Durante as palestras da Black Hat USA 2018 tivemos a oportunidade de assistir a apresentação de dois pesquisadores norte-americanos, Billy Rios e Jonathan Butts, intitulada “Understanding and Exploiting Implanted Medical Devices”, que, como o próprio nome sugere, se trata da revisão de diferentes técnicas para explorar vulnerabilidades em dispositivos médicos implantados, como marcapassos ou bombas de insulina.
Os riscos associados com estes tipos de dispositivos críticos começaram a ganhar importância, principalmente tendo em conta que um ataque pode modificar a administração da terapia de pacientes, como a dose de um medicamento ou até mesmo um choque elétrico através de um marcapasso.
Dispositivos médicos vulneráveis
No caso das bombas de insulina, a pesquisa revelou algumas vulnerabilidades que podem ser exploradas para realizar ataques de controle ou reenvio de informações. A vulnerabilidade surge porque o programador remoto da bomba de insulina usa protocolos que realizam a transmissão em texto claro. Além disso, a autenticação entre os dois dispositivos ocorre através da troca de um número de série. Portanto, o tráfego entre os dois dispositivos pode ser interceptado, interpretado e, em seguida, modificado por cibercriminosos.
Durante a palestra sobre o assunto, os pesquisadores também destacaram ataques a outros dispositivos implantados, como os marcapassos. Neste caso, foram apresentadas as descobertas técnicas detalhadas sobre a exploração remota do dispositivo, da infraestrutura associada ao uso deste tipo de dispositivo e um sistema de neuroestimulação.
A exlporação dessas vulnerabilidades em marcapassos pode permitir que um atacante interrompa a terapia, ou seja, impedir a estimulação do coração e modificar a frequência cardíaca, incluindo a possibilidade de executar choques eléctricos em um paciente.
Na tentativa de contribuir para a mitigação dos riscos identificados, os pesquisadores acompanharam as políticas de divulgação das vulnerabilidades, mas se depararam com a falta de resposta dos fabricantes por um ano e meio, além de deficiências técnicas e o que eles chamaram de reações enganosas.
Hacking de tudo
A palestra destacou a ideia do que tem sido chamado de "Hacking de tudo", que afirma que praticamente qualquer dispositivo pode ser comprometido, especialmente em um ambiente que tende a hiperconectividade, ou seja, o fato de que as pessoas estão conectadas através de diferentes dispositivos e praticamente durante todo o tempo, o que se traduz em uma maior exposição a riscos de segurança devido ao crescente uso da tecnologia.
Além das situações apresentadas pelos pesquisadores na Black Hat 2018, as medidas de segurança são fundamentais em outros ambientes que podem ser críticos, onde não apenas as informações podem ser afetadas, mas também a integridade física das pessoas.