O pesquisador de segurança Billy Rios revelou a descoberta de uma vulnerabilidade em bombas de infusão de medicamentos que permite a hackers alterarem o sistema e controlarem a dosagem, injetando até quantidades letais do remédio. O problema foi encontrado em máquinas fabricadas pela empresa norte-americana Hospira.
A Hospira comercializa alguns produtos no Brasil e divulga um dos sistemas vulneráveis, o Plum A+, em seu site brasileiro. O G1 entrou em contato com a empresa para obter um posicionamento sobre a falha e sobre a comercialização de seus produtos no Brasil, mas não teve resposta até a publicação desta reportagem.
O site da "Wired", que publicou a notícia, também tentou contato com a Hospira e não conseguiu. Rios, o pesquisador que descobriu a falha, entrou em contato com a empresa para comunicar a vulnerabilidade. Segundo ele, a companhia negou que seja possível realizar o ataque que ele descreve.
A Hospira teria alegado que o ataque não é possível porque há uma separação entre o módulo de comunicação, que é ligado à rede do hospital, e a placa que controla o equipamento. Mas essa afirmação, explica Rios, é falsa: há um cabo interno que liga a máquina ao módulo de comunicação. Não é um cabo de rede, mas um cabo serial. Apesar disso, a conexão ainda é possível.
Essa ligação é usada pela Hospira para distribuir atualizações de software para o equipamento. No entanto, o sistema não verifica a procedência dessas atualizações. Um criminoso poderia, portanto, instalar uma atualização de sistema falsa na bomba de infusão para controlar a dosagem do medicamento.
O sistema malicioso poderia ainda exibir uma dosagem diferente daquela que está realmente sendo administrada, ocultando o problema.
Para realizar o ataque, um hacker precisa de acesso à rede interna do hospital. Caso a rede hospitalar esteja mal configurada, o ataque poderia até ocorrer pela internet. Em outras situações, seria preciso a colaboração de alguém que trabalha no hospital e têm acesso à rede.
A Food and Drug Administration (FDA), agência reguladora de equipamentos hospitalares dos Estados Unidos, publicou um alerta confirmando a existência da vulnerabilidade em dois dos modelos analisados pelo pesquisador e fazendo recomendações para a configuração de rede dos hospitais que usam a máquina. A agência pediu que Rios não revelasse a existência do problema nos demais modelos enquanto a Hospira ainda estivesse investigando o caso, mas Rios se recusou a aguardar. Segundo ele, a fabricante já teve um ano para analisar a falha.
O G1 procurou a Agência Nacional de Vigilância Sanitária (Anvisa), responsável por registrar e autorizar a comercialização de equipamentos médicos e hospitalares no Brasil. Não houve resposta até a publicação da reportagem.
Pesquisador comprou máquina no eBay
Billy Rios, também conhecido como "XSniper", comprou as bombas de infusão no site de leilões eBay somente com o intuito de analisar a segurança dos equipamentos. As máquinas foram usadas por hospitais antes de serem colocadas à venda.
O pesquisador já havia revelado no início do ano a descoberta de uma vulnerabilidade que permitia a um invasor alterar os limites de dosagem. Sem o bloqueio, um operador local poderia configurar uma dose letal. No entanto, o hacker não podia controlar a dose sem acesso físico direto.
Rios precisou desvendar o funcionamento da máquina para reprogramar o software e instalar o novo sistema como "atualização". Ele confirmou a existência da falha em cinco modelos da Hospira.
A ausência de verificação de procedência na atualização dos chamados sistemas embarcados (ou "firmwares", no termo técnico) é um problema comum. Em 2011, pesquisadores encontraram o problema em dezenas de modelos de impressoras. O supervírus "Equation" tira proveito do mesmo tipo de comportamento para infectar o chip da placa lógica de discos rígidos.
Uma demonstração de ataque nas bombas de infusão da Hospira será realizada por Rios durante a SummerCon, uma conferência de segurança marcada para os dias 17 e 18 de julho em Nova York, nos Estados Unidos.