Peretas pacemaker dapat membunuh melalui laptop

Alat pacu jantung dari beberapa produsen dapat diperintahkan untuk memberikan kejutan mematikan, 830 volt dari seseorang di laptop hingga 50 kaki, hasilnya pemrograman perangkat lunak yang buruk oleh perusahaan alat medis.

Penelitian baru ini datang dari Barnaby Jack dari vendor keamanan IOActive, yang dikenal karena analisisnya tentang peralatan medis lain seperti alat pengantar insulin.

Jack, yang berbicara di keamanan Breakpoint konferensi di Melbourne pada hari Rabu, mengatakan cacat terletak pada pemrograman pemancar nirkabel yang digunakan untuk memberikan instruksi ke alat pacu jantung dan implan cardioverter-defibrillator (ICDs), yang mendeteksi kontraksi jantung tidak teratur dan memberikan sengatan listrik untuk mencegah serangan jantung.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Serangan yang berhasil menggunakan cacat "pasti bisa berakibat fatal," kata Jack, yang telah memberi tahu produsen dari masalah tetapi tidak secara terbuka mengidentifikasi perusahaan.

Dalam demonstrasi video, Jack menunjukkan bagaimana dia bisa membuat alat pacu jantung tiba-tiba menyebabkan kejutan 830 volt, yang bisa didengar dengan suara pop yang dapat didengar.

Risiko nirkabel

Sebanyak 4,6 juta alat pacu jantung dan ICD terjual antara 2006 dan 2011 di AS saja, kata Jack. Di masa lalu, alat pacu jantung dan ICD diprogram ulang oleh staf medis menggunakan tongkat yang harus lulus dalam beberapa meter dari pasien yang memiliki salah satu perangkat yang terpasang. Tongkat itu mengayun peranti lunak yang memungkinkannya menerima instruksi baru.

Barnaby Jack

Tapi trennya sekarang adalah nirkabel. Beberapa produsen medis sekarang menjual pemancar samping tempat tidur yang menggantikan tongkat dan memiliki jangkauan nirkabel hingga 30 hingga 50 kaki. Pada tahun 2006, Badan Administrasi Makanan dan Obat AS menyetujui perangkat implantasi berbasis frekuensi radio penuh yang beroperasi dalam kisaran 400MHz, kata Jack.

Dengan rentang transmisi yang luas, serangan jarak jauh terhadap perangkat lunak menjadi lebih layak, kata Jack. Setelah mempelajari pemancar, Jack menemukan perangkat akan menyerahkan nomor seri dan nomor modelnya setelah dia secara nirkabel menghubungi salah satu dengan perintah khusus.

Dengan nomor seri dan model, Jack kemudian dapat memprogram ulang firmware pemancar, yang akan memungkinkan memprogram ulang alat pacu jantung atau ICD dalam tubuh seseorang.

"Tidak sulit untuk melihat mengapa ini adalah fitur yang mematikan," kata Jack.

Penelitiannya baru saja dimulai. FDA, katanya, hanya melihat pada efektivitas medis perangkat dan tidak melakukan audit terhadap kode perangkat.

"Tujuan saya adalah untuk meningkatkan kesadaran akan potensi serangan berbahaya dan mendorong produsen untuk bertindak untuk meninjau keamanan kode mereka dan bukan hanya mekanisme keamanan tradisional dari perangkat ini, "kata Jack.

Data rentan juga

Dia juga menemukan masalah lain dengan perangkat, seperti fakta mereka sering mengandung data pribadi tentang pasien, seperti nama mereka dan dokter mereka. Tanda-tanda lain dari kode ceroboh juga ditemukan, seperti akses potensial ke server jarak jauh yang digunakan untuk mengembangkan perangkat lunak.

"Implementasi baru ini cacat dalam banyak hal," kata Jack. "Ini benar-benar perlu dikerjakan ulang."

Jack sedang mengembangkan "Electric Feel," sebuah aplikasi dengan antarmuka pengguna grafis yang akan memungkinkan pengguna untuk memindai perangkat medis dalam jangkauan. Daftar akan muncul, dan pengguna dapat memilih perangkat, seperti alat pacu jantung, yang kemudian dapat dimatikan atau dikonfigurasi untuk memberikan kejutan.

Pacemaker standar

Seakan ini tidak cukup buruk, Jack mengatakan adalah mungkin untuk mengunggah firmware yang dibuat khusus ke server perusahaan yang akan menginfeksi beberapa alat pacu jantung dan ICD, menyebar melalui sistem mereka seperti virus sungguhan.

"Kami berpotensi melihat cacing dengan kemampuan melakukan pembunuhan massal," kata Jack. "Ini agak menakutkan."

Ironisnya, baik implan dan pemancar nirkabel mampu menggunakan enkripsi AES (Advance Encryption Standard), tetapi tidak diaktifkan, kata Jack. Perangkat ini juga memiliki "backdoors," atau cara-cara yang dapat diakses oleh para programmer tanpa menggunakan otentikasi standar menggunakan nomor seri dan model.

Ada kebutuhan medis yang sah karena tanpa backdoor, Anda mungkin harus "memotong seseorang yang terbuka", Kata Jack. "Tetapi jika mereka akan memiliki backdoor, setidaknya memilikinya tertanam jauh di dalam inti ICD. Ini adalah perangkat yang mahal."

Presentasi Jack dengan indah diilustrasikan dalam buku komik seperti mode. Pada satu titik, slide menunjukkan seorang pria yang tampak sangat mirip dengan mantan wakil presiden AS Dick Cheney, yang telah lama menderita masalah jantung. Kekurangan perangkat, kata Jack, bisa berarti penyerang bisa melakukan "pembunuhan tanpa nama anonim" dari jarak 50 kaki.

"Bagi saya, laptop tidak terlihat seperti perangkat yang mampu membunuh seseorang," Jack berkata.

Atau sebagai anggota audiens menambahkan: "Tidak ada flash muzzle dengan laptop."

Kirim kiat dan komentar berita ke [email protected]. Ikuti saya di Twitter: @jeremy_kirk