Il post seguente è stato tradotto per gentile concessione di Naked Security
È tempo d’iniziare a pensare ai nostri cuori come generatori di numeri casuali. I ricercatori della Rice University hanno proposto di usarli come password per rendere sicuri i dispositivi medici vulnerabili all’hacking.
I ricercatori, nel loro paper sulla tecnica d’autenticazione, chiamata Heart-to-Heart (H2H), osservano che l’uso d’implantable medical devices (IMDs) è in crescita negli Stati Uniti; ad esempio, ogni anno, oltre 100.000 pazienti ricevono defibrillatori cardioverter impiantabili che rilevano ritmi cardiaci pericolosi e gestiscono gli shock elettrici per ripristinare la normale attività.
Altri IMD, categoria che comprende i dispositivi parzialmente o totalmente impiantati nei corpi dei pazienti, includono pacemaker, neurostimolatori e pompe d’insulina o altri microinfusori.
I ricercatori dell’università di Houston, in Texas, dicono che l’H2H affronta una tensione fondamentale tra due esigenze critiche per gli IMD:
- Gli emergency responder devono essere in grado di riprogrammare rapidamente, o estrarre i dati dai dispositivi, affinché i ritardi nel trattamento, alla ricerca di chiavi o password, non si rivelino fatali per i pazienti
- l’accesso wireless dei dispositivi deve essere protetto dagli hacker che potrebbero danneggiare i pazienti, o rivelare i loro dati medici.
I ricercatori Farinaz Koushanfar, ingegnere informatico ed elettrico di Rice, il dottorando Masoud Rostami, il collaboratore Ari Juels ed ex chief scientist presso i laboratori RSA, descrivono l’H2H come l’implementazione di criteri di controllo “touch-to-access” .
H2H include uno strumento medico che i ricercatori chiamano genericamente programmer. L’accesso wireless al dispositivo medico di un paziente gli è consentito solamente quando è in contatto diretto con il corpo di un paziente.
Un tecnico medico utilizza il programmer per prendere una forma d’onda generata dal cuore pulsante del paziente: ad esempio una firma di un elettrocardiogramma(ECG)
Il dispositivo esterno, cioè il programmer, confronta i dettagli ECG con il dispositivo medico interno. Solamente se i segnali raccolti da entrambi, nello stesso momento, coincidono, è consentito l’accesso.
Rostami ha detto a Eduard Kovacs di Softpedia che, in sostanza, data la variabilità del battito cardiaco, il cuore può funzionare come una sorta di generatore di numeri casuali:
Il segnale del battito cardiaco è diverso ogni secondo, di conseguenza la password è diversa ogni volta. Non può essere usata nemmeno un minuto più tardi.
La violazione di dispositivi medici è, a questo punto, palesemente fattibile.
In ottobre 2012, il governo degli Stati Uniti ha detto alla Food and Drug Administration ( FDA ) statunitense d'iniziare a considerare seriamente la sicurezza dei dispositivi medicali ; sia che stiamo parlando di violazione intenzionale, trasferimento dati non cifrato che può essere manipolato, o una serie di altri vettori di rischio.
Nel giugno 2013, l' FDA ha adempiuto, invitando i produttori di dispositivi medici e delle strutture sanitarie a iniziare ad occuparsi delle vulnerabilità dei dispositivi medici ai cyberattacchi.
Koushanfar e Rostami presenteranno il sistema in novembre alla conferenza sui computer e la sicurezza delle comunicazioni a Berlino.
Prima di vedere il debutto di H2H, sarà necessario ottenere l'approvazione dell'FDA. Successivamente, spetterà ai produttori di dispositivi medici adottare la tecnologia.
È un approccio affascinante per l'autenticazione .
La mia pompa d'insulina ed io non vediamo l'ora di vedere se verrà apprezzato e adottato nel settore dei dispositivi medici.
Poi, chi lo sa?
Forse i nostri cuori pulsanti, un giorno, potranno essere una valida alternativa alle domande di sicurezza facilmente aggirabili e completamente violabili che sono usate ora per verificare, presumibilmente, che siamo chi diciamo di essere.
Fonte: Using heartbeats as passwords to secure medical devices It is time to start thinking of our hearts as random number generators. That's so they can serve as passwords to secure medical devices that are vulnerable to hacking, researchers at Rice University have proposed.
In their paper on the authentication technique - called Heart-to-Heart (H2H) - the researchers note that the use of implantable medical devices (IMDs) is growing in the US: for example, each year, over 100,000 patients receive implantable cardioverter defibrillators that detect dangerous heart rhythms and administer electric shocks to restore normal activity.
Other IMDs - a category that includes devices either partially or fully implanted into patients' bodies - include pacemakers, neurostimulators, and insulin or other drug pumps.
The researchers at the US university in Houston, Texas, say that H2H addresses a fundamental tension between two critical requirements for IMDs:
- Emergency responders have to be able to swiftly reprogram or extract data from the devices, lest treatment delays prove fatal to patients as they hunt for keys or passwords, and
- The devices' wireless access must be protected from hackers who might harm patients or expose their medical data.
The researchers - Rice electrical and computer engineer Farinaz Koushanfar, graduate student Masoud Rostami, and collaborator Ari Juels, former chief scientist at RSA Laboratories - describe H2H as implementing a "touch-to-access" control policy.
H2H involves a medical instrument that the researchers generically call a programmer. This is allowed to wirelessly access a patient's medical device only when it has direct contact with a patient's body.
A medical technician uses the programmer to pick up a waveform generated by the patient's beating heart - i.e., an electrocardiogram (ECG) signature.
The external device - that is, the programmer - compares the ECG details with the internal medical device. Only if the signals collected by both at the same time match up is access granted.
Rostami told Softpedia's Eduard Kovacs that, in essence, given a heartbeat's variability, the heart can function as something of a random number generator:
The signal from your heartbeat is different every second, so the password is different each time. You can’t use it even a minute later.
Hacking of medical devices is, at this point, demonstrably feasible.
The US government in October 2012 told the US Food and Drug Administration (FDA) to finally start taking medical device security seriously, whether we're talking about intentional hacking, unencrypted data transfer that can be manipulated or a host of other threat vectors.
In June 2013, the FDA complied, calling on medical device manufacturers and health care facilities to start addressing medical devices' vulnerability to cyberattack.
Koushanfar and Rostami will present the system in November at the Conference on Computer and Communications Security in Berlin.
Before we see H2H debut, it will need to obtain FDA approval. After that, it's up to medical device manufacturers to adopt the technology.
It's a fascinating approach to authentication.
My insulin pump and I look forward to seeing whether it wins approval and achieves adoption in the medical device industry.
After that, who knows?
Perhaps our beating hearts will someday be a viable alternative to the easily guessable, completely hackable security questions that are now used to supposedly verify that we are, indeed, who we say we are.
Source: Using heartbeats as passwords to secure medical devices