Hacking del corpo umano

Nel suo intervento al Black Hat Security Conference di Las Vegas, “Hacking Medical Devices for Fun and Insulin: Breaking the Human SCADA System”, Jerome Radcliffe ha mostrato come un hacker può attaccare remotamente due dispositivi medici utilizzati per il trattamento del diabete con conseguenze a dir poco letali.

Radcliffe, anche lui diabetico con una pompa insulinica controllabile da remoto, ha speso circa quattro mesi per sviluppare un hack sia del suo Continuous Glucose Meter (CGM), un sensore wireless inserito sotto la pelle che manda ogni cinque minuti una lettura del livello di zucchero ad un dispositivo remoto, sia della sua stessa pompa insulinica.

“Le comunicazioni wireless con la pompa insulinica non sono sicure, non sono progettate per essere aggiornate e non c’è modo di correggerle. Non è come un telefono dove potete scaricare l’ultima versione del firmware” 

Afferma Radcliffe e continua:

“Le letture del CGM trasmesse via wireless sono trasmesse senza particolare attenzione alla sicurezza e sono particolarmente vulnerabili”

Dopo aver smontato il sensore CGM ha verificato che il processore interno è lo stesso impiegato nei sistemi SCADA (Supervisory Control And Data Acquisition) che controllano gli apparati industriali. Scoperto questo ha iniziato il suo attacco al cuore del CGM ed è riuscito a far si che il sensore non mandasse più segnali. Raggiunto questo risultato ha iniziato a lavorare sulla pompa insulinica e, comprando un trasmettitore USB su eBay per 20$, è riuscito a controllarla interrompendone il funzionamento.

Senza insulina un diabetico può soffrire di visione sfuocata e, a lungo termine, danni renali, con troppa può avere problemi di controllo motorio, insufficienza respiratoria e infine la morte.

Radcliffe ha detto che il suo hacking hardware è stato mirato a mostrare quanto siano insicuri i dispositivi che utilizziamo ogni giorno per la nostra salute.

“C’è sempre una minaccia in agguato, non possiamo semplicemente ignorarla e pensare ‘ehi è solo una pompa di insulina, nessuno cercherà di hackerarla’. Lo stesso tipo di affermazioni l’abbiamo fatta 15 anni fa relativamente al Web. Siamo ad un punto di svolta e dobbiamo guardare oltre. Solo perché non può essere fatto facilmente non significa che non può essere fatto. Ci sono troppe persone intelligenti la fuori.”

Allo stato attuale non c’è alcuna evidenza che qualcuno abbia effettuato un hacking del genere, ma già sapere che può essere fatto è preoccupante abbastanza.