Serve un racconto di fantasia per alzare l'attenzione su un tema scottante. Per adattarsi alle normative che si evolvono, i nuovi Medical-Device invece di essere certificati ex-novo, usano sempre le certificazioni ricevute per i prodotti di precedente generazione, aggiungendo solamente strati di sicurezza. ? quello che accade anche per i canali trasmissivi cos detti sicuri, costruiti su tecnologie vecchie e ben conosciute. ? noto a tutti che utile che di sicurezza ne parli, e sia verificata da chi di sicurezza ne fa il suo mestiere. Quando in gioco ci sono grandi interessi come sui pacemaker e i defibrillatori impiantabili, fatti pagare a caro prezzo alla collettivit, servono competenze indipendente per dare le dovute autorizzazioni, a partire dagli Ingegneri Biomedici e Clinici. Quanto va di moda dare colpa a batterie difettose per nascondere ben altro... [notizie fuori dal coro a fine presentazione]
1 of 30
Download to read offline
More Related Content
Recita: La storia di un nerd C Mario che riprogramm il pacemaker del presidente - Linux Day 2016 a Pisa
1. Recita: La storia di un nerd C Mario che
riprogramm il pacemaker del presidente
Original Published on January 12, 2016
By Alessandro Mazzarisi
Senior Technician at Na=onal Research Council Ins=tute of Clinical Physiology
2. Quante cose non avevano funzionato in quei giorni
perch ci potesse accadere
Serve un racconto di fantasia per alzare l'a4enzione su un tema
sco4ante. Per ada4arsi alle norma8ve che si evolvono, i nuovi
Medical-Device invece di essere cer8?ca8 ex-novo, usano sempre
le cer8?cazioni ricevute per prodo@ di precedente generazione,
aggiungendo solamente stra8 di sicurezza. ? quello che accade
anche per i canali trasmissivi cos de@ sicuri, costrui8 su
tecnologie vecchie e ben conosciute. ? noto a tu@ che u8le che
di sicurezza ne parli, e sia veri?cata da chi di sicurezza ne fa il suo
mes8ere. Quando in gioco ci sono grandi interessi come sui
pacemaker e i de?brillatori impiantabili, fa@ pagare a caro prezzo
alla colle@vit, servono competenze indipenden8 per dare le
dovute autorizzazioni, a par8re dagli Ingegneri Biomedici e Clinici.
3. Quante cose non avevano funzionato in quei giorni perch ci
potesse accadere
Mario era arrabbiato con il mondo, e Mario era un nerd, uno che
con la tecnologia ci sapeva fare.
Odiava il suo ex-presidente perch improvvisamente lo aveva
licenziato ed era rimasto solo e senza soldi da parte, perch aveva
dedicato tuKa la sua vita al lavoro.
4. Non vedeva il suo ex-presidente da due anni.
Lazienda che o?riva servizi di Ingegneria Clinica era stata
completamente de-localizzata allestero.
Regolarmente il suo ex-presidente tornava nella ciK di Mario,
dove con=nuava a vivere con la sua famiglia.
Una maQna, lo vide entrare in Ospedale, e Mario sapeva bene
perch il suo ex-presidente era l.
5. Aveva lavorato in quellospedale come esperto della sicurezza
ambientale e conosceva personalmente il presidente.
Il presidente era un cardiopa=co.
Aveva un cuore aritmico compromesso da anni.
Portava un pacemaker con de?brillatore impiantabile.
Mario, in preda alla depressione autodistruQva che lo assillava da
tempo, inizi a convogliare la sua energia nega=va su chi lo aveva
ridoKo in quello stato.
7. Si ricord che quando faceva boni?che di sicurezza ambientale,
usava un registratore digitale di segnali radio auto costruito, che
ancora conservava.
Una scatola nera che nel raggio di pochi metri era in grado di
registrare le comunicazioni digitali via radio di qualsiasi disposi=vo
eleKronico.
8. Per poterci riuscire era necessario conoscere la frequenza
trasmissiva e il =po di modulazione con cui il pacemaker parlava
con la rete di monitoraggio, oppure avere tempo e la certezza che
stesse trasmeKendo solo una coppia di disposi=vi alla volta.
Con un po di lavoro poteva adaKarsi perfeKamente a qualsiasi
=po di disposi=vo wireless, anche un pacemaker.
Era proprio il suo caso
9. Quel giorno non aveva con s quel giocaKolo da spia di altri
tempi; era nella so?Ka di casa sua, ed era venuto il momento di
farlo lavorare di nuovo.
Rimand la vendeKa e tornato a casa, =r fuori tuKo il necessario
per riprendere a fare il suo lavoro di un tempo:
dopo due anni, il ricevitore passivo e il so@ware che analizzava
le comunicazioni, incredibilmente, funzionavano ancora.
Aveva un paio di dubbi C 1) come avrebbe potuto avvicinassi al
suo ex-presidente, e 2) non sapeva quando sarebbe tornato di
nuovo in ciK.
10. Per riprogrammare il pacemaker, la vicinanza ?sica era un requisito
indispensabile.
Mario si mise a spiare le comunicazioni del presidente: la posta
eleKronica, il cellulare e i social network a cui era registrato.
Senza troppe di?colt scopr il prossimo appuntamento del
presidente nellospedale della sua ciK; purtroppo aveva solo una
seQmana di tempo per organizzare la sua azione.
Doveva trovare il modo di avvicinarlo senza disturbarlo e registrare
la comunicazione criptata tra il pacemaker e il programmatore
professionale usato dai medici.
Era il primo obieEvo da raggiungere
per meFere in scena il suo piano
11. Per recuperare tuQ I da= che gli servivano doveva conoscere qual
era la marca e il modello del pacemaker che il presidente aveva
impiantato nel peKo.
Indag come fa un hacker
AKraverso il sito web aziendale, indag sui resocon= degli acquis=
faQ negli ul=mi anni e trov la lista dei produKori di pacemaker e
dei de?brillatori impiantabili che stavano usando.
Cerc le tracce lasciate dall'amministrazione dell'ospedale e
dal reparto di ingegneria clinica dove aveva lavorato per tan=
anni, e lo fece accedendo ai computer ancora in servizio, che
lui stesso aveva con?gurato.
12. Per trovare il modello esaKo Mario cerc tra le tracce che il
presidente lasciava sui social network, incrociandole con le e-mail
private che incurante della sicurezza informa=ca, con=nuava a usare
senza auten=cazione, usando l'indirizzo pubblico dell'azienda.
In una delle email che conservava sul suo account condiviso, trov il
nome e il codice del pacemaker che gli avevano impiantato; un
device so?s=cato ma soggeKo a numerose regolazioni per potersi
adaKare allo s=le di vita dellospitante.
Alla ?ne Mario scopr anche le date di tuQ gli appuntamen= che il
presidente aveva gi programma= nellospedale.
Ma per registrare e decodi?care le comunicazioni digitali via
radiofrequenza la cosa fu arJcolata.
13. I due si conoscevano e per non farsi scoprire, nascose il registratore
di segnali, nella scatola di uno smartphone, che consegn a uno
sbandato del suo quar=ere, promeKendogli una ricca ricompensa in
cambio di un lavoreKo pulito.
Lincaricato, si sarebbe dovuto avvicinare con la scatola a un locale
dell'ospedale indicato da Mario, in un giorno e a unora precisa, per
registrare i rumori ambientali.
Lo sbandato, ignaro di quello a cui si sarebbe prestato, acconsenf.
Il giorno del controllo del pacemaker era tuKo pronto.
Il presidente come faceva da alcuni mesi torn al laboratorio di
aritmologia dell'ospedale per farsi riprogrammare il suo prezioso
disposi=vo in modo che si adaKasse al suo s=le di vita.
16. Inizi il suo lavoro di hacker con lacquistare tuKo lhardware
necessario su ebay.
Non fu il tra?co SSL a fermarlo, perch erano anni che i nerd
sapevano come de-criptarlo; serviva solo tempo e lui ne aveva
tanto.
Ci vollero seQmane di prove per trovare una logica in quella
sequenza di da= cripta= che avrebbe dovuto scambiare con il
pacemaker.
17. U=lizzando lo stesso leKore di traccia= ed even= usato dal
presidente a casa sua e che Mario aveva comprato su eBay,
disassembl il ?rmware, entr come root e scopr le chiavi di
comunicazione private, grazie al tracciato registrato con il suo
disposi=vo.
On the right a screenshot evidencing
Muddy Waters got root on
Merlin@home devices (using exploits
developed by MedSec):
18. Poi, grazie al calendario delle visite allospedale del presidente, Mario riusc
a programmare pi tenta=vi per testare le modi?che che stava
introducendo nello streaming di cui aveva faKo il reverse engineering e
?nalmente riuscire ad imbrogliare il pacemaker da controllare.
Anche trovare un trasmeQtore di segnali radio adeguato, in grado di
convincere il pacemaker da colpire di essere lo stesso programmatore
usato dai medici dallospedale non fu facile; ma ormai con quello che
Mario sapeva, ci riusc.
Il primo tenta=vo di hackeraggio che organizz fu un fallimento
Mario era nelle vicinanze della sala di aKesa del reparto di aritmologia,
solo, al buio, nel ripos=glio della diKa delle pulizie, ma la prima volta la
comunicazione nemmeno inizi.
19. Mario invi i nuovi codici al disposi=vo impiantato nel peKo del
presidente senza conoscerne gli e?eQ.
Pochi minu= dopo il presidente inizi a sen=rsi male.
Si alz dalla sala di aKesa barcollando, in cerca di aiuto, ed era in
stato confusionale, quando incontr Mario direKo verso luscita,
pronto a cantar viKoria.
Mario era un nerd, ma infondo era anche una brava persona e non se
la senf di lasciare il suo ex-presidente in quello stato.
Registr una nuova sequenza e dopo averla analizzata, al
secondo tenta=vo, dopo essersi di nuovo appostato nelle
vicinanze della sala di aKesa, il sistema e il pacemaker del
presidente parlarono.
20. Lo prese soKobraccio e laccompagn nel laboratorio di
eleKro?siologia chiedendo aiuto al posto suo.
I medici prestarono assistenza al presidente, lo portarono in sala
operatoria e riprogrammarono il pacemaker impazzito,
cancellando tuKe le tracce dello sforzo di Mario.
Pur sapendo di rischiare di essere scoperto, Mario decise di
pubblicare la storia, su come aveva riprogrammato il pacemaker
del presidente e la invi al giornale del suo paese.
21. Il giornalista ricevuta lauto-denuncia, per veri?care le no=zie
contenute nellar=colo, contaK il medico di ?ducia del
presidente, il quale, rivoltosi alla diKa produKrice del pacemaker,
dopo aver ricevuto una lunga e convincente spiegazione da parte
della mul=nazionale sulla sicurezza dei disposi=vi in commercio,
convinse il giornalista a non pubblicare nulla.
Passarono pochi giorni e Mario si rese presto conto della be?a
che aveva subito: niente ar=colo pubblicato sul giornale e
sopraKuKo, il giornale locale a cui si era rivolto, improvvisamente,
aveva iniziato una nuova stagione editoriale: la rubrica sulle
denunce dei ciKadini era stata soppressa, e il giornalista zelante
fu spostato alla cronaca.
24. Aggiust la gra?ca, evidenzi le parole chiave usando gli hashtag,
le gratelle usate per indicizzare i tes= sui motori di ricerca. Era
pronto a fare il suo click, a mandare in rete tuKo il veleno che
aveva in corpo.
Lo faceva per per ammonire e rendere consapevoli tuQ quei
medici sempre compiacen= con le mul=nazionali, sulla sicurezza
di quei disposi=vi che impiantavano nei pazien=, con tanta
leggerezza.
25. Improvvisamente il suono di un sms, accese per un aQmo il
display del suo smartphone.:
Mario, sappiamo dove sei,
non = muovere e non inviare nulla in rete
TuKe le comunicazioni erano controllate ma decise di regalare a
tuQ la sua storia.
Clicc sul pulsante Invia e tuKe le prove ?nirono frammentate
in tan= par= diverse di un ?lm porno condiviso su di uno dei tan=
server tor.
E il seguito, direte voi...
Come tuKe le storie, anche questa ebbe un seguito.
26. Del nostro Mario non si seppe pi? nulla.
Da quando accaddero quegli even= nel gennaio 2016, quan= nerd
come Mario ci provarono ancora, non dato saperlo.
Daltra parte, prima addestriamo i nostri professionisJ della
sicurezza a spese della comunit, poi li soFo inquadriamo e li
soFopaghiamo, e in?ne li facciamo fuori nella speranza che nelle
nostre organizzazioni vada sempre tuFo bene.
Quan= Mario dispera= potranno in futuro meKere in pericolo la
vita di altri ciKadini e per di pi a loro insaputa?
Domande a cui i medici da sempre sono sta= addestra= a risponderci
con parole rassicuran=, e noi non sapremo mai la verit.
27. Grazie della vostra aFenzione
Alessandro Mazzarisi - Senior Technician at Na8onal Research Council Ins8tute of Clinical
Physiology, Co-reviewed Ar8cles, Interna8onal Conference Papers, Full-Texts, I am a
visionary technician with over thirty years of experience working with teams whose focus is
on integra8ng technology into our healthcare systems. Passionate about innova8on, as well
as on improving healthcare and educa8on, I have worked in di?erent roles with public and
private companies, government en88es and universi8es in Europe. I have taken part in the
growth of Italian biomedical engineering, ICT and EHR infrastructures.Currently, my focus is
on developing e?ec8ve soWware solu8ons for innova8ve EU-projects at the Italian Na8onal
Council of Research. I have recently resolved to share my experience on Linkedin Network
with weekly original ar8cles.
mazzaris@ifc.cnr.it
mazzaris@mac.com
mazzaris@gmail.com
hKps://it.linkedin.com/in/mazzaris
a seguire alcune slides di riferimento
28. 28
August 25, 2016 hacker team demonstrations of two types of
cyber attacks against implantable cardiac devices
I Device Medicali controllati in remoto con Radio Frequenze,
RF dovrebbero avere una serie di difese che includono:
? strong authentication,
? encrypted software and code,
? anti-debugging tools,
? and anti-tampering mechanisms.
Inoltre i costruttori potrebbero richiede meccanismi di
attivazione dell comunicazione RF molto lunghe per evitare
attacchi ripetuti.
hFp://www.muddywatersresearch.com/research/stj/mw-is-short-stj/
29. 29
Vulnerabilit: I programmatori dei Device Medicali
generalmente possono comunicare agevolmente con i
dispositivi cardiaci impiantabili perch di solito non c
unautenticazione forte implementata nei protocolli di
comunicazione. Un malintenzionato che fa reverse
engineering delle comunicazioni pu accedervi e
impersonare tutti gli attori dellecosistema.
August 25, 2016 hacker team demonstrations of two types of
cyber attacks against implantable cardiac devices
hFp://www.muddywatersresearch.com/research/stj/mw-is-short-stj/
30. 30
August 25, 2016 hacker team demonstrations of two types of
cyber attacks against implantable cardiac devices
Sono stati dimostrati due tipi di attacchi:
(a)? Un attacco per far alterare il corretto
funzionamento del device impiantato, incluso una
stimolazione errata e fuori controllo.
(b)? Un attacco per scaricare brutalmente la batteria,
scenario altrettanto pericoloso per la possibilit di
essere eseguito allinsaputa dellospitante per
prossimit.
hFp://www.muddywatersresearch.com/research/stj/mw-is-short-stj/