r   e   k   l   a   m   a
r   e   k   l   a   m   a

To oprogramowanie wyglądało na dobre, a jednak mogło zabić

Strona główna Aktualności

Komputer – to słowo brzmi nieco anachronicznie. Plastikowe pudełko, zamykające pewien zbiór elektronicznych komponentów, służące w szerokim sensie obliczeniom, w węższym – uruchamianiu oprogramowania. Nazwać coś „komputerem”, to zasugerować, że coś innego komputerem nie jest, że procesom obliczeniowym nie służy. Tak nazywaliśmy nasze atarynki, commodorki, amigi, maki, pecety od dziesięcioleci – i tak nazywamy je dzisiaj. O ile jednak forma desktopu czy laptopa jest dla ludzi czymś łatwo rozpoznawalnym, to większość komputerów ukryła się przed ludzkim wzrokiem. Cicha rewolucja, ubiquitous computing, w którym komputerem (a raczej zawierającym komputer) powoli staje się wszystko – telewizor, domofon, instalacja oświetleniowa w domu, czy pompa insulinowa chorego na cukrzycę. A co oznacza wszechobecność komputerów? Wszechobecność oprogramowania.

Każdy, kto miał okazję pisać jakikolwiek większy projekt IT, dobrze wie, że uniknięcie błędów w oprogramowaniu nie jest w praktyce możliwe. Nawet najlepsi programiści i algorytmicy popełniają błędy, których wychwycenie za pomocą narzędzi do statycznej analizy kodu jest praktycznie niemożliwe – błędy kryjące się przed testami modeli, abstrakcyjnymi interpretacjami, czy analizą przepływu danych. Nawet doświadczonym testerom umykają bugi, odkrywane później przez „zwykłych użytkowników” w scenariuszach nie do pomyślenia.

W czasach, gdy mieliśmy do czynienia z oprogramowaniem dla „komputerów”, nie było jeszcze tak źle. Błąd w sofcie do edycji tekstu czy wypalania płyt CD grozi co najwyżej uszkodzeniem dokumentu czy zmarnowaniem płyty. Gorzej, jeśli programista popełnił błąd w systemie sterującym pracą przemysłowej wirówki czy pieca, wtedy konsekwencje mogą być naprawdę kosztowne. A co, jeśli za błąd programisty użytkownik zapłaci swoim życiem?

Miłośnicy anime pewnie kojarzą serial „Ghost in the Shell: Stand Alone Complex”. W jednym z odcinków antagonista naszych bohaterów, haker ukrywający się pod pseudonimem „Laughing man”, hakuje oczy agenta Bateau podczas spotkania, tak, że ten nie jest w stanie go zobaczyć. Fikcja, do której naszej cywilizacji jeszcze daleko, ale przecież nie fikcja niemożliwa, biorąc pod uwagę to, co dzieje się już dziś na polu bioniki, wszczepów, technologii medycznych.

Na początku tego roku haker znany jako Barnaby Jack, znany ze swoich włamań do bankomatów, pokazał podczas konferencji RSA w San Francisco, jak łatwo jest zabić cukrzyka, korzystającego z nowoczesnej pompy insulinowej firmy Medtronic. Wystarczy do tego antena działająca w paśmie 900 MHz, laptop i zaskakująco proste techniki hakerskie. Napisane przez Barnaby Jacka oprogramowanie przejmowało dane uwierzytelniające kontrolera, a następnie przesyłało instrukcje nakazujące wstrzyknięcie całego zasobu insuliny do organizmu chorego.

Medyczny osprzęt coraz częściej komunikuje się bezprzewodowo ze swoimi sterownikami, a mimo to używane w nim zabezpieczenia są kpiną. Jako że mało kto widzi w takim sprzęcie komputer, kwestie jego bezpieczeństwa nie budzą takiego zainteresowania jak np. luki w Windows 8 – tymczasem, jak stwierdził haker, kiedy spojrzysz na te urządzenia, zobaczysz w nich szokujące luki w zabezpieczeniach. A przecież incydent z pompami Medtronica nie był pierwszy. W 2008 roku badacze z Harvard Medical School odkryli, że w podobny sposób można dobrać się do wszczepialnych rozruszników serca tej samej firmy, zdalnie je wyłączyć, a nawet porazić serce silnym impulsem elektrycznym. Trzy lata nie wystarczyły najwyraźniej by zmusić producentów medycznego sprzętu do refleksji i podwyższenia jakości oprogramowania – według raportu laboratoriów amerykańskiej agencji FDA, błędy software'owe stały za jedną czwartą wszystkich zwrotów urządzeń medycznych w 2011 roku.

O ile jeszcze we wspomnianych wypadkach można było bronić się tym, że do zrealizowania fatalnego scenariusza potrzebne jest mordercze zamierzenie cyberprzestępcy, czy też winę zrzucić na bezprzewodowy dostęp, to w ostatnim głośnym odkryciu błędu w medycznym sprzęcie sytuacja wyglądała znacznie durniej. Oto firma Hospira, producent pomp Symbiq, przeznaczonych do dożylnego podawania ponad 16 tysięcy różnych medykamentów, wycofała swoje produkty na terenie całego USA i Kanady, po odkryciu błędu w oprogramowaniu interfejsu dotykowego tych urządzeń. Błąd sprawiał, że ekran mógł zgłaszać odmienne wartości od tych wprowadzonych przez użytkownika, jak ogłosiła firma w swoim oświadczeniu. Innymi słowy, tysiące użytkowników tych pomp mogło omyłkowo podać sobie śmiertelną dozę leku.

Trzeba przyznać, że reakcja Hospiry była na poziomie – firma po wycofaniu pomp ogłosiła, że nie tylko pracuje nad poprawką oprogramowania, ale też zamierza ulepszyć swoje metody projektowania i programowania. Tym razem obyło się bez ofiar, ale przecież niektórzy pamiętają wciąż jeszcze incydent z systemem do radioterapii Therac-25, który w latach osiemdziesiątych zeszłego wieku zabił sześciu pacjentów, aplikując im stokrotnie przekraczającą normę dawkę promieniowania beta. Czyżby przez ponad trzydzieści lat nie udało się wypracować lepszych standardów tworzenia oprogramowania dla medycznego sprzętu?

Na koniec jeszcze mały smaczek dla paranoików. Dobrze jest, jeśli lukę w oprogramowaniu odkryją hakerzy o dobrych sercach, tacy jak Barnaby Jack (choć pewnie bankierzy by się nie zgodzili, biorąc pod uwagę co robił ten człowiek z bankomatami). Co jednak, jeśli luki w medycznym oprogramowaniu będą odkrywane przez ludzi pokroju hakerów z francuskiego VUPEN Security, firmy znanej przede wszystkim z tego, że sprzedaje za ciężkie pieniądze informacje o podatnościach na ataki klientom rządowym i biznesowym? Przypadkowa śmierć korzystającego z rozrusznika serca działacza opozycji... to jeszcze lepsze niż jego samobójstwo.

A ci, którzy myślą, że problem ich nie dotyczy, niech zastanowią się, jak będzie wyglądało ich życie za 20, 50 czy 100 lat. Nie żyjemy jak nasi przodkowie, i nie będziemy jak oni umierali. Przedłużające życie technologie medyczne staną się codziennością jeszcze w tym stuleciu, nawet jeśli czasem mogłyby to życie gwałtownie skrócić.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.