{"id":51578,"date":"2018-05-04T22:15:03","date_gmt":"2018-05-04T21:15:03","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=51578"},"modified":"2019-07-11T20:23:00","modified_gmt":"2019-07-11T19:23:00","slug":"mezzo-milione-di-pacemaker-in-pericolo-per-un-bug-nel-firmware","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/mezzo-milione-di-pacemaker-in-pericolo-per-un-bug-nel-firmware\/51578\/","title":{"rendered":"Mezzo milione di pacemaker in pericolo per un bug nel firmware"},"content":{"rendered":"

La Food and Drug Administration (FDA) degli Stati Uniti lo scorso mese ha approvato una patch del firmware per pacemaker fatta da Abbott’s (precedentemente St Jude Medical) che per\u00f2 \u00e8 risultata vulnerabile agli attacchi di cybersecurity e che mette a rischio di improvvisa perdita di potenza della batteria i pacemaker<\/strong>.<\/span><\/p>\n

Circa 465.000 pazienti<\/strong>\u00a0sono colpiti da questo pericolo.<\/span>\u00a0La\u00a0FDA raccomanda\u00a0che tutti i pazienti interessati ottengano l’aggiornamento del firmware “alla successiva visita programmata o, se del caso, in base alle preferenze del paziente e del medico”.<\/span><\/p>\n

I pacemaker sono piccoli dispositivi utilizzati per aiutare a sistemare i battiti cardiaci irregolari.<\/span>\u00a0Le vulnerabilit\u00e0 della cibersicurezza sono state riscontrate nei defibrillatori cardioverter impiantabili (ICD) e nei defibrillatori per terapia di resincronizzazione cardiaca (CRT-D) di Abbott.<\/span><\/p>\n

A settembre 2016,\u00a0la societ\u00e0 Abbott’s\u00a0 cit\u00f2 la societ\u00e0 di sicurezza Internet of Things (IoT) MedSec\u00a0per diffamazione dopo che aveva pubblicato articoli che dichiaravano che la St Jude avrebbe dato false informazioni sui bug nelle sue apparecchiature.<\/span><\/p>\n

Nel gennaio 2017, cinque mesi dopo che la FDA e il Dipartimento della Sicurezza Nazionale (DHS) hanno pubblicato notizie in cui si affermava che i pacemaker e la tecnologia di monitoraggio cardiaco di St Jude Medical erano vulnerabili ad attacchi potenzialmente letali<\/strong>, i consulenti di sicurezza di Bishop Fox hanno confermato la validit\u00e0 delle scoperte di MedSec.<\/span>\u00a0L’azienda ha quindi dovuto\u00a0pubblicare una serie di correzioni di sicurezza.<\/span><\/p>\n

Gli aggiornamenti di gennaio riguardavano il sistema di monitoraggio remoto<\/strong> Merlin, che viene utilizzato con pacemaker e defibrillatori impiantabili.<\/span><\/p>\n

All’epoca, l’esperto di crittografia Matthew Green<\/strong>, un assistente professore alla Johns Hopkins University, descriveva lo scenario di vulnerabilit\u00e0 del pacemaker come un vero e proprio incubo.<\/span><\/p>\n

Ha pubblicato una\u00a0serie di tweet<\/a>\u00a0sull’argomento, inclusi questi messaggi:<\/span><\/p>\n

Il problema \u00e8 che i comandi critici: shock, aggiornamenti firmware del dispositivo ecc. Dovrebbero provenire solo dal programmatore ospedaliero 5 \/<\/span><\/em><\/p>\n

Sfortunatamente SJM non ha usato una autenticazione forte.<\/span>\u00a0Risultato: qualsiasi dispositivo che conosca il protocollo (compresi i dispositivi domestici) pu\u00f2 inviare comandi 6 \/<\/span><\/em><\/p>\n

E peggio, possono inviare questi comandi (potenzialmente pericolosi) via RF da una certa distanza.<\/span>\u00a0Non lasciando traccia.<\/span>\u00a07 \/<\/span><\/em><\/p><\/blockquote>\n

Nello specifico, i dispositivi utilizzano l’autenticazione RSA a 24 bit, ha scritto: “No, non \u00e8 un errore di battitura.” Oltre all’autenticazione debole, St Jude ha incluso anche un codice fisso di override a 3 byte, ha detto Green.<\/span><\/p>\n

Adesso sto piangendo.<\/span><\/em><\/p><\/blockquote>\n

Ad oggi, non sono noti resoconti di pazienti danneggiati a causa di vulnerabilit\u00e0 della sicurezza, sia nei sistemi Merlin che negli ICD e CRT-D trattati nel pi\u00f9 recente advisory sulla sicurezza.<\/span>\u00a0Ecco l’elenco di questi dispositivi:<\/span><\/p>\n