Spełnia się czarny scenariusz. Rozruszniki serca podatne na zdalne ataki

Urządzenia, które ratują życie, są podatne na ataki cyberprzestępców – stwierdza audyt firmy WhiteScope. Użytkownicy programowalnych rozruszników serca to grupa zagrożona nie tylko chorobami układu krążenia, ale także zdalnymi atakami przez internet.

Myśląc o cyberbezpieczeństwie i zagrożeniach, związanych z atakami przez Internet mamy zazwyczaj na myśli komputery i smartfony. Niestety, to złudne przekonanie – podatnych na ataki urządzeń jest znacznie więcej, a wraz z rozwojem technologii ich liczba w naszym otoczeniu staje się coraz większa.

Okazuje się, że rzeczywistość dogoniła popkulturową fikcję – firma WhiteScope przeprowadziła audyt oprogramowania, sterującego pracą rozruszników serca. Znalazła w nim aż 8 tys. różnego rodzaju luk, w tym sprawy tak fundamentalne, jak nieszyfrowane połączenia bezprzewodowe czy współpraca programatorów z przestarzałymi systemami operacyjnymi, jak Windows XP, OS/2 czy nawet DOS. Co więcej, rozruszniki zawierają również wrażliwe dane, związane m.in. ze zdrowiem użytkownika.

Nagłośniony przez WhiteScope problem nie jest jednak wynikiem wyłącznie zaniedbania i braku świadomości. Część lekarzy i producentów sprzętu tłumaczy, że zabezpieczenie implantu hasłem może – w razie jakichś problemów – utrudnić lub opóźnić akcję ratunkową. Z drugiej strony trzeba brać pod uwagę, że rozrusznik pracuje przez długie lata, co częściowo może tłumaczyć współpracę z przestarzałym oprogramowaniem.

W niczym nie zmienia to faktu, że programowalne rozruszniki serca ratują życie (WhiteScope podkreśla: lepiej je mieć, niż nie mieć!), ale zarazem stanowią zagrożenie. Zapewne jest jedynie kwestią czasu praktyczne wykorzystanie istniejących luk. Kradzież danych medycznych wydaje się przy tym najmniej dotkliwym problemem – to prędzej czy później niewłaściwie zabezpieczony implant posłuży do zamachu na życie właściciela. A może już posłużył?

O ile wielu z nas – mniej więcej – zdaje sobie sprawę z tego, że nasz komputer czy telefon może być celem ataku, to świadomość zagrożenia w przypadku innych urządzeń jest znacznie mniejsza. To błąd, bo nasza inteligentna lodówka, oświetlenie czy domowa automatyka stanowi dla cyberprzestępców równie atrakcyjny cel. Nawet, jeśli z samego faktu złamania zabezpieczeń lodówki nie wynika dla nas bezpośrednie zagrożenie, to może być np. etapem włamania do naszej domowej sieci i innych, podłączonych do niej urządzeń.

Wszystkie te problemy - choć ważne – bledną jednak przy tym związanym bezpośrednio z ludzkim zdrowiem i życiem. O ile atak na nasz komputer może pozbawić nas wakacyjnych wspomnień, ważnych dokumentów czy – w najgorszym wypadku – oszczędności, to skutki przejęcia kontroli nad rozrusznikiem serca możemy sobie łatwo wyobrazić.

Scenariusz ten wydawał się do niedawna czysto teoretyczny – można było wizualizować sobie hipotetyczne sytuacje, w których celem ataku staje się rozrusznik serca czy inny, połączony z naszym ciałem sprzęt, jednak scenariusze tego typu eksploatowała głównie popkultura.

Warto przy okazji spojrzeć na ten problem w nieco szerszym kontekście. Komunikujące się radiowo implanty to przecież część Internetu Rzeczy, który miał zmienić nasze życie na lepsze. Może właśnie stoimy przed cienką linią, której przekroczenie sprawi, że rozwój technologii przestanie przekładać się na jakość naszego życia, stając się za to zagrożeniem lub narzędziem opresji?