sexta-feira, 8 de agosto de 2008

Aparelhos médicos wireless podem ser invadidos, alertam especialistas



Los Angeles - Onda de rádio usada para transmissão de dados de desfribiladores cardíacos, por exemplo, pode ser invadida por crackers.

Especialistas de segurança wireless têm uma nova área para se preocupar: dispositivos médicos embutidos que se comunicam com o mundo via ondas de rádio, alertaram porta-vozes na conferência de segurança Black Hat, que acontece nesta semana em Los Angeles, Estados Unidos.

De acordo com o alerta, um cracker poderia desregular o aparelho, roubar informações pessoais ali armazenadas e descarregar as baterias, forçando pacientes a se submeter a cirurgias de reposição com urgência, disse Tadayoshi Kohno, um professor assistente no departamento de Ciência da Computação e Engenharia da Universidade de Washington e Kevin Fu, professor assistente da Universidade de Massachussetts Amherst.

Enquanto eles não vêm nenhuma ameaça aos pacientes, os professores chamam pela FDA (Food and Drug Administration) e possivelmente a Comissão de Comunicação Federal se envolverá para ter certeza de que os aparelhos são seguros.

Grupos maliciosos já promoveram ataques a sites que regulam equipamentos usados por pessoas com epilepsia. A instalação de um malware desestabilizou a freqüência do dispositivo, o que pode causar ataques epiléticos, disse Fu.

Fu e Khnmo disseram que hackearam um desfibrilador cardíaco usando um rádio programável e alguma engenharia reversa e podem identificar outras formas pelas quais invasores podem acessar aparelhos como esse. Eles invadiram um modelo de 2003, e os fabricantes já podem ter feito algumas mudanças, mas alguns problemas fundamentais ainda existem.

Os problemas incluem autenticação das máquinas e indivíduos tentando acessar os aparelhos, o que é difícil porque em uma emergência, quando um paciente estiver fora da cidade, os técnicos de emergência médica não terão as credenciais apropriadas. Se o dispositivo estiver lacrado, isso poderia ameaçar suas vidas, disseram os pesquisadores.

Os especialistas propuseram um segundo aparelho chamado cloaker, que seria usado como uma pulseira e bloquearia o acesso ao aparelho principal, mas contém dados de como acessá-lo. Quando o cloaker é removido, o aparelho abriria e um alarme seria disparado para que o paciente saiba.

Os professores afirmam que conseguiram capturar um tráfego entre um desfibrilador cardíaco embutido no corpo de um paciente e seu programador externo e então imitaram o tráfego usando um rádio programável em uma simulação de ataque. Outros poderiam realizar ataques semelhantes se roubassem a programação legítima das máquinas, disseram.

Outros dispositivos implantados que contam com comunicação wireless incluem bombas de insulina, implantes auditivos, neuroestimuladores, marca-passos e até mesmo próteses de membros.

[via]

Nenhum comentário: