Alfonso Maruccia

Hacker diabetici, polemiche sulle pompe

La societÓ produttrice del dispositivo messo alla berlina nella recente conferenza Black Hat nicchia, rassicura i clienti e minimizza il pericolo. Mentono sapendo di mentire, risponde il ricercatore che ha scovato la vulnerabilitÓ

Roma - Jay Radcliffe ha scoperchiato il vaso di Pandora degli hack remoti alle pompe di insulina durante la conferenza Black Hat di inizio agosto, aprendo una polemica con la società produttrice che non accenna a diminuire di intensità e che arriva a coinvolgere politica e autorità di controllo statunitensi.

Radcliffe aveva trovato il modo di manomettere il sistema di controllo remoto impiegato dalla sua pompa di insulina attraverso un trasmettitore wireless e poche righe di codice in Perl, riuscendo a interrompere l'erogazione di insulina a proprio piacimento e in totale disprezzo delle prescrizioni mediche.

Il ricercatore aveva omesso il nome commerciale della pompa così come quello della società produttrice, confidando sul fatto che quest'ultima avrebbe potuto sfruttare le settimane successive per verificare il suo studio e porre rimedio alle vulnerabilità individuate nel dispositivo.
E invece pare proprio che Medtronic - la società di cui sopra - non abbia alcuna intenzione di mettere una pezza al problema, ragion per cui Radcliffe ha fatto nomi e cognomi e ha accusato l'azienda di esibirsi in una serie di bugie artefatte funzionali a rassicurare la clientela sulla sicurezza dei suoi prodotti.

All'inizio Medtronic si era dimostrata aperta al confronto con Radcliffe, ma le comunicazioni successive dell'azienda hanno quasi subito messo in chiaro che l'intenzione finale era tutt'altra: le pompe di insulina sono sicure e rispettano gli standard di crittografia avanzati, ha provato a rassicurare Medtronic, mentre Radcliffe è riuscito nel suo intento solo grazie all'uso di "strumentazione specializzata" e alla profonda conoscenza della sua pompa di insulina.

Tutto falso, ha risposto Radcliffe, e il suo lavoro ha spinto due membri del congresso a interpellare la Federal Communication Commission (FCC) sulle eventuali inadempienze di Medtronic così come sono stati coinvolti - in funzione di "intermediari" - lo U.S. CERT e il Departement of Homeland Security.

Il DHS non ci ha mai contattati in via "ufficiale", controbatte Medtronic. Nel frattempo Radcliffe ha deciso di abbandonare le pompe di insulina sviluppate dalla società e di rivolgersi alla concorrenza (Johnson & Johnson). Anche se, ammette lui stesso, il rischio di un hack della pompa di insulina è "eccezionalmente basso per gli utenti finali".

Alfonso Maruccia
Notizie collegate
  • TecnologiaBlack Hat, si hackano UAV e molto altroAlla conferenza di Los Angeles l'hacking Ŕ ubiquo e transumano, potenzialmente pericoloso per il vivere civile e la salute oltre che per Internet. I potenziali rischi di attacco calano anche dal cielo
8 Commenti alla Notizia Hacker diabetici, polemiche sulle pompe
Ordina
  • Scusate ma canto fuori dal coro...

    Nella mia modesta esperienza ho imparato una regola aurea: non esistono sistemi sicuri o insicuri in senso assoluto.

    Se e' vero che un sistema "inviolabile" non esiste (salvo il famoso computer spento e possibilmente guasto), allora definiamo sicuro un sistema che richiede per essere violato uno sforzo significativamente superiore al vantaggio che se ne puo' ottenere violandolo.

    Quale vantaggio si puo' ottenere violando la sicurezza dell'erogatore di insulina di qualcuno ? Fargli dei danni e magari ammazzarlo, ok, uno potrebbe avere un buon motivo per fare fuori qualcuno.

    Siamo sicuri che lo sforzo richiesto per usare questa vulnerabilita' non sia maggiore di quello necessario non so.. per piantare un coltello in una schiena o cambiare una boccetta di insulina con una di glucosio ?

    Siamo sicuri che se per ipotesi una delle (pochissime) persone in possesso delle competenze necessarie a sfruttare questa vulnerabilita' avesse qualcuno che vuole ammazzare il quale guardacaso ha quel tipo di pompa per l'insulina... usando questo metodo non avrebbe molte piu' possibilita' di essere beccato che in modo piu' "tradizionale" ?

    Ecco perche' la mia sensazione e' che si, quelle macchine sono "sicure" nell'unica accezione ragionevole del termine, e questa notizia e' una s------ta.

    A.
  • Molte spesso finisce così: un hacker scopre una falla, la segnala e se gli va bene viene ignorato. Ma è molto facile che venga addirittura denunciato per poi avere lo stesso prodotti bacati sul mercato. Questa storia mi ricorda quella di quel ragazzo americano che ha segnalato al preside del suo college delle falle nei server, e come ringraziamento è stato denunciato alla polizia dal preside stesso...
  • - Scritto da: Metal_neo
    > Molte spesso finisce così: un hacker scopre una
    > falla, la segnala e se gli va bene viene
    > ignorato. Ma è molto facile che venga addirittura
    > denunciato per poi avere lo stesso prodotti
    > bacati sul mercato. Questa storia mi ricorda
    > quella di quel ragazzo americano che ha segnalato
    > al preside del suo college delle falle nei
    > server, e come ringraziamento è stato denunciato
    > alla polizia dal preside
    > stesso...

    Già...Triste Il mondo purtroppo è pieno di rosiconi ignoranti e gradassi che piuttosto di ammettere i propri errori cercano di mettere in cattiva luce o minacciare chi glieli fa notare.Triste
    non+autenticato
  • in italia usano la diffamazione a mezzo web.
    Sgabbio
    26178
  • - Scritto da: calunnioso
    > Già...Triste Il mondo purtroppo è pieno di rosiconi
    > ignoranti e gradassi che piuttosto di ammettere i
    > propri errori cercano di mettere in cattiva luce
    > o minacciare chi glieli fa notare.

    Quello che ci confonde è che ci aspettiamo una reazione "tecnica" ad una segnalazione tecnica, invece in questi casi l'implicazione è "politica" e "legale" (pessima gestione di un obbligo contrattuale ed etico) e la risposta è in linea perfetta con il modo politico e legale di questi anni: la distruzione dell'avversario che solleva il problema, in quanto facile e senza oneri per l'immagine di chi ha realmente sbagliato.
    Ormai nelle aule di tribunale e sulla stampa non si replica al fatto contestato, ma si attacca il giudice, il testimone, il cittadino che si permette di dissentire.
    Conosco un'azienda che ha trovato un metodo infallibile per non avere problemi: chiunque segnala un problema riceve "in premio" l'incarico di risolverlo (indipendentemente dalle proprie competenze specifiche) e il biasimo se non ci riesce, in aggiunta ai normali compiti lavorativi che nel frattempo finiscono "sotto la lente d'ingrandimento" del direttore per vedere se ha operato impeccabilmente.
    non+autenticato
  • - Scritto da: OldDog
    > - Scritto da: calunnioso
    > > Già...Triste Il mondo purtroppo è pieno di
    > rosiconi
    > > ignoranti e gradassi che piuttosto di
    > ammettere
    > i
    > > propri errori cercano di mettere in cattiva
    > luce
    > > o minacciare chi glieli fa notare.
    >
    > Quello che ci confonde è che ci aspettiamo una
    > reazione "tecnica" ad una segnalazione tecnica,
    > invece in questi casi l'implicazione è "politica"
    > e "legale" (pessima gestione di un obbligo
    > contrattuale ed etico) e la risposta è in linea
    > perfetta con il modo politico e legale di questi
    > anni: la distruzione dell'avversario che solleva
    > il problema, in quanto facile e senza oneri per
    > l'immagine di chi ha realmente
    > sbagliato.
    > Ormai nelle aule di tribunale e sulla stampa non
    > si replica al fatto contestato, ma si attacca il
    > giudice, il testimone, il cittadino che si
    > permette di dissentire.
    tutto abbastanza corretto (tristemente)... MA in QUESTO caso (supporti vitali in sanita') imho hanno fatto molto male a sparare FUD... ha tenuto l'opinione pubblica 'sveglia'... si e' mosso il DHS, 2 membri del congresso e la FCC... alla societa' avrebbe dovuto essere chiaro che una cosa cosi' e' piuttosto appetibile anche per studi di avvocati affamati, che potrebbero pensare a una lucrosa classaction o robe simili.

    > Conosco un'azienda che ha trovato un metodo
    > infallibile per non avere problemi: chiunque
    > segnala un problema riceve "in premio" l'incarico
    > di risolverlo (indipendentemente dalle proprie
    > competenze specifiche) e il biasimo se non ci
    > riesce, in aggiunta ai normali compiti lavorativi
    > che nel frattempo finiscono "sotto la lente
    > d'ingrandimento" del direttore per vedere se ha
    > operato
    > impeccabilmente.
    bellizzimoCon la lingua fuori
    non+autenticato
  • - Scritto da: OldDog

    > Conosco un'azienda che ha trovato un metodo
    > infallibile per non avere problemi: chiunque
    > segnala un problema riceve "in premio" l'incarico
    > di risolverlo (indipendentemente dalle proprie
    > competenze specifiche) e il biasimo se non ci
    > riesce, in aggiunta ai normali compiti lavorativi
    > che nel frattempo finiscono "sotto la lente
    > d'ingrandimento" del direttore per vedere se ha
    > operato
    > impeccabilmente.

    Non male (scodinzolìo)
    Sono ancora in attività?A bocca aperta
    Funz
    12979
  • Immagino di sì, visto che "non hanno mai avuto problemi"...

    A bocca apertaA bocca apertaA bocca aperta