È stato dimostrato alla Black Hat Conference.
[ZEUS News - www.zeusnews.it - 12-08-2018]
È stata abbastanza spaventosa la dimostrazione che i ricercatori Billy Rios e Jonathan Butts hanno dato durante la Black Hat 2018 Security Conference, svoltasi nei giorni scorsi a Las Vegas.
Hanno infatti rivelato come sia possibile - e in maniera tutt'altro che difficile - attaccare un pacemaker e farlo malfunzionare in maniera tale da riuscire addirittura a provocare la morte del portatore.
Rios e Butts si sono concentrati sui dispositivi prodotti da Medtronic, azienda che affermano di aver informato già nel gennaio 2017 delle vulnerabilità scoperte all'interno dei pacemaker. Da allora, però, non sono stati fatti passi in avanti.
Così, davanti alla platea di hacker convenuti in Nevada, i due hanno mostrato come sia tutto sommato semplice compromettere un CareLink 2090, il dispositivo usato dai medici per programmare e controllare i pacemaker dopo che questi sono stati impiantati nei pazienti.
I metodi sono diversi. In un caso si sfrutta il sistema di distribuzione degli aggiornamenti del firmware realizzati da Medtronic: dato che tali aggiornamenti viaggiano attraverso una connessione Http in chiaro (e non su Https) e che il firmware non è firmato digitalmente, diventa possibile installare sui dispositivi dei firwmare fasulli di cui i medici non possono accorgersi facilmente.
Un altro metodo sfrutta le falle scoperte nei serve usati nella rete interna di Medtronic e che si occupano della distribuzione degli update.
I ricercatori hanno analizzato le comunicazioni tra il CareLink 2090 e i server, scoprendo che era possibile inserirsi nella VPN adoperata e interferire con l'aggiornamento: il sistema - assicurano - funziona anche se né Rios né Butts l'hanno provato concretamente, dato che avrebbe richiesto di compromettere i server dell'azienda.
Il pericolo è reale: se qualcuno fosse davvero interessato a sabotare questi dispositivi, potrebbe fare in modo che non si azionino quando è necessario, o all'opposto diano una scarica quando non serve. In entrambi i casi è la vita del portatore a essere in pericolo.
Non sono soltanto i pacemaker a essere vulnerabili: anche una pompa per l'insulina, sempre proveniente dal medesimo produttore, può essere violata.
In questo caso hanno usato un segnale che ha modificato la programmazione della pompa, impedendole di somministrare la dose di farmaco secondo le indicazioni originarie del dottore.
I ricercatori sostengono di aver ricevuto pochissima collaborazione da parte di Medtronic, che in effetti a oltre un anno e mezzo di distanza non ha ancora provveduto a mettere mano alle falle.
Né quello segnalato alla Black Hat di quest'anno è il primo caso: da tempo si sa che dispositivi medici come i pacemaker sono vulnerabili agli attacchi informatici eppure, pur passando il tempo, la situazione non migliora, anche se a essere in gioco è la vita delle persone.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|