Pazzi irresponsabili

(quelli che fanno questi dispositivi)

https://www.esat.kuleuven.be/cosic/publications/article-2803.pdf

Securing Wireless Neurostimulators

Implantable medical devices (IMDs) typically rely on proprietary protocols to wirelessly communicate with external device program- mers. In this paper, we fully reverse engineer the proprietary pro- tocol between a device programmer and a widely used commercial neurostimulator from one of the leading IMD manufacturers. For the reverse engineering, we follow a black-box approach and use in- expensive hardware equipment. We document the message format and the protocol state-machine, and show that the transmissions sent over the air are neither encrypted nor authenticated. Further- more, we conduct several software radio-based attacks that could compromise the safety and privacy of patients, and investigate the feasibility of performing these attacks in real scenarios.

If you like this post, please consider sharing it.

4 thoughts on “Pazzi irresponsabili”

  1. Di recente, una delle più importanti aziende al mondo che produce apparecchi per terapia nucleare del cancro ha dichiarato di aver re-ingegnerizzato tutti i suoi prodotti per: eliminare i dati dei pazienti e delle cure in chiaro, superare basi di dati locali alla macchina, eliminare password e parametri tecnici immersi nel codice… (!)
    Gli apparecchi e i software di questa azienda si trovano in molti ospedali italiani e quasi sempre non sono aggiornati o aggiornabili.
    Gli altri produttori non danno neanche notizia del problema o di interventi.
    I dati resteranno “a portata di mano” finché gli apparecchi non verranno sostituti.
    Quasi nessuna gara per acquisire questo tipo di prodotti si pone il problema.

  2. Se sono pazzi o meno (parliamo sempre dei produttori, ovviamente) dipende dalle leggi e da come vengono fatte applicare.

    Se non saranno mai multati, non saranno ritirati i loro prodotti, non verrà vietato l’uso dei prodotti, non saranno costretti all’adeguamento dei prodotti già venduti a protocolli più sicuri, allora avranno avuto ragione loro a fregarsene della sicurezza.

    La sicurezza è un costo, e oggi come oggi, non è un grosso driver di vendita. Se non c’è nessuno che te la impone è possibile che convenga ignorarla.

  3. E tra un po’ li connetteranno a Internet con la scusa che cosi’ il medico potra’ monitorare costantemente lo stato del pacemaker e quindi del paziente … mentre qualcun altro ricattera’ il paziente chiedendogli soldi in cambio della vita.
    Deriva putroppo gia’ in corso con le automobili dove da remoto possono controllare il motore (sulla mia e’ gia’ cosi’ 🙁 )

    1. Anche per le questioni mediche e’ gia’ cosi’. I medici sono stati convinti a passare alla produzione informatizzata delle ricette mediche grazie ad incentivi (temporanei) per l’acquisto di computer e software; dopodiche’ sono state eliminate le ricette che venivano fisicamente trasportate dal paziente, dall’ambulatorio alla farmacia.
      Al primo stadio tutti i dati di tutti i pazienti erano contenuti in un ridicolo database access non cifrato, al secondo stadio sono centralizzati in un qualche datacenter in cui i medici immettono l’autorizzazione all’uso di droghe, e le farmacie poi prelevano le autorizzazioni (dei medici) allo spaccio di droghe. Questo per lo meno nella regione Lazio, e per i sistemi su cui ho messo le mani io.
      Per sentito dire invece, temo che anche alcuni apparati medici siano connessi ad internet senza le necessarie precauzioni. Per lo meno mi sono servito di un laboratorio di analisi i cui macchinari servono i referti tramite un web server integrato, in tempo reale; tempo di tornare a casa e ho potuto prelevare il referto inserendo il codice utente che mi avevano dato all’uscita dal laboratorio. E non credo che – ai tempi del cloud – si siano forniti di un CED privato con tutte le protezioni del caso.
      Un laboratorio analisi non ha macchine salvavita; quindi ci sono dubbi solo sul piano della privacy. Ma nulla lascia pensare che per macchine salvavita mettano in conto i costi di una infrastruttura informatica locale privata.

      La cosa assurda e’ che sui giornali arrivano solo le notizie di individui che si mettono a rischio (es: hacker americano si modifica da solo il dispenser di insulina che ha attaccato alla pancia), ma niente dei sistemi industriali che per scopi industriali mettono a rischio gli individui.

Leave a Comment

Your email address will not be published. Required fields are marked *