750 tys. rozruszników serca podatnych na atak. Mają je także polscy pacjenci

Celem ataku cyberprzestępców może być nawet rozrusznik serca. Firma Medtronic, której rozruszniki i pompy insulinowe są dostępne także w Polsce, ostrzega o poważnej luce w swoim oprogramowaniu. Podatnych może być nawet 750 tys. urządzeń na całym świecie.

Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych wydał ostrzeżenie, w którym przypisał lukom wysoki wskaźnik CVSS – 9.3 w 10-stopniowej skali (im wyższy, tym groźniejszy problem). Poprosiłam także Urząd Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych o informację, czy analogiczne ostrzeżenie zostanie wydane także w Polsce. W chwili pisania artykułu na stronie Urzędu nie było takiego komunikatu.

Medtronic ostrzega przed dwiema podatnościami w swoim protokole komunikacji Connexus. Jedna z nich pozwala odczytywać dane z atakowanego urządzenia, druga zaś modyfikować niezabezpieczoną transmisję między dwoma urządzeniami (na przykład monitorem i rozrusznikiem). Luki znajdują się w sumie w 16 modelach rozruszników serca, monitorów oraz przenośnych komputerów, pozwalających na programowanie rozruszników w klinikach. Są to modele z różnych lat. Niektóre z nich wciąż są w sprzedaży, wiele z nich jest używanych przez pacjentów również w Polsce.

Luka umożliwia zmianę parametrów oprogramowania rozrusznika serca i w ten sposób zaszkodzenie osobie, której go wszczepiono. Rozruszniki wysyłają elektryczne impulsy, by regulować pracę serca i zapobiegać anomaliom, w ten sposób chroniąc życie ludzi. W ekstremalnej sytuacji atak zmieniający kalibrację urządzenia może doprowadzić nawet do śmierci ofiary.

Rozruszniki serca, pompy insulinowe i podobne urządzenia z jednej strony ratują życie, ale z drugiej są kopalnią luk zabezpieczeń. Pod koniec 2018 roku ukazał się raport prezentujący opłakany stan ich oprogramowania. Na stronie URPL znajdziemy cały zestaw ostrzeżeń dotyczących rozruszników różnych producentów. Transmisja danych odbywa się bez żadnych zabezpieczeń, brak nawet rozsądnej autoryzacji. Sprzęt medyczny nie jest tu odosobniony – na podobne bolączki cierpią maszyny przemysłowe i budowlane.

Problem jest znany od lat. Jeśli śledzicie politykę USA, na pewno pamiętacie Dicka Cheneya. Nie chodzi jednak o wypadek podczas polowania na przepiórki, ale o rozrusznik serca, który mu wszczepiono w 2007 roku. Wtedy wiceprezydent USA zapytał specjalistów, czy do urządzenia można się włamać. Odpowiedź brzmiała podobno: „jak najbardziej, panie wiceprezydencie”. Nic dziwnego, że polityk poprosił lekarzy o wyłączenie komunikacji bezprzewodowej ze swoim rozrusznikiem. Cyberprzestępcy mieli otwartą drogę, by zaplanować zamach na jego życie. Ochrona nawet by się nie zorientowała, że dzieje się coś niedobrego.

Wada na szczęście nie jest oczywista i osoba bez specjalistycznej wiedzy jej nie wykorzysta. Trudno powiedzieć, czy takie osoby istnieją poza listą płac firmy Medtronic. Nie umniejsza to jednak zagrożenia dla życia wielu osób, zwłaszcza że urządzenia medyczne tego typu można bez problemu kupić w sklepach internetowych i na aukcjach.

Najlepszym wyjściem jak zwykle jest ostrożność. Można też pójść za przykładem Dicka Cheneya i poprosić o wyłączenie komunikacji bezprzewodowej rozrusznika, ale Medtronic tego nie zaleca. W końcu pozwala ona na zdalne monitorowanie pracy serca pacjentów. Nie ma też potrzeby, by wymieniać rozruszniki.

Medtronic zaleca, by pacjenci używali monitorów pracy serca pochodzących wyłącznie z pewnego źródła – na przykład otrzymanych po operacji od lekarzy lub kupionych bezpośrednio od firmy Medtronic. Monitor zdobyty na własną rękę może zawierać szkodliwe oprogramowanie i umożliwić zdalne przeprowadzenie ataku. Ponadto osobom z wszczepionym rozrusznikiem zaleca się, by dobrze pilnowały swoich monitorów pracy serca i dbały o ich aktualizację.

Równie łatwo można uzyskać dostęp do urządzeń programujących rozruszniki. Na liście podatnych urządzeń znalazł się między innymi przenośny programator Medtronic CareLink 2090, używany do modyfikowania parametrów pracy. W odpowiednich rękach mógłby stanowić śmiercionośną i niezwykle dyskretną broń. Atak można przeprowadzić z odległości maksymalnie 6 metrów.

Firma Medtronic obecnie monitoruje swoją sieć w poszukiwaniu oznak ataków. Na razie nie ma sygnałów świadczących o tym, że luki zostały wykorzystane w prawdziwym ataku. Rozruszniki mają wbudowane zabezpieczenie, które wyłączy komunikację bezprzewodową, jeśli urządzenie otrzyma nietypową komendę, atakujący musi więc mieć szczegółowe informacje o działaniu sprzętu. W przygotowaniu jest też aktualizacja, która zabezpieczy luki.