Falle nei dispositivi medici, così gli hacker possono fermare un pacemaker

È stato dimostrato alla Black Hat Conference.



[ZEUS News - www.zeusnews.it - 12-08-2018]

hacker pacemaker

È stata abbastanza spaventosa la dimostrazione che i ricercatori Billy Rios e Jonathan Butts hanno dato durante la Black Hat 2018 Security Conference, svoltasi nei giorni scorsi a Las Vegas.

Hanno infatti rivelato come sia possibile - e in maniera tutt'altro che difficile - attaccare un pacemaker e farlo malfunzionare in maniera tale da riuscire addirittura a provocare la morte del portatore.

Rios e Butts si sono concentrati sui dispositivi prodotti da Medtronic, azienda che affermano di aver informato già nel gennaio 2017 delle vulnerabilità scoperte all'interno dei pacemaker. Da allora, però, non sono stati fatti passi in avanti.

Così, davanti alla platea di hacker convenuti in Nevada, i due hanno mostrato come sia tutto sommato semplice compromettere un CareLink 2090, il dispositivo usato dai medici per programmare e controllare i pacemaker dopo che questi sono stati impiantati nei pazienti.

I metodi sono diversi. In un caso si sfrutta il sistema di distribuzione degli aggiornamenti del firmware realizzati da Medtronic: dato che tali aggiornamenti viaggiano attraverso una connessione Http in chiaro (e non su Https) e che il firmware non è firmato digitalmente, diventa possibile installare sui dispositivi dei firwmare fasulli di cui i medici non possono accorgersi facilmente.

Un altro metodo sfrutta le falle scoperte nei serve usati nella rete interna di Medtronic e che si occupano della distribuzione degli update.

I ricercatori hanno analizzato le comunicazioni tra il CareLink 2090 e i server, scoprendo che era possibile inserirsi nella VPN adoperata e interferire con l'aggiornamento: il sistema - assicurano - funziona anche se né Rios né Butts l'hanno provato concretamente, dato che avrebbe richiesto di compromettere i server dell'azienda.

Il pericolo è reale: se qualcuno fosse davvero interessato a sabotare questi dispositivi, potrebbe fare in modo che non si azionino quando è necessario, o all'opposto diano una scarica quando non serve. In entrambi i casi è la vita del portatore a essere in pericolo.

Sondaggio
Utilizzi una VPN?
Sė, utilizzo un servizio gratuito.
Sė, utilizzo un servizio a pagamento.
No, ma mi piacerebbe risultare anonimo quando uso Internet.
No, non mi interessa essere anonimo.
Non so che cosa sia una VPN.

Mostra i risultati (1619 voti)
Leggi i commenti (8)

Non sono soltanto i pacemaker a essere vulnerabili: anche una pompa per l'insulina, sempre proveniente dal medesimo produttore, può essere violata.

In questo caso hanno usato un segnale che ha modificato la programmazione della pompa, impedendole di somministrare la dose di farmaco secondo le indicazioni originarie del dottore.

I ricercatori sostengono di aver ricevuto pochissima collaborazione da parte di Medtronic, che in effetti a oltre un anno e mezzo di distanza non ha ancora provveduto a mettere mano alle falle.

Né quello segnalato alla Black Hat di quest'anno è il primo caso: da tempo si sa che dispositivi medici come i pacemaker sono vulnerabili agli attacchi informatici eppure, pur passando il tempo, la situazione non migliora, anche se a essere in gioco è la vita delle persone.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

{Paolo}
Vabbè, peraltro possono ammazzarmi anche con una randellata - più facile, più economico e di maggior soddisfazione per chi apprezza. Nulla di cui preoccuparsi troppo.
27-8-2018 18:27

{omen}
Questa storia era venuta alla luce già parecchi anni fa. Le cose si muoveranno se e quando ci sarà il primo morto accertato. Allora i giornalettisti, venderanno a mille, i politici ci andranno a nozze, nuove leggi verranno fatte e gli apparecchi costeranno molto di più. Come *tutti* i dispositivi elettrici ed... Leggi tutto
13-8-2018 17:23

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Stai per entrare in un sito di home banking (ad esempio, Money Bank). Quale tra questi indirizzi Internet ti sembra sicuro?
http://MoneyBank.com
https://MoneyBank.com
https://MoneyBamk.com
https://MoneyBank.xyz.com
Non uso siti di home banking

Mostra i risultati (3420 voti)
Giugno 2022
Cosa succede alle password se cambio o perdo il mio dispositivo?
Il sistema operativo open source che ridà vita ai vecchi smartphone
Adobe, prove di Photoshop gratuito per tutti
15 giugno, finisce l'era di Internet Explorer
Grave falla in Windows, occhio ai documenti di Word
Toyota: cartucce di idrogeno per alimentare auto, case, droni
Maggio 2022
La Rete esce da TIM: nasce la Open Access italiana
DuckDuckGo consente a Microsoft di tracciare gli utenti
Russi saccheggiano trattori ucraini, che vengono brickati da remoto
Necrofinanza e criptovalute: lo scoppio di Terra/Luna
Pwn2Own 2022, Windows 11 e Ubuntu cadono il primo giorno
Migliaia di siti sono keylogger nascosti
Radio a onde corte: davvero?
UE, tutte le chat saranno esaminate in cerca di pedopornografia
Le IA di Facebook e Twitter contro la disinformazione russa
Tutti gli Arretrati
Accadde oggi - 28 giugno


web metrics