321f8).

Nel 2016 fu la Johnson & Johnson a riportare un problema di vulnerabilità6 sulle pompe Animas OneTouch Ping; in questo caso la J&J rilasciò una dichiarazione nella quale sosteneva "che il rischio di incidente era veramente molto basso, che quelle pompe erano datate (all'epoca avevano 12 anni), che sarebbe stato necessario un equipaggiamento molto sofisticato da breve distanza e che la criptazione delle pompe attualmente in commercio era nettamente superiore e sicura".

Sempre il duo Butts&Rios si erano cimentati, qualche anno prima, nell'esplorazione di un altro dispositivo Medtronic, il pacemaker CareLink 2090. Anche in quel caso l'azienda è stata informata ma non ha preso contromisure in tempi stretti - e nemmeno in tempi lunghi7.

Interessante anche questo documento di Secure-Medicine.org a proposito dei pacemaker e dei defibrillatori cardiaci impiantabili e i loro rischi: https://www.secure-medicine.org/hubfs/public/publications/icd-study.pdf - da notare che è stato redatto nel 2008.

Una nota positiva

Non tutti gli hack vengono per nuocere: se l'intento di Butts&Rios è stato quello di segnalare una vulnerabilità molto grossa, ha anche permesso ad un gruppo di ricercatori di sfruttare i flaws per migliorare il monitoraggio del glucosio e la somministrazione della dose in alcuni pazienti permettendo ai monitor impiantati sotto pelle di leggere la quantità attuale di zucchero, comunicarla alla pompa e farle selezionare automaticamente la dose giusta da rilasciare.

Questo biohack è stato chiamato "pancreas artificiale" e non va lontano da quello che "Ghost in the Shell", con il potenziamento cibernetico, ci ha proposto.

Social education & awareness

La cosa mi riguarda da vicino e mi tocca molto, soffro di una patologia genetica rara (glicogenosi) e di diabete; dopo la diagnosi per me il mondo è cambiato, tutto ha assunto una dimensione diversa e ho fatto scelte radicali e molto importanti, in primis per la tutela della mia salute.

Ho scoperto quasi subito del problema dei dispositivi Medtronic quando si paventava l'impianto e ho cercato di capire meglio se tutte le pompe di insulina potessero avere una base insicura. Ho scritto alle case farmaceutiche, a ricercatori, a diabetologi, a esperti di sicurezza.

<sarcasmo>Sembra strano ma gli unici a fornire spunti interessanti e informazioni attendibili sono proprio gli esperti di sicurezza, chi lo avrebbe mai detto!</sarcasmo>

Il problema non è sparito, il problema esiste ed esisterà sempre: puoi costruire il tuo migliore IMD ma ci sarà sempre qualcuno che, per divertimento, conoscenza o intento malvagio, riuscirà a fare danni.

Serve più consapevolezza su questi pericoli, serve meno boria da parte delle case farmaceutiche e più collaborazione. Ieri è andato tutto bene, ma se domani una pompa di insulina hackata uccidesse qualcuno?

🎼 LA #RETROPLAYLIST DI NOVEMBRE (SPOTIFY)

  • Rick Astley - Never gonna give you up (rickrolling never ends)

  • Taylor Dayne - Tell it to my heart

  • Mango - Bella d'estate

  • Bon Jovi - Livin' on a prayer

  • Heroes del Silencio - Entre dos Tierras

  • Visage - Fade to grey (extended version - non sto piangendo, mi è entrato un ricordo nell’occhio)

  • Cyndi Lauper - Girls just wanna have fun (per chi sa 😎)

  • Michael Jackson - Beat it

  • Nick Kamen - Each time you break my heart

  • Dire Straits - Sultans of swing (godetene)

🎯 CHANGELOG

  • header: rimossa sezione musicale

  • header: aggiunta sezione cinematografica

  • general: miglioramento formattazione

    Share Rumore di Fondo

1

c'è un girone dell'inferno per voi, che comprate cose ad cazzum, non cambiate le password e collegate in rete laqualunque

2

da notare che gli studi sulla muffa furono pubblicati già nel 1895 da Vincenzo Tiberio, ricercatore napoletano: https://it.wikipedia.org/wiki/Vincenzo_Tiberio

3

ogni device ha un numero di serie unico e non replicabile, per poterlo rendere valido è bastato scansionare un database di numeri di serie della casa produttrice - se vi chiedete come fare per trovarli in maniera veloce, la risposta è ****** (che tanto lo sapete)

4

su FDA l'avviso ufficiale: https://www.fda.gov/news-events/press-announcements/fda-warns-patients-and-health-care-providers-about-potential-cybersecurity-concerns-certain e la lista dei Medical Device Recalls: https://www.fda.gov/medical-devices/medical-device-recalls/2021-medical-device-recalls

5

la lettera aperta di Medtronic sul proprio sito (con possibile download del PDF): https://www.medtronicdiabetes.com/customer-support/product-and-service-updates/notice11-letter

6

fu Jerome “Jay” Radcliffe, diabetico e hacker, ad identificare la vulnerabilità e a dimostrare quanto potesse essere facile per un hacker spoofare le comunicazioni tra il telecomando e le pompe della serie Animas OneTouch Ping. Qui il brief del suo speech al BlackHat2011: https://www.blackhat.com/html/bh-us-11/bh-us-11-briefings.html e al BlackHat2013: https://www.blackhat.com/us-13/briefings.html#Radcliffe

7

la relazione relativa alla vulnerabilità del dispositivo CareLink su ICS-CERT: https://search.usa.gov/search?utf8=%E2%9C%93&affiliate=us-cert-ics&query=Medtronic&commit=Search

3

Share this post

Rumore di Fondo
Rumore di Fondo
Quanto vale la tua vita?
Copy link
Facebook
Email
Notes
More
Share

Discussion about this post

No posts

Ready for more?

© 2024 Claudia
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture

Share

Copy link
Facebook
Email
Notes
More