{"id":164,"date":"2015-06-11T10:36:55","date_gmt":"2015-06-11T13:36:55","guid":{"rendered":"http:\/\/blog.batori.com.br\/?p=164"},"modified":"2015-06-11T10:36:55","modified_gmt":"2015-06-11T13:36:55","slug":"bomba-de-infusao-de-remedio-pode-ser-hackeada-revela-pesquisador","status":"publish","type":"post","link":"http:\/\/www.batori.com.br\/blog\/bomba-de-infusao-de-remedio-pode-ser-hackeada-revela-pesquisador\/","title":{"rendered":"Bomba de infus\u00e3o de rem\u00e9dio pode ser ‘hackeada’, revela pesquisador"},"content":{"rendered":"
\n
\n

Dosagem pode ser modificada, prejudicando o paciente.<\/em>
\nFabricante nega exist\u00eancia da vulnerabilidade<\/em><\/p>\n

O pesquisador de seguran\u00e7a Billy Rios revelou a descoberta de uma vulnerabilidade em bombas de infus\u00e3o de medicamentos que permite a hackers alterarem o sistema e controlarem a dosagem, injetando at\u00e9 quantidades letais do rem\u00e9dio. O problema foi encontrado em m\u00e1quinas fabricadas pela empresa norte-americana Hospira.<\/p>\n

A Hospira comercializa alguns produtos no Brasil e divulga um dos sistemas vulner\u00e1veis, o Plum A+, em seu site brasileiro. O G1 <\/strong>entrou em contato com a empresa para obter um posicionamento sobre a falha e sobre a comercializa\u00e7\u00e3o de seus produtos no Brasil, mas n\u00e3o teve resposta at\u00e9 a publica\u00e7\u00e3o desta reportagem.<\/p>\n

O site da “Wired”, que publicou a not\u00edcia, tamb\u00e9m tentou contato com a Hospira e n\u00e3o conseguiu. Rios, o pesquisador que descobriu a falha, entrou em contato com a empresa para comunicar a vulnerabilidade. Segundo ele, a companhia negou que seja poss\u00edvel realizar o ataque que ele descreve.<\/p>\n

A Hospira teria alegado que o ataque n\u00e3o \u00e9 poss\u00edvel porque h\u00e1 uma separa\u00e7\u00e3o entre o m\u00f3dulo de comunica\u00e7\u00e3o, que \u00e9 ligado \u00e0 rede do hospital, e a placa que controla o equipamento. Mas essa afirma\u00e7\u00e3o, explica Rios, \u00e9 falsa: h\u00e1 um cabo interno que liga a m\u00e1quina ao m\u00f3dulo de comunica\u00e7\u00e3o. N\u00e3o \u00e9 um cabo de rede, mas um cabo serial. Apesar disso, a conex\u00e3o ainda \u00e9 poss\u00edvel.<\/p>\n

Essa liga\u00e7\u00e3o \u00e9 usada pela Hospira para distribuir atualiza\u00e7\u00f5es de software para o equipamento. No entanto, o sistema n\u00e3o verifica a proced\u00eancia dessas atualiza\u00e7\u00f5es. Um criminoso poderia, portanto, instalar uma atualiza\u00e7\u00e3o de sistema falsa na bomba de infus\u00e3o para controlar a dosagem do medicamento.<\/p>\n

O sistema malicioso poderia ainda exibir uma dosagem diferente daquela que est\u00e1 realmente sendo administrada, ocultando o problema.<\/p>\n

Para realizar o ataque, um hacker precisa de acesso \u00e0 rede interna do hospital. Caso a rede hospitalar esteja mal configurada, o ataque poderia at\u00e9 ocorrer pela internet. Em outras situa\u00e7\u00f5es, seria preciso a colabora\u00e7\u00e3o de algu\u00e9m que trabalha no hospital e t\u00eam acesso \u00e0 rede.<\/p>\n

A Food and Drug Administration (FDA), ag\u00eancia reguladora de equipamentos hospitalares dos Estados Unidos, publicou um alerta confirmando a exist\u00eancia da vulnerabilidade em dois dos modelos analisados pelo pesquisador e fazendo recomenda\u00e7\u00f5es para a configura\u00e7\u00e3o de rede dos hospitais que usam a m\u00e1quina. A ag\u00eancia pediu que Rios n\u00e3o revelasse a exist\u00eancia do problema nos demais modelos enquanto a Hospira ainda estivesse investigando o caso, mas Rios se recusou a aguardar. Segundo ele, a fabricante j\u00e1 teve um ano para analisar a falha.<\/p>\n

O G1 <\/strong>procurou a Ag\u00eancia Nacional de Vigil\u00e2ncia Sanit\u00e1ria (Anvisa), respons\u00e1vel por registrar e autorizar a comercializa\u00e7\u00e3o de equipamentos m\u00e9dicos e hospitalares no Brasil. N\u00e3o houve resposta at\u00e9 a publica\u00e7\u00e3o da reportagem.<\/p>\n

Pesquisador comprou m\u00e1quina no eBay<\/strong>
\nBilly Rios, tamb\u00e9m conhecido como “XSniper”, comprou as bombas de infus\u00e3o no site de leil\u00f5es eBay somente com o intuito de analisar a seguran\u00e7a dos equipamentos. As m\u00e1quinas foram usadas por hospitais antes de serem colocadas \u00e0 venda.<\/p>\n

O pesquisador j\u00e1 havia revelado no in\u00edcio do ano a descoberta de uma vulnerabilidade que permitia a um invasor alterar os limites de dosagem. Sem o bloqueio, um operador local poderia configurar uma dose letal. No entanto, o hacker n\u00e3o podia controlar a dose sem acesso f\u00edsico direto.<\/p>\n

Rios precisou desvendar o funcionamento da m\u00e1quina para reprogramar o software e instalar o novo sistema como “atualiza\u00e7\u00e3o”. Ele confirmou a exist\u00eancia da falha em cinco modelos da Hospira.<\/p>\n

A aus\u00eancia de verifica\u00e7\u00e3o de proced\u00eancia na atualiza\u00e7\u00e3o dos chamados sistemas embarcados (ou “firmwares”, no termo t\u00e9cnico) \u00e9 um problema comum. Em 2011, pesquisadores encontraram o problema em dezenas de modelos de impressoras<\/a>. O superv\u00edrus “Equation” tira proveito do mesmo tipo de comportamento para infectar o chip da placa l\u00f3gica de discos r\u00edgidos<\/a>.<\/p>\n

Uma demonstra\u00e7\u00e3o de ataque nas bombas de infus\u00e3o da Hospira ser\u00e1 realizada por Rios durante a SummerCon, uma confer\u00eancia de seguran\u00e7a marcada para os dias 17 e 18 de julho em Nova York, nos Estados Unidos.<\/p>\n

Fonte: http:\/\/g1.globo.com\/tecnologia\/noticia\/2015\/06\/bomba-de-infusao-de-remedio-pode-ser-hackeada-revela-pesquisador.html<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Dosagem pode ser modificada, prejudicando o paciente. Fabricante nega exist\u00eancia da vulnerabilidade O pesquisador de seguran\u00e7a Billy Rios revelou a descoberta de uma vulnerabilidade em bombas de infus\u00e3o de medicamentos que permite a hackers alterarem o sistema e controlarem a … Continue lendo →<\/span><\/a><\/p>\n","protected":false},"author":125,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[],"_links":{"self":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/164"}],"collection":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/users\/125"}],"replies":[{"embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/comments?post=164"}],"version-history":[{"count":1,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/164\/revisions"}],"predecessor-version":[{"id":165,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/164\/revisions\/165"}],"wp:attachment":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/media?parent=164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/categories?post=164"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/tags?post=164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}