Università del Massachusetts, ad Amherst
INNOVATORE DELL’ANNO
Vanificazione di possibili operazioni di hackeraggio sulle trasmissioni dei chip a radio frequenza in oggetti che vanno dalle carte di credito ai pacemaker
di Charles Graeber
La pirateria informatica sarà in grado di intervenire sulle comunicazioni wireless di apparecchi medici impiantati, come i pacemaker, mettendo a repentaglio le vite dei pazienti? Nella sua ricerca Kevin Fu ha già affrontato questo tipo di scenario, anche se preferisce soffermarsi sui dettagli tecnici. Esperto di software e ricercatore informatico, Fu si occupa di sicurezza e affronta i problemi all’interno di questa logica.
“Chiunque operi nel settore della sicurezza ha sempre un avversario in mente”, spiega Fu, seduto alla scrivania del secondo piano dell’edificio che ospita la facoltà di informatica della Umass, ad Amherst. “è il modo migliore per difendere un sistema dagli attacchi”.
Le minacce di cui parla Fu sono relative principalmente alla sicurezza della tecnologia RFID, ovvero identificazione a radiofrequenza, che viene largamente adottata in numerosi prodotti, dalle etichette per le spedizioni marittime alla carta di accesso elettronica, dai chip di pagamento installati sui portachiavi Speedpass di Exxon Mobil alle carte di credito di Chase che non vanno passate nel lettore. Questi sistemi permettono forme rapide di pagamento e condivisione di informazioni personali in modalità wireless. Ma non sono altrettanto sicuri in termini di sicurezza, come aveva già intuito Fu nel 2006.
Dopo aver preso in esame oltre venti carte di credito “intelligenti” o da passare nel lettore distribuite da MasterCard, Visa e American Express, Fu e i suo colleghi hanno scoperto che potevano impossessarsi di numero di conto e data di scadenza di diverse carte – anche di quelle all’interno di un portafoglio – solo passandoci accanto con uno scanner artigianale.
I criminali setacciano cassette della posta, centri commerciali e aeroporti alla ricerca di informazioni RFID da utilizzare nei raggiri realizzati con furti d’identità. In sostanza, rubano dal portafoglio senza nemmeno toccarlo. Rendere queste carte realmente sicure richiederebbe un buon software di cifratura, vale a dire la specialità di Fu. Ma la cifratura richiede un costante flusso di energia, che i passivi chip RFID, con alimentazione esterna, usati in queste applicazioni non possiedono. “La prima idea fu la programmazione”, spiega Fu. “Ma questa strada non era perseguibile senza un computer RFID per programmare. E il computer RFID non funziona se non si risolvono i problemi dell’alimentazione”. Con un sorriso stanco sul volto commenta: “Abbiamo perso due anni dietro a questo problema”.
Il solo modo per tirarsi fuori da questo comma 22 è l’invenzione di una nuova tecnologia, un progetto al quale Fu sta lavorando con un gruppo guidato da Wayne Burleson, un professore di ingegneria elettrotecnica e informatica. Appena ha iniziato ad affrontare questo problema, Fu da buon esperto di sicurezza si è posto altre domande: se l’informazione finanziaria è vulnerabile, cosa potrebbe accadere con obiettivi meno evidenti, ma che comportano dei rischi molto più grandi?
La sua risposta è stata la macchina per l’attacco cardiaco.
Fu mostra una diapositiva di PowerPoint con alcuni esempi di azioni criminali: dal folle che nel 1982 introdusse del cianuro in alcuni flaconi di Tylenol in un magazzino nella zona di Chicago all’hacker che inviò alcune animazioni che provocavano attacchi di epilessia a una messaggeria on line per epilettici.
“Potrà anche sembrare paranoico”, dice Fu, “ma dal punto di vista della sicurezza si deve partire dalla considerazione che i malvagi esistono”. E non c’è posto migliore del mondo della medicina per andare alla caccia di questi misantropi.
Fu si è occupato in primo luogo della sicurezza di apparecchi medici che utilizzano la comunicazione a radiofrequenza, come i pacemaker e i defibrillatori. Ne discusse con il suo collega di lunga data Tadayoshi Kohno, ricercatore di informatica e ingegneria all’Università di Washington ed esperto di vulnerabilità delle reti di computer e delle macchine per le votazioni (si veda TR35, September/October 2007).
“Kevin è un ricercatore fantastico”, afferma Kohno. “La sua ricerca compare in quasi tutti i corsi universitari sulla sicurezza informatica di cui sono a conoscenza. Le sue riflessioni sono particolarmente profonde”. Fu e Kohno non investirono con le loro domande sui defibrillatori il laboratorio di informatica, ma rimasero nell’ambito della sfera d’azione del cardiologo William H. Maisel, direttore del Medical Device Safety Institute al Beth Israel Deaconess Medical Center di Boston.
I due ricercatori spiegarono allo staff incredulo di Maisel i problemi della sicurezza. A turno, i medici professionisti introdussero i ricercatori sulla sicurezza a Cardiology 101, partendo dai pacemaker e dai fibrillatori, che sono impiantati in circa mezzo milione di persone all’anno in tutto il mondo. In genere, un pacemaker regola i battiti cardiaci irregolari con delicati impulsi elettrici a frequenza fissa mentre un defibrillatore fornisce scariche elettriche per riattivare un cuore che si è arrestato. Insieme formano un ICD, un defibrillatore cardiaco impiantabile, destinato a bloccare un attacco cardiaco in un paziente malato di cuore. Ma, si domandano Fu e Kohno, l’ICD potrebbe invece provocare questi tipo di attacco?
Nel suo ufficio alla UMass, Fu prende una scatola che contiene gli ingranaggi di un ICD. Sembra il modello del cuore di Tin Man (Film del 2007, versione moderna del Mago di Oz): grande come un lucchetto e avvolto in resistente acciaio chirurgico argenteo, appena estratto con un apriscatole. Istintivamente avanzo per prenderlo, con la smania di un collezionista attirato dagli oggetti scintillanti. Fu rapidamente allontana la scatola. “Non vorrà mica toccarlo”, egli dice. “La bobina di questi congegni rilascia 700 volt”, una scarica sufficiente a bloccare il cuore.
Fu indica la bobina dell’antenna e il microchip non più grandi di una bustina di fiammiferi; questa tecnologia che collega gli ICD di ultima generazione con Internet permette ai medici di riprogrammare un apparecchio senza intervento chirurgico. Dal punto di vista dei cardiologi e dei pazienti la programmazione senza fili è un dono del cielo. Ma dal punto di vista di Fu rappresenta un nuovo rischio alla sicurezza. Il ricercatore della UMass si domanda: un hackers malintenzionato potrebbe ascoltare la comunicazione wireless tra un ICD e il computer che programma? Se capisse il senso di ciò che ascolta, potrebbe intervenire per provocare danni?
“In genere, chi produce questi apparecchi non prende in considerazione questi problemi”, sostiene Fu. “Ma l’avversario ragiona così. Non si fa scrupoli e gioca la sua partita”. Per anticipare le minacce alla sicurezza, i ricercatori non devono concedere vantaggi agli hacker.
Il gruppo di Fu si è impegnato a creare una tecnica per intercettare le comunicazioni del defibrillatore. L’hardware era un materiale standard: una piattaforma che consentiva a ricercatori e hobbisti seri di costruire ricevitori radio completamente software. Il prodotto è stato inserito in radio FM, ricevitori GPS, decoder tv digitale e lettori RFID. Non rimaneva che scrivere il software, prendere l’antenna di un vecchio pacemaker, inserirla nella radio per avere a disposizione un trasmettitore.
“Funzionava bene, maledettamente bene”, afferma Fu. Dopo “nove mesi di sangue e lacrime” il suo gruppo era in grado di intercettare bit digitali di un ICD, anche se non avevano idea di cosa significassero. I suoi studenti iniziarono a studiarli in laboratorio. Con analisi differenziate – in sostanza modificando una lettera del nome del paziente e ascoltando come cambiavano le trasmissioni radio corrispondenti – riuscirono a definire accuratamente un cifrario.
Le loro radio artigianali completamente software sono ora in grado di ascoltare e registrare i comandi di programmazione ICD. L’apparecchio può anche ritrasmettere queste registrazioni, sotto forma di nuovi comandi, a qualsiasi ICD nelle vicinanze, replicando pericolosamente il ruolo svolto dal medico.
Fu ha scoperto una serie di comandi che potrebbero mantenere l’ICD in uno stato costante di “veglia”, esponendo la batteria a rischi devastanti. “Abbiamo fatto alcuni calcoli approssimativi”, spiega Fu, “e ci risulta che una batteria destinata a durare un paio d’anni potrebbe esaurirsi in due settimane. Una situazione allarmante”.
Ancora più grave, le radio completamente software di Fu si sono dimostrate capaci di riprogrammare completamente l’ICD già impiantato nel paziente. I ricercatori potevano dare istruzioni all’apparecchio per non rispondere a un evento cardiaco, come un ritmo del cuore irregolare o un attacco cardiaco. Hanno anche trovato un modo per indurre, a loro piacimento, il defibrillatore ad avviare la sua sequenza di test, rilasciando effettivamente una scarica di 700 volt al cuore.
A Fu non piace pensare di avere costruito una macchina per attaccare il cuore o anche solo di avere scoperto che è possibile produrne una. Anche se è un accademico che non rifugge dalle applicazioni nel mondo reale per le sue teorie tecnologiche, questo “mondo reale” si colloca in genere almeno 10 anni avanti nel futuro. Ma le conseguenze delle radio che programmano gli ICD sono immediate e raggelanti: l’apparecchio potrebbe facilmente essere ridotto alle dimensioni di un iPhone e collocato in un centro commerciale o in una metropolitana azionando tra la folla il comando di attacco al cuore, colpendo vittime a caso.
Una macchina per attaccare il cuore? Realmente? Sarebbe da incoscienti, sostiene Fu, non riconoscere che esistono persone disturbate, disposte a infliggere sofferenze di questo tipo “solo per gioco”. In ogni caso, il problema della protezione dell’accesso remoto alla programmazione dell’ICD è direttamente collegato alla protezione delle RFID. Criptare la comunicazione è il solo modo per proteggere milioni di persone da rischi imprevedibili. Non è compito di Fu suggerire delle soluzioni praticabili, ma la sua denuncia della carenza di sicurezza fornisce delle valide indicazioni, forse persino utili a salvare vite umane, ai produttori.
Fu non si sofferma sui possibili abusi a cui può essere sottoposta la tecnologia, anche se sottolinea che sarebbe molto sorpreso se “non ci fosse qualche malintenzionato già al lavoro”. Se tutto andrà per il verso giusto, non sapremo mai quanto la sua intuizione si sarebbe rivelata profetica; i produttori di apparecchiature mediche elimineranno la minaccia prima che gli hacker approfittino della situazione. “Kevin è un informatico che ha allo stesso tempo la capacità di guardare ai problemi come esperto medico e come paziente”, afferma Maisel. “Il lavoro che Kevin sta svolgendo ora – in relazione alla sicurezza degli apparecchi medici e della privacy – riguarda potenzialmente milioni di persone”.
E nel caso di scenari decisamente più drammatici? Per esempio, una rete di spie che utilizza circuiti stampati per inserire una macchina per attaccare il cuore in un giornale che viene portato insieme al caffè a un leader straniero con un pacemaker. O un supercriminale, come Lex Luthor, che si impossessa di una torre radio per trasmettere i suoi raggi mortali sull’intera popolazione.
Kevin Fu – professore, ricercatore, scienziato – strabuzza gli occhi. “Tutto quello che posso dire”, conclude sorridendo, “è che potrebbe essere una buona trama per un film”.