Med hjertet på Internett – Hacking av medisinske implantat

For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. hack.lu logo

Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.

Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.

En stund etter operasjonen søkte jeg opp og studerte den tekniske manualen med tanke på mulige angrep. Jeg ble ganske overrasket da jeg oppdaget at min pacemaker hadde innebygd funksjonalitet for trådløs kommunikasjon mot et aksesspunkt knyttet til mobilnettet.

Det viste seg at jeg hadde fått den aller nyeste modellen tilgjengelig på det tidspunktet jeg ble operert og denne var selvfølgelig «smart», med mulighet for å sende logger over Internett til en server kontrollert av produsenten, som min behandler kunne logge seg på for å overvåke hjertet mitt. Denne muligheten for tett oppfølging har i studier vist seg å være svært nyttig og ført til redusert dødelighet for enkelte pasientgrupper, noe som selvfølgelig er positivt. Men, for meg som sikkerhetsforsker betyr «smart» det samme som «større angrepsflate».

Det bekymrer meg at hjertet mitt kan kobles til Internett, i likhet med andre «smarte» dingser. «Internet-of-Things» er på full fart inn i hverdagen vår, noe som også fører med seg nye utfordringer. Plutselig må vi bekymre oss for at kjøleskapet skal gi uvedkommende tilgang til e-posten vår, at Smart-TVen spionerer på oss, eller at vannkokeren kan brukes til å hacke trådløsnettet. Og hvordan installerer man egentlig sikkerhetsoppdateringer i de nye smarte lyspærene?

Det er ikke noen nyhet at pacemakere er sårbare for hacking. Allerede i 2008 publiserte en gruppe forskere, ledet av Kevin Fu en akademisk artikkel som viste at det er mulig å hente ut personsensitiv informasjon fra pacemakeren eller true pasientens liv ved å skru av eller endre pacemakerens oppførsel. Heldigvis kunne ikke et slikt angrep fjernstyres, men krevde en radiosender i umiddelbar nærhet til pasienten. Et mer truende angrepsscenario ble utviklet av hackeren Barnaby Jack, som skulle holde et foredrag på konferansen Blackhat i 2013 om muligheten for å fjernstyre pacemakere via trådløs kommunikasjon på 15 meters avstand. Dessverre døde Barnaby Jack bare dager før konferansen og forskningen hans har ikke blitt videreført.

I homeland sesong 2, episode 10 blir USAs visepresident drept av terrorister via pacemaker-hacking.

I Homeland sesong 2, episode 10 «Broken Hearts» blir USAs visepresident drept av terrorister via pacemaker-hacking.

Pacemakeren gjør at jeg kan leve livet mitt akkurat som før, mens uten pacemakeren hadde jeg mest sannsynlig ikke vært her idag, så for meg oppveier fordelene uten tvil ulempene. Sannsynligheten for at noen ønsker å utføre et målrettet og ressurskrevende cyberangrep på meg er også veldig liten.

For mer utsatte maktpersoner utgjør dette en mer reell trussel, for eksempel fikk USAs tidligere visepresident Dick Cheney fjernet muligheten for trådløs kommunikasjon i sin pacemaker. Den populære serien Homeland viste en episode hvor visepresidenten ble drept av terrorister via hacking av pacemakeren, i denne bloggposten vurderer Barnaby Jack realismen i et slikt angrepsscenerio.

Ingen har så langt bevist at det er mulig for uvedkommende å fjernstyre en pacemaker via Internett, men det finnes flere eksempler på at livskritisk medisinsk utstyr har vært eksponert på Internett.  Utstyret må i noen tilfeller ha nettverkstilkobling for at leverandøren skal kunne ha fjerntilgang, eller sykehusnettverket kan være satt opp på en slik måte at utstyr blir eksponert utilsiktet.

Scott Erven og Mark Collao brukte søkeverktøyet Shodan og fant flere hundre røntgenapparat, MR-maskiner og medisinpumper tilgjengelige for innlogging og sårbare for hackere på grunn av dårlig passordbeskyttelse. Tidligere i sommer sendte FDA (US Food and Drug Administration) ut den aller første advarselen om bruk av en bestemt type medisinpumper på grunn av dårlig informasjonssikkerhet. Dette på bakgrunn av at sikkerhetsforskeren Billy Rios  hadde funnet sårbarheter i medisinpumpene som muliggjorde opplasting av uautoriserte firmwareoppdateringer. I verste fall kunne en person lastet opp skadelig programvare via Internett, noe som kunne få medisinpumpene til å gi pasienter dødelige medisindoser.

Medisinsk utstyr er dyrt å anskaffe og har relativt lang levetid, det er en langvarig prosess for leverandører å få godkjent utstyret for salg. Dette betyr at en stor del kjører programvare på utdaterte plattformer, som for eksempel embedded Windows XP. Når sårbarheter blir oppdaget er det ikke alltid enkelt å få installert sikkerhetsoppdateringer. I mitt tilfelle kan ikke programvaren i pacemakeren oppdateres, så om det blir oppdaget kritiske sårbarheter må jeg gjennom en operasjon for å få en ny versjon.

Til tross for dette, ønsker jeg at flere sikkerhetsforskere interesserer seg for sikkerheten i disse livskritiske maskinene som flere og flere blir avhengige av. Noe av problemet med å forske på dette er at de fremstår som svarte bokser med proprietær programvare. Karen Sandler, jurist og tilhenger av åpen kildekode kontaktet flere leverandører av pacemakere for å få tilgang til programvaren da hun skulle få implantert sin hjertestarter, men møtte stengte dører.

Selv om ikke programvaren blir tilgjengeliggjort, vil tredjeparts testing kunne styrke tilliten til teknologien. En problemstilling som nylig ble aktualisert i utslippstest-skandalen hos Volkswagen. Kevin Fu har startet et lovende initativ med å etablere et testbed for medisinsk utstyr, et såkalt «Bring your own hospital» hvor man kan teste utsyr mot forskjellige typer angrep, samt øve på hendelseshåndtering. Hans forskningsgruppe hadde også et prosjekt der de samlet inn brukte medisinske implantat til forskningsformål, men måtte gi opp prosjektet på grunn av kostbare smittevernstiltak.

En utfordring er at ny teknologi blir tatt i bruk raskere enn man har klart å sikre produktene eller gjøre andre risikoreduserende tiltak. FDA har våknet opp og publiserte i fjor oppdaterte retningslinjer for godkjenning av medisinsk utstyr for salg i USA, som inkluderte krav til risikovurdering av cybertrusler som en del av utviklingsløpet. Grasrotorganisasjonen «I am The Cavalry» (jeg er med i denne) er en gruppe frivillige som har tatt initiativ til bedre dialog mellom sikkerhetsforskere, leverandører og myndighetene. Et tiltak som hjelper på samarbeidet og som flere leverandører har startet med, er å publisere en såkalt «coordinated disclosure policy». Dette betyr at sikkerhetsforskere som finner sårbarheter vet hvordan de lett kan komme i dialog med produsenten for å formidle denne informasjonen, uten å sette pasientsikkerheten i fare.

Historien har vist at det er mulig å skape endring. For mindre enn to hundre år siden visste man ikke at håndvask på sykehusene kunne redde menneskeliv, at sykdom smittet via bakterier var ikke oppdaget enda og sykehuspersonell måtte overbevises om at håndvask var viktig. Når jeg har tatt opp mine bekymringer om sårbarheter eller «bugs» i programvaren i min pacemaker med helsepersonell har de blitt oppriktig overrasket, dette er en helt ukjent problemstilling for dem. Jeg håper at de som er ansvarlige for innkjøp av livskritisk medisinsk utstyr i fremtiden vil ta cybersikkerhet med som en naturlig del av kravspesifikasjonen, slik at neste gang jeg blir operert vil jeg få et implantat som i tillegg til å være fri for bakterier også er fri for sårbarheter som kan utnyttes av datavirus.