Marie Moe y la seguridad del marcapasos



Los dispositivos de consumo futuro, incluidos los marcapasos, deben construirse con seguridad desde el principio.

Existe una larga tradición de piratear sus propias cosas en la comunidad de seguridad, pero cuando se trata de piratear a sí mismo, Marie Moe está en una liga diferente. El Dr. Moe, que ahora es consultor senior de seguridad en la empresa mnemonic de ciberseguridad con sede en Oslo, también se ha desempeñado como investigador científico en SINTEF y profesor en el Universidad Noruega de Ciencia y Tecnología (NTNU). Pero algo aún más interesante sobre el Dr. Moe, que tiene un marcapasos instalado en su cuerpo, es que sintió mucha curiosidad por su perfil de seguridad.

Hace cinco años, en 2015, aproximadamente cuatro años después de que le pusieran un marcapasos BIOTRONIK CardioMessenger II en el cuerpo, Marie inició el Proyecto de pirateo de marcapasos. El enfoque principal en ese momento era comprender cómo el dispositivo del que depende su vida resistiría el escrutinio de seguridad externo. En resumen, Marie quería saber si alguien podría cortarle el corazón.

En julio de 2020, Marie publicó un conjunto de hallazgos de seguridad que había estado embargada durante más de un año en un proceso coordinado de divulgación de vulnerabilidades. En última instancia, aunque las cinco vulnerabilidades que ella y su grupo de investigación encontraron son lo suficientemente graves como para justificar su propia Asesoría CERT y la participación de la Administración Federal de Drogas, el proveedor no planea publicar ninguna actualización del producto. Tenga en cuenta que, hasta ahora, «ningún exploit público conocido se dirige específicamente a estas vulnerabilidades», dice el Aviso. También tenga en cuenta que estas vulnerabilidades no se pueden utilizar para reprogramar directamente un marcapasos o piratear el corazón de alguien.

Las cinco vulnerabilidades son:

  • Autenticación incorrecta
  • Transmisión de credenciales de texto sin cifrar antes del cifrado
  • Reutilización de credenciales
  • Almacenamiento transparente de datos médicos
  • Almacenamiento de contraseña incorrecto en el dispositivo

Se puede obtener una descripción técnica del proyecto de pruebas y análisis realizado por Guillaume Bour para descubrir estas vulnerabilidades. encontrado aquí.

Quien esta en riesgo

Los dispositivos de marcapasos son una gran industria, con aproximadamente un millón de ellos instalados en pacientes cada año. La recopilación y transmisión remota de datos a través de Internet es ahora un problema estándar. Por lo common, se trata de una unidad de monitorización domiciliaria que se envía al paciente cuando se le envía a casa con un marcapasos nuevo. Por lo tanto, todos estos pacientes corren el riesgo de que se extraigan sus datos médicos.

Como saben incluso los principiantes en seguridad, cuando conecta un dispositivo (o dispositivos) a través de una crimson de comunicaciones pública, se debe tener cuidado de no exponer el sistema a ataques de atacantes en el medio. Esto es particularmente preocupante cuando se trata de datos médicos que impactan directamente en la vida de un paciente. Aparentemente, el marcapasos en cuestión configura sus comunicaciones de manera particularmente pobre.

¿Cómo arreglamos esto?

Los dispositivos médicos, como los marcapasos, no son los únicos dispositivos habilitados para Online que ingresan a las situaciones de consumo y empresas convencionales. En un futuro no muy lejano, encontrar un dispositivo no habilitado para Internet será un evento raro, es decir, todo se comunicará por lo menos a través de la Red. La solución obvia para erradicar vulnerabilidades como las que encontraron Marie y su grupo es la construcción de seguridad. Los días de diseño de protocolos de comunicaciones de seguridad de vuelo nocturno y criptografía aplicada súper débil están contados. ¿Correcto?

Gary McGraw es cofundador del Berryville Institute of Device Learning. Es una autoridad mundialmente reconocida en seguridad de computer software y autor de los ocho libros más vendidos sobre este tema. Sus títulos incluyen seguridad de software, explotación de program, creación de software package seguro, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique