Hlavní navigace

Kardiostimulátory i další zařízení lze hacknout a ovládat na dálku

Petr Kajzar

Různé medicínské přístroje umí pomoci zachraňovat život. Blíží se ale doba, kdy se mohou stát významným a nebezpečným bodem zájmu nebezpečných útočníků.

Zdravotnické přístroje provázejí péči o pacienta dlouhodobě. V minulosti však šlo o samostatná zařízení, jejichž výstup se musel do pacientova záznamu zapisovat ručně. Ať už šlo o popis rentgenových negativů, popis záznamů elektrické aktivity srdce (EKG) nebo anesteziologický přístroj kontrolující životní funkce pacienta během operace, všechny tyto přístroje zůstávaly autonomní.

Bezpečnost přístrojů nestíhá pokrok v medicíně

Rychlý technologický pokrok v medicíně i ve zdravotnické technice a IT způsobil, že se přístroje staly mnohem komplikovanější, získaly vlastní procesory a úložiště dat a napojily se do počítačových sítí ambulancí a nemocnic. Bezpečnost těchto zařízení však zůstala poněkud stranou zájmu a vývoj zabezpečení nebyl zdaleka tak překotný.

V posledním desetiletí jsme svědky podobného trendu i u mnohem menších zařízení, která má mnohdy pacient dlouhá léta přímo u sebe. Jedná se o kardiostimulátory, implantabilní defibrilátory, inzulinové pumpy u diabetiků, neurostimulátory a podobně. Donedávna bylo možno tato zařízení připojit buď fyzicky (kabelem), nebo bezdrátově pouze na bezprostřední vzdálenost speciální přikládací „čtečkou“ (elektromagnetické záření, rádiový signál). Nyní se i u těchto zařízení začínají používat další komunikační možnosti, aby umožnily pohodlnou správu jejich funkcí. Jedná se například o bluetooth, webové rozhraní administrace a podobně. To samozřejmě zpřístupňuje zařízení i nevítaným „správcům“, kteří pak mohou zařízení ovládat, například vypnout defibrilátor.

Problémy přístrojů

Na fyzickou bezpečnost přístrojů se klade velký důraz a probíhají certifikace a kontroly. Pokud jdete na rentgen, neměl by na vás přístroj spadnout nebo vám dát elektrický výboj. Na softwarovou bezpečnost přístrojů se již tolik nemyslí, a proto tato zařízení trpí nešvary, jež se jinde málokdy vidí.

Problémy se týkají „velkých“ přístrojů (ať už diagnostických – měření elektrické aktivity orgánů, tj. EKG, EMG, EEG, zobrazovací metody – rentgeny, CT, magnetické rezonance, ultrazvuky, či terapeutických – přístroje používané při operacích, včetně robotických zákroků) i „malých“ (již zmíněné kardiostimulátory, defibrilátory, inzulínové pumpy, neurostimulátory).

Kromě webových rozhraní administrace přístrojů s možností vzdáleného přístupu (výrobce či hackerů) a natvrdo nastavených přístupových údajů umožňujících plošné útoky, o kterých jsem psal v minulých článcích, se jedná o nešifrovanou komunikaci s počítačovou sítí. Nejenže lze takovouto komunikaci odposlechnout, ale také lze podstrčit záměrně nesprávná data, která pak budou uložena v systému u daného pacienta a ve správný čas mu mohou zkomplikovat zdravotní péči. U malých implantovaných přístrojů se často výrobci hájí tím, že šifrování komunikace by snížilo výdrž baterie a urychlilo nutnost výměny přístroje u pacienta (což s sebou nese také určitá rizika).

Přístroje často běží pod starým, neaktualizovaným operačním systémem, který ani nemá možnost instalovat bezpečnostní záplaty a chybí mu základní bezpečnostní prvky.

Navíc jsou přístroje často napojeny na „netechnické“ rozhraní – například elektrodou na srdeční sval. Biologická tkáň vydává tak nehomogenní signály, že je nelze s jistotou filtrovat od těch, které by mohl (teoreticky) podstrčit útočník.

Hrozby mohou být reálné a odzkoušené

U velkých diagnostických přístrojů jde spíše o možnost úniků dat. Nicméně u malých implantovaných přístrojů jde o život a často příklady znějí jako sci-fi s možností atentátu na dálku. Pojďme hned na příklady.

O možnosti napadení velkých přístrojů jsem psal již v prvním článku. Dva výzkumníci Scott Erven a Mark Collao pomocí vyhledávacího nástroje Shodan objevili, že nejmenovaná zdravotnická organizace ve Spojených státech má asi 68 000 medicínských přístrojů volně přístupných na veřejné IP adrese. Mimo jiné šlo o 488 kardiologických zařízení, 21 anesteziologických přístrojů, 133 infúzních pump, 97 magnetických rezonancí, 323 obrazových systémů PACS, 31 kardiostimulačních systémů, a další.

Divte se nebo ne, kardiostimulátory mají přirozený „backdoor“: aby bylo možno testovat, zdali přístroj správně vyhodnotí srdeční rytmus pacienta a zareaguje správně, správcovské rozhraní umožňuje lékaři simulovat na vstupu různé arytmie a sledovat, jak se přístroj zachová. Odtud ke zneužití přístroje je jen krůček: je možno na dálku přeprogramovat například defibrilátor tak, aby dal okamžitý a prudký výboj, který může pacienta usmrtit. Podobné příklady vyděsily dřívějšího viceprezidenta USA Dicka Cheneyho tak, že si nechal bezdrátové rozhraní svého kardiostimulátoru raději úplně vypnout.

Inzulínová pumpa je přístroj, který dodává pacientovi chybějící hormon inzulín. Ten snižuje hladinu cukru v krvi na normální hodnoty. Pumpu nemají všichni diabetici, ale určitý typ pacientů se bez něj neobejde a je na něm doslova životně závislá. Několik pokusů (na konferencích v Las Vegas, Miami, San Francisco) ukázalo, že i na vzdálenost 100 metrů se lze bezdrátově bez znalosti identifikace přístroje dostat k administraci systému inzulinové pumpy a aplikovat pacientovi smrtelnou dávku léku, který vede k bezvědomí a pravděpodobné smrti.

Jack Barnaby, mladý „white hat“ hacker, který na konferenci v Las Vegas ukázal útok na systém inzulinové pumpy, údajně vyvinul i software na napadení kardiostimulátorů na vzdálenost cca 15 metrů. Před jeho plánovanou prezentací na konferenci Black Hat v roce 2013 bohužel nešťastnou náhodou zemřel, takže jeho důležitá zjištění a přínos bezpečnější medicíně zůstaly nezveřejněny. Situaci se však dále věnují specialisté, např. Marie Moe, bezpečnostní expertka, která ve svém relativně mladém věku také dostala kardiostimulátor a od té doby bojuje za větší zabezpečení těchto přístrojů.

Závěr

V tomto krátkém článku jsem chtěl jen nastínit problémy zdravotnických přístrojů. Technická problematika je samozřejmě složitější a dalo by se mluvit o mnoha dalších zajímavostech – o motivaci útočníků, o útocích přímo na výrobce zařízení (kdy napadený výrobce do přístroje hromadně a nevědomky předává s firmwarem i vložený malware) či o možnosti šifrování dat s využitím šumu biologických tkání.

Je vidět, že útočníci mohou mít o zdravotnických přístrojích velmi dobře dostupné informace (produktové manuály, patenty), což jim samozřejmě hraje do karet. Když k tomuto základu přidáte staré a neaktualizované operační systémy přístrojů, neaktualizovaný firmware, chybějící základní bezpečnostní prvky, jednoduchá webová rozhraní pro adminy a neautorizovanou a nešifrovanou komunikaci, máte ideální koktejl, který může vést v lepším případě k ohrožení dat a v horším případě i k ohrožení života pacienta.

Našli jste v článku chybu?