Post on 15-Apr-2017
Recita: La storia di un nerd – Mario che riprogrammò il pacemaker del presidente
OriginalPublishedonJanuary12,2016
ByAlessandroMazzarisiSeniorTechnicianatNa=onalResearchCouncilIns=tuteofClinicalPhysiology
Quante cose non avevano funzionato in quei giorniperchéciòpotesseaccadere…Serveun raccontodi fantasia per alzare l'a4enzione su un temasco4ante. Per ada4arsi alle norma8ve che si evolvono, i nuoviMedical-Device invecediesserecer8fica8ex-novo,usanosemprele cer8ficazioni ricevute per prodo@ di precedente generazione,aggiungendo solamente stra8 di sicurezza. È quello che accadeanche per i canali trasmissivi così de@ sicuri, costrui8 sutecnologievecchieebenconosciute.Ènotoatu@cheèu8lechedisicurezzaneparli,esiaverificatadachidisicurezzanefailsuomes8ere. Quando in gioco ci sono grandi interessi come suipacemakereidefibrillatoriimpiantabili,fa@pagareacaroprezzoalla colle@vità, servono competenze indipenden8 per dare ledovuteautorizzazioni,apar8redagliIngegneriBiomedicieClinici.
Quante cose non avevano funzionato in quei giorni perché ciòpotesseaccadere
Marioeraarrabbiatoconilmondo,eMarioeraunnerd,unoche
conlatecnologiacisapevafare.
Odiava il suo ex-presidente perché improvvisamente lo aveva
licenziatoederarimastosoloesenzasoldidaparte,perchéaveva
dedicatotuKalasuavitaallavoro.
Nonvedevailsuoex-presidentedadueanni.
L’azienda che offriva servizi di Ingegneria Clinica era stata
completamentede-localizzataall’estero.
Regolarmente il suo ex-presidente tornava nella ciKà di Mario,
dovecon=nuavaavivereconlasuafamiglia.
UnamaQna, lo vide entrare in Ospedale, eMario sapeva bene
perchéilsuoex-presidenteeralì.
Aveva lavorato in quell’ospedale come esperto della sicurezza
ambientaleeconoscevapersonalmenteilpresidente.
Ilpresidenteerauncardiopa=co.
Avevauncuorearitmicocompromessodaanni.
Portavaunpacemakercondefibrillatoreimpiantabile.
Mario,inpredaalladepressioneautodistruQvacheloassillavada
tempo,iniziòaconvogliarelasuaenergianega=vasuchiloaveva
ridoKoinquellostato.
ConoscevatuKosulletecnologiedicomunicazionedigitali,edera
unespertoditelecomunicazionieappara=radioricetrasmiKen=.
Quel giorno rivedendo il suo ex-presidente, fu rapito da un’idea
distruQvaacuipiù̀pensavaepiù̀provavaunsensodisollievo,un
tarlocheglisuggerivaincessantemente:
”Eseprovassiariprogrammareilpacemakerdelpresidente?”
Era una sfida intelleKuale alleKante per una mente che aveva
persolabussola,ilsacroconfinetraunaKolecitoeunoillegale.
Si ricordò che quando faceva bonifiche di sicurezza ambientale,
usava un registratore digitale di segnali radio auto costruito, che
ancoraconservava.
Una scatola nera che nel raggio di pochi metri era in grado di
registrare le comunicazioni digitali via radio di qualsiasi disposi=vo
eleKronico.
Per poterci riuscire era necessario conoscere la frequenza
trasmissivae il=podimodulazioneconcui ilpacemakerparlava
conlaretedimonitoraggio,oppureaveretempoelacertezzache
stessetrasmeKendosolounacoppiadidisposi=viallavolta.
Con un po’ di lavoro poteva adaKarsi perfeKamente a qualsiasi
=podidisposi=vowireless,ancheunpacemaker.
Eraproprioilsuocaso
Quel giorno non aveva con sé quel giocaKolo da spia di altri
tempi;eranellasoffiKadicasasua,ederavenutoilmomentodi
farlolavoraredinuovo.
RimandòlavendeKaetornatoacasa,=ròfuorituKoilnecessario
perriprendereafareilsuolavorodiuntempo:
dopodueanni,ilricevitorepassivoeilso@warecheanalizzavalecomunicazioni,incredibilmente,funzionavanoancora.
Aveva un paio di dubbi – 1) come avrebbe potuto avvicinassi al
suo ex-presidente, e 2) non sapeva quando sarebbe tornato di
nuovoinciKà.
Perriprogrammareilpacemaker,lavicinanzafisicaeraunrequisito
indispensabile.
Mario si mise a spiare le comunicazioni del presidente: la posta
eleKronica,ilcellulareeisocialnetworkacuieraregistrato.
Senza troppe difficoltà scoprì il prossimo appuntamento del
presidente nell’ospedale della sua ciKà; purtroppo aveva solo una
seQmanaditempoperorganizzarelasuaazione.
Dovevatrovareilmododiavvicinarlosenzadisturbarloeregistrare
la comunicazione criptata tra il pacemaker e il programmatore
professionaleusatodaimedici.
ErailprimoobieEvodaraggiungerepermeFereinscenailsuopiano
Per recuperare tuQ Ida=chegli servivanodovevaconoscerequal
era la marca e il modello del pacemaker che il presidente aveva
impiantatonelpeKo.
Indagòcomefaunhacker
AKraverso il sitowebaziendale, indagò sui resocon=degli acquis=
faQnegliul=miannie trovò la listadeiproduKoridipacemakere
deidefibrillatoriimpiantabilichestavanousando.
Cercò le tracce lasciate dall'amministrazione dell'ospedale e
dalrepartodiingegneriaclinicadoveavevalavoratopertan=
anni,elofeceaccedendoaicomputerancorainservizio,che
luistessoavevaconfigurato.
Per trovare il modello esaKo Mario cercò tra le tracce che il
presidente lasciava sui social network, incrociandole con le e-mail
privatecheincurantedellasicurezzainforma=ca,con=nuavaausare
senzaauten=cazione,usandol'indirizzopubblicodell'azienda.
Inunadelleemailcheconservavasulsuoaccountcondiviso,trovòil
nome e il codice del pacemaker che gli avevano impiantato; un
device sofis=catoma soggeKo a numerose regolazioni per potersi
adaKareallos=ledivitadell’ospitante.
AllafineMarioscoprìanche ledatedituQgliappuntamen=che il
presidenteavevagiàprogramma=nell’ospedale.
MaperregistrareedecodificarelecomunicazionidigitaliviaradiofrequenzalacosafuarJcolata.
Iduesiconoscevanoepernonfarsiscoprire,nascoseilregistratore
di segnali, nella scatola di uno smartphone, che consegnò a uno
sbandatodelsuoquar=ere,promeKendogliunariccaricompensain
cambiodiun“lavoreKopulito”.
L’incaricato,sisarebbedovutoavvicinareconlascatolaaunlocale
dell'ospedaleindicatodaMario,inungiornoeaun’oraprecisa,per
registrareirumoriambientali.
Losbandato,ignarodiquelloacuisisarebbeprestato,acconsenf.
IlgiornodelcontrollodelpacemakereratuKopronto.
Il presidente come faceva da alcuni mesi tornò al laboratorio di
aritmologia dell'ospedale per farsi riprogrammare il suo prezioso
disposi=voinmodochesiadaKassealsuos=ledivita.
Ancheilpresidenteeraignarodiquellocheglistavaperaccadere.
InunastanzaaQguaal laboratorio,dietrounaparetefuoridalla
vistadelmedico, losbandatoregistrò iltrafficoda=preziosoper
Mario, quella comunicazione speciale con cui il professionista di
fiducia del presidente, riconfigurava tuQ i pacemaker, come
facevasempre,ognigiornoinbuonafede.
Marioeraentrato inpossessodiquello streamingdida=digitali
prontoperesseredatoinpastoalsuovecchioegloriososogware
dianalisi.
Sapeva tuFo: ilmodellodel pacemaker edel programmatore, il
=po di modulazione in radiofrequenza usato, le codifiche e i
protocolli usa= perché erano descriQ nei manuali accessibili in
reteesuimotoridiricerca.
OratoccavaaMario.
Iniziò il suo lavoro di hacker con l’acquistare tuKo l’hardware
necessariosuebay.Non fu il traffico SSL a fermarlo, perché erano anni che i nerd
sapevano come de-criptarlo; serviva solo tempo e lui ne aveva
tanto.
Ci vollero seQmane di prove per trovare una logica in quella
sequenza di da= cripta= che avrebbe dovuto scambiare con il
pacemaker.
U=lizzando lo stesso leKore di traccia= ed even= usato dal
presidente a casa sua e che Mario aveva comprato su eBay,
disassemblò il firmware, entrò come root e scoprì le chiavi dicomunicazione private, grazie al tracciato registrato con il suo
disposi=vo.
Ontherightascreenshotevidencing
MuddyWatersgotrooton
Merlin@homedevices(usingexploits
developedbyMedSec):
Poi,graziealcalendariodellevisiteall’ospedaledelpresidente,Marioriuscì
a programmare più tenta=vi per testare le modifiche che stava
introducendo nello streaming di cui aveva faKo il reverse engineering e
finalmenteriuscireadimbrogliareilpacemakerdacontrollare.
Anche trovare un trasmeQtore di segnali radio adeguato, in grado diconvincere il pacemaker da colpire di essere lo stesso programmatore
usato dai medici dall’ospedale non fu facile; ma ormai con quello che
Mariosapeva,ciriuscì.
Ilprimotenta=vodihackeraggiocheorganizzòfuunfallimento
Mario era nelle vicinanze della sala di aKesa del reparto di aritmologia,
solo, al buio, nel ripos=glio della diKa delle pulizie,ma la prima volta la
comunicazionenemmenoiniziò.
Mario inviò i nuovi codici al disposi=vo impiantato nel peKo del
presidentesenzaconoscerneglieffeQ.
Pochiminu=dopoilpresidenteiniziòasen=rsimale.
Si alzò dalla sala di aKesa barcollando, in cerca di aiuto, ed era in
stato confusionale, quando incontrò Mario direKo verso l’uscita,
prontoacantarviKoria.
Marioeraunnerd,mainfondoeraancheunabravapersonaenonse
lasenfdilasciareilsuoex-presidenteinquellostato.
Registròunanuovasequenzaedopoaverlaanalizzata,al
secondotenta=vo,dopoessersidinuovoappostatonelle
vicinanzedellasaladiaKesa,ilsistemaeilpacemakerdelpresidenteparlarono.
Lo prese soKobraccio e l’accompagnò nel laboratorio di
eleKrofisiologiachiedendoaiutoalpostosuo.
Imediciprestaronoassistenzaalpresidente, loportaronoinsala
operatoria e riprogrammarono il pacemaker impazzito,
cancellandotuKeletraccedellosforzodiMario.
Pur sapendo di rischiare di essere scoperto, Mario decise di
pubblicare la storia, sucomeaveva riprogrammato ilpacemaker
delpresidenteelainviòalgiornaledelsuopaese.
Il giornalista ricevuta l’auto-denuncia, per verificare le no=zie
contenute nell’ar=colo, contaKò il medico di fiducia del
presidente,ilquale,rivoltosialladiKaproduKricedelpacemaker,
dopoaverricevutounalungaeconvincentespiegazionedaparte
dellamul=nazionale sulla sicurezza dei disposi=vi in commercio,
convinseilgiornalistaanonpubblicarenulla.
Passarono pochi giorni eMario si rese presto conto della beffa
che aveva subito: niente ar=colo pubblicato sul giornale e
sopraKuKo,ilgiornalelocaleacuisierarivolto,improvvisamente,
aveva iniziato una nuova stagione editoriale: la rubrica sulle
denuncedei ciKadiniera stata soppressa,e il giornalista zelante
fuspostatoallacronaca.
Per quel suo gesto sconsiderato, l’unico a rimeKerci era stato il
giornalistastrapazzatodalsuoeditore.
Mario avvilito, era ripiombato nella depressione, e prima di
scomparire, decise di scrivere la sua storia con dovizia di
par=colari, adaKandola per un social network frequentato dai
professionis=dellasicurezzainforma=ca.
Sapevabenissimo chepiacen=ononpiacen=, quei suoi discorsi
sullasicurezzaavrebberofaKoarrabbiarelemul=nazionali.
Ormainongliimportavapiùnulla.
Sen=tosiminacciato,Mariocondiviselasuastoriasudiuncloud;
mentre una copia della storia completa, la condivise via tor nel
darkwebframmentatasucen=naiadimigliaiadiserverintuKoil
mondo.
Disperatoecontroognilogicarazionaleeraprontoacondividere
ilsuoul=mosforzo.
Aggiustòlagrafica,evidenziòleparolechiaveusandoglihashtag,
le gratelle usate per indicizzare i tes= sui motori di ricerca. Era
pronto a fare il suo click, amandare in rete tuKo il veleno che
avevaincorpo.
Lo faceva per per ammonire e rendere consapevoli tuQ quei
medici sempre compiacen= con lemul=nazionali, sulla sicurezza
di quei disposi=vi che impiantavano nei pazien=, con tanta
leggerezza.
Improvvisamente il suono di un sms, accese per un aQmo il
displaydelsuosmartphone.:
“Mario,sappiamodovesei,non=muovereenoninviarenullainrete”
TuKe lecomunicazionieranocontrollatemadecisedi regalarea
tuQlasuastoria.
Cliccòsulpulsante“Invia”etuKe leprovefinironoframmentate
intan=par=diversediunfilmpornocondivisosudiunodeitan=
servertor.
Eilseguito,diretevoi...
CometuKelestorie,anchequestaebbeunseguito.
DelnostroMariononsiseppepiù̀nulla.
Da quando accaddero quegli even= nel gennaio 2016, quan= nerd
comeMariociprovaronoancora,nonèdatosaperlo.
D’altra parte, prima addestriamo i nostri professionisJ dellasicurezza a spese della comunità, poi li soFo inquadriamo e lisoFopaghiamo, e infine li facciamo fuori nella speranza che nellenostreorganizzazionivadasempretuFobene.
Quan= “Mario” dispera= potranno in futuro meKere in pericolo la
vitadialtriciKadinieperdipiùaloroinsaputa?
Domandeacuiimedicidasempresonosta=addestra=arisponderci
conparolerassicuran=,enoinonsapremomailaverità.
GraziedellavostraaFenzioneAlessandroMazzarisi - SeniorTechnicianatNa8onalResearchCouncil Ins8tuteofClinicalPhysiology, Co-reviewed Ar8cles, Interna8onal Conference Papers, Full-Texts, I am avisionarytechnicianwithoverthirtyyearsofexperienceworkingwithteamswhosefocusisonintegra8ngtechnologyintoourhealthcaresystems.Passionateaboutinnova8on,aswellasonimprovinghealthcareandeduca8on,Ihaveworkedindifferentroleswithpublicandprivatecompanies,governmenten88esanduniversi8esinEurope.IhavetakenpartinthegrowthofItalianbiomedicalengineering,ICTandEHRinfrastructures.Currently,myfocusisondevelopingeffec8vesoWwaresolu8onsforinnova8veEU-projectsattheItalianNa8onalCouncilofResearch. Ihave recently resolved to sharemyexperienceonLinkedinNetworkwithweeklyoriginalar8cles.
mazzaris@ifc.cnr.it
mazzaris@mac.com
mazzaris@gmail.com
hKps://it.linkedin.com/in/mazzaris
…aseguirealcuneslidesdiriferimento
28
August 25, 2016 hacker team demonstrations of two types of cyber attacks against implantable cardiac devices
I Device Medicali controllati in remoto con Radio Frequenze, RF dovrebbero avere una serie di difese che includono:
strong authentication,
encrypted software and code,
anti-debugging tools,
and anti-tampering mechanisms.
Inoltre i costruttori potrebbero richiede meccanismi di attivazione dell comunicazione RF molto lunghe per evitare attacchi ripetuti.
hFp://www.muddywatersresearch.com/research/stj/mw-is-short-stj/
29
Vulnerabilità: I programmatori dei Device Medicali generalmente possono comunicare agevolmente con i dispositivi cardiaci impiantabili perché di solito non c’è un’autenticazione forte implementata nei protocolli di comunicazione. Un malintenzionato che fa reverse engineering delle comunicazioni può accedervi e impersonare tutti gli attori dell’ecosistema.
August 25, 2016 hacker team demonstrations of two types of cyber attacks against implantable cardiac devices
hFp://www.muddywatersresearch.com/research/stj/mw-is-short-stj/
30
August 25, 2016 hacker team demonstrations of two types of cyber attacks against implantable cardiac devices
Sono stati dimostrati due tipi di attacchi:
(a) Un attacco per far alterare i l corretto funzionamento del device impiantato, incluso una stimolazione errata e fuori controllo.
(b) Un attacco per scaricare brutalmente la batteria, scenario altrettanto pericoloso per la possibilità di essere eseguito all’insaputa dell’ospitante per prossimità.
hFp://www.muddywatersresearch.com/research/stj/mw-is-short-stj/