Sikkerhet for hjerteslagene

Forskere har avlyttet og jammet radiosignaler til og fra pacemakere og annet utstyr inne i kroppen. Men de viser også hvordan sikkerheten kan forbedres.

Publisert

Mange mennesker betror livet sitt til utstyr som er operert inn i kroppen, for eksempel pacemakere som holder hjerterytmen.

Den amerikanske forskeren Kevin Fu og kollegene hans har tidligere demonstrert hvordan slikt utstyr kan forstyrres utenfra.

Et problem som kan løses

Mennesker med onde hensikter kan sende radiosignaler som omprogrammerer utstyret. Pacemakere kan skrus av, eller endre rytmen.

Defibrillatorer kan sende ut elektriske støt uten at det er påkrevet. Insulinpumper kan pumpe ut for mye insulin, slik at blodsukkernivået blir alt for lavt.

Den gode nyheten er at Fu også foreslår hvordan kommunikasjonen med utstyret inne i kroppen kan beskyttes.

Ett av forslagene er en slags mellomstasjon i et halskjede, som videresender radiosignalene med hemmelig kode, altså kryptert.

Justeres utenfra

Men hvorfor må i det hele tatt pacemakere og annet utstyr inne i kroppen kommunisere med radiosignaler?

Det er nødvendig, fordi legene må kunne justere dem uten å gjøre nye kirurgiske inngrep.

I den norske avdelingen til en stor produsent av slikt utstyr får forskning.no opplyst at det er over hundre forskjellige innstillinger som kan justeres i deres pacemakere.

Usikret, for sikkerhets skyld

Radiosignalene er datakoder. Disse datakodene er ikke sikret med kryptering, slik som for eksempel trådløse nettverk med passordbeskyttelse.

Det er flere grunner til at signalene ikke har slik beskyttelse. En er bakvendt nok begrunnet i sikkerhet. For hva ville skjedd hvis legene i all hast trengte å skru av en pacemaker, men manglet passordet?

Dessuten ønsker produsentene å holde elektronikken inne i kroppen så enkel som mulig. En økende mengde slikt utstyr må kalles tilbake fordi de har feil i programmeringen. Med kryptering innebygget ville mulighetene for feil øke enda mer.

Klarte å skru av defibrillator

Resultatet er likevel at radiosignalene fra utstyret inne i kroppen kan avlyttes. Fu og kollegene hans demonstrerte allerede i 2008 hvordan de kunne avlytte en defibrillator, og bruke signalene fra den til å stanse en annen på noen centimeters avstand.

En defibrillator gir små strømpulser til pasienter med anfall av uregelmessig hjerterytme, slik at hjertet igjen begynner å slå regelmessig.

Utstyrsprodusenten forskning.no har vært i kontakt med opplyser at den digitale koden, det vi kan kalle det digitale språket i radiosignalene, er hemmelig.

Det betyr likevel ikke at det er kryptert. Hvis det var kryptert, ville de digitale ordene ikke kunne avsløres, selv om vi kunne språket. Vi måtte hatt krypteringsnøkkelen, altså passordet.

Men hvis bare språket er hemmelig, kan du ut fra sammenhengen gjette deg til hva ordene betyr. Du kan med prøving og feiling lage ordboka til det ukjente språket.

Dette har forskerne delvis klart med defibrillatoren. Dermed har de også klart å stanse den.

Radioskjold rundt halsen

Figuren viser hvordan for eksempel en pacemaker kan beskyttes. Kommunikasjonen går ukryptert mellom pacemakeren og skjoldet, og kryptert videre til programmeringsenheten. All forsøk på direkte kommunikasjon med pacemakeren stanses ved at skjoldet sender ut kraftige forstyrrende signaler. (Foto: (Figur: Arnfinn Christensen, forskning.no, etter Kevin Fu et.al))
Figuren viser hvordan for eksempel en pacemaker kan beskyttes. Kommunikasjonen går ukryptert mellom pacemakeren og skjoldet, og kryptert videre til programmeringsenheten. All forsøk på direkte kommunikasjon med pacemakeren stanses ved at skjoldet sender ut kraftige forstyrrende signaler. (Foto: (Figur: Arnfinn Christensen, forskning.no, etter Kevin Fu et.al))

Men Kevin Fu foreslår også hvordan problemene kan løses. I en ny artikkel fra høsten 2011 lanserte han idéen om et såkalt skjold.

Det er ikke et fysisk skjold, men en sender og mottaker som pasienten bærer utenpå kroppen, for eksempel rundt halsen.

Den fungerer som en mellomstasjon. Den beskytter elektronikken inne i kroppen mot forstyrrelser fra  omgivelsene.

Videresender og jammer

Når utstyret inne i kroppen sender radiosignaler ut, tar skjoldet imot dem, krypterer dem og sender dem videre til mottakeren som legene bruker.

Samtidig sender skjoldet ut et støysignal som blokkerer det opprinnelige ukrypterte signalet, slik at uvedkommende ikke kan fange det opp.

Når legene skal sende et signal den andre veien, inn til utstyret i kroppen, går også signalene kryptert til skjoldet. Så sender skjoldet dem ukryptert videre inn i kroppen.

Hvis noen med onde hensikter prøver å sende direkte inn i kroppen for å ta kontroll over utstyret, vil skjoldet fange opp disse signalene, og forstyrre dem med støysignaler.

Referanse:

Kevin Fu et al: Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses, 2008 IEEE Symposium on Security and Privacy

Kevin Fu et al: They Can Hear Your Heartbeats: Non-Invasive Security for
Implantable Medical Devices
, SIGCOMM’11, August 15–19, 2011, Toronto, Ontario, Canada