Utilizzare i battiti cardiaci come password per rendere sicuri i dispositivi medici

Il post seguente è stato tradotto per gentile concessione di Naked Security

Heartbeat. Image courtesy of Shutterstock. È tempo d’iniziare a pensare ai nostri cuori come generatori di numeri casuali. I ricercatori della Rice University hanno proposto di usarli come password per rendere sicuri i dispositivi medici vulnerabili all’hacking.

I ricercatori, nel loro paper sulla tecnica d’autenticazione, chiamata Heart-to-Heart (H2H), osservano che l’uso d’implantable medical devices (IMDs) è in crescita negli Stati Uniti; ad esempio, ogni anno, oltre 100.000 pazienti ricevono defibrillatori cardioverter impiantabili che rilevano ritmi cardiaci pericolosi e gestiscono gli shock elettrici per ripristinare la normale attività.

Altri IMD, categoria che comprende i dispositivi parzialmente o totalmente impiantati nei corpi dei pazienti, includono pacemaker, neurostimolatori e pompe d’insulina o altri microinfusori.

I ricercatori dell’università di Houston, in Texas, dicono che l’H2H affronta una tensione fondamentale tra due esigenze critiche per gli IMD:

  • Gli emergency responder devono essere in grado di riprogrammare rapidamente, o estrarre i dati dai dispositivi, affinché i ritardi nel trattamento, alla ricerca di chiavi o password, non si rivelino fatali per i pazienti
  • l’accesso wireless dei dispositivi deve essere protetto dagli hacker che potrebbero danneggiare i pazienti, o rivelare i loro dati medici.

I ricercatori Farinaz Koushanfar, ingegnere informatico ed elettrico di Rice, il dottorando Masoud Rostami, il collaboratore Ari Juels ed ex chief scientist presso i laboratori RSA, descrivono l’H2H come l’implementazione di criteri di controllo “touch-to-access” .

H2H include uno strumento medico che i ricercatori chiamano genericamente programmer. L’accesso wireless al dispositivo medico di un paziente gli è consentito solamente quando è in contatto diretto con il corpo di un paziente.

Un tecnico medico utilizza il programmer per prendere una forma d’onda generata dal cuore pulsante del paziente: ad esempio una firma di un elettrocardiogramma(ECG)

Il dispositivo esterno, cioè il programmer, confronta i dettagli ECG con il dispositivo medico interno. Solamente se i segnali raccolti da entrambi, nello stesso momento, coincidono, è consentito l’accesso.

Rostami ha detto a Eduard Kovacs di Softpedia che, in sostanza, data la variabilità del battito cardiaco, il cuore può funzionare come una sorta di generatore di numeri casuali:

Il segnale del battito cardiaco è diverso ogni secondo, di conseguenza la password è diversa ogni volta. Non può essere usata nemmeno un minuto più tardi.

La violazione di dispositivi medici è, a questo punto, palesemente fattibile.

In ottobre 2012, il governo degli Stati Uniti ha detto alla Food and Drug Administration ( FDA ) statunitense d'iniziare a considerare seriamente la sicurezza dei dispositivi medicali ; sia che stiamo parlando di violazione intenzionale, trasferimento dati non cifrato che può essere manipolato, o una serie di altri vettori di rischio.

Nel giugno 2013, l' FDA ha adempiuto, invitando i produttori di dispositivi medici e delle strutture sanitarie a iniziare ad occuparsi delle vulnerabilità dei dispositivi medici ai cyberattacchi.

Koushanfar e Rostami presenteranno il sistema in novembre alla conferenza sui computer e la sicurezza delle comunicazioni a Berlino.

Prima di vedere il debutto di H2H, sarà necessario ottenere l'approvazione dell'FDA. Successivamente, spetterà ai produttori di dispositivi medici adottare la tecnologia.

È un approccio affascinante per l'autenticazione .

La mia pompa d'insulina ed io non vediamo l'ora di vedere se verrà apprezzato e adottato nel settore dei dispositivi medici.
Poi, chi lo sa?

Forse i nostri cuori pulsanti, un giorno, potranno essere una valida alternativa alle domande di sicurezza facilmente aggirabili e completamente violabili che sono usate ora per verificare, presumibilmente, che siamo chi diciamo di essere.

Fonte: Using heartbeats as passwords to secure medical devices

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *