Med simpelt radioudstyr og inspiration fra diabetikere, der har hacket insulinpumper i årevis kan man udnytte hvad hackerne fra Lyrebirds kalder en ‘hjemmestrikket protokol’ til at manipulere den såkaldte Omnipod Eros-insulinpumpe.
På den måde kan man tvinge pumpen til en lang række ting, som for eksempel at give mere insulin, der i værste fald kan udsætte de brugeren for livsfare. Disse brugere er der i Danmark omkring 2400 af, viser en undersøgelse foretaget af Version2.
*Injicere insulin øjeblikkeligtDet kan pumpen tvinges til
* planlægge en given insulindosis inden for otte timer
* Annullere planlagte injiceringer af insulin
* Rekonfigurere og, uden en lyd, slå alarmer fra
* Ødelægge sig selv
Kilde: Lyrebirds
Det kræver dog, at brugeren interagerer med pumpen én gang, mens angriberen er inden for seks meter.
»Hvis brugeren ændrer en indstilling, doserer insulin eller ændrer på, hvor ofte pumpen skal sende insulin, kan man tage kontrollen én gang. Men det er også nok, for så kan vi ændre indstillingerne,« siger Alexander Krog, der udgør halvdelen af det lille it-sikkerhedsfirma Lyrebirds, der har fundet sårbarheden.
Det har længe været kendt, at pumpen, der skal skiftes hver tredje dag, kan manipuleres, når den skal parres med fjernbetjeningen, der holder flere år. Men Lyrebirds har bevist, at man også kan fifle med pumpen, efter parringen er sket.
Ingen kryptering
Det kan kun lade sig gøre, fordi pumpen snakker med fjernbetjeningen på en almindelig, lavfrekvent radiofrekvens over en protokol, leverandøren Insulet selv har udviklet. Omnipod Eros’ nyere arvtager Omnipod DASH bruger for eksempel Bluetooth, der er en smule sværere at fifle med.
Denne pumpe udgør dog kun en lille del af den totale Omnipod-mængde i Danmark, viser Version2’s undersøgelse, der er baseret på indkøbsdata fra de danske regioner.
En anden teknisk omstændighed, der virker til hackeres fordel er, at kommunikationen ikke er krypteret.
»Den bedste løsning ville være at få noget kryptering ind, så ville vi ikke kunne lave det angreb her så nemt. Men det kan svært at få strøm, lagerplads og processorkraft til kryptering ned på så lidt plads,« siger Jens Stærmose, der udgør den anden halvdel af Lyrebirds.
Insulet ønsker ikke at besvare Version2’s spørgsmål eller stille op til interview men indrømmer i en kort mail at pumperne - der stadig sælges i Danmark den dag i dag - er uddaterede:
»After extensive testing and research in conjunction with an independent third-party firm, a potential security vulnerability has been discovered in the legacy Omnipod® Insulin Management System,« skriver Insulet i en mail til Version2.
Sender vigtig talstreng som det første
Et andet problem for sikkerheden i insulinpumpen er, at en talrække, fjernbetjeningen sender pumpen for at verificere sig, sendes som det første i kommunikations-strengen.
Siden der ingen kryptering er, og signalet sendes som almindelige radiobølger, er det nemt at opsnappe talrækken og bruge den til at verificere sig selv over for pumpen og få den til at gøre, hvad man ønsker.
»Når vi har modtaget den del af det, har vi, hvad vi skal bruge, så vi jammer den, så den ikke kan høre resten af pakken og så kan nøglen genbruges til at gøre noget forfærdeligt, hvis man vil det,« siger Alexander Krog.
Inspireret af hjemmehackere
I diabetesmiljøet er det velkendt, at pumpen har sikkerhedsproblemer. Det har man i flere år udnyttet til at manipulere med pumpen, så den blandt andet kan snakke sammen med sensorer og dermed automatisere reguleringen af blodsukkeret hos patienterne.
Det var da også en guide fra disse miljøer der offentliggør deres arbejde på github, der oprindeligt gjorde Lyrebirds interesserede i Omnipod’en.
»Det undrede os, at man så åbent diskuterede, hvordan man hacker medicinsk udstyr,« siger Jens Stærmose.
Det undrede også den amerikanske sikkerhedsmyndighed CISA, der på sin hjemmeside skrev helt tilbage i marts 2020, at pumperne har alvorlige sikkerhedsproblemer.
»ATTENTION: Low skill level to exploit/public exploits are known for this vulnerability,« lød det dengang fra CISA; der tvang Insulet til at offentliggøre en advarsel på selskabets hjemmeside. Denne advarsel kan midlertid kun ses, hvis man siger, man er amerikansk statsborger. Kommer man fra Europa, vil man få vist en salgsside for Omnipods i stedet.
Flere løsningsforslag
På deres tekniske blog kommer Lyrebirds med flere forslag til, hvordan man kunne styrke sikkerheden i pumpen, også uden kryptering. Men de kræver alle sammen, at pumperne og fjernbetjeningerne som minimum opdateres.
»Man kunne have skjult det indledende handshake bedre, så det ikke var så nemt at opsnappe og gengive over for pumpen,« siger Jens Stærmose, der baseret på de mange sikkerhedsproblemer vurderer, at pumpen ikke er bygget med it-sikkerhed for øje.
En opdatering kan praktisk talt kun lade sig gøre ved et tilbagekald, og det har Lægemiddelstyrelsen vurderet er unødvendigt.
»Hvis udstyret lever op til lovgivningen, bliver det ikke trukket af markedet. Og vi snakker om en teoretisk risiko,« siger Laura Jakobsen, der ikke ønsker at gå nærmere ind i, hvad Lægemiddelstyrelsen vurderer som en teoretisk risiko.
»Hvornår noget er teoretisk eller ej må du snakke med Insulet om. Vores ansvar er, at der er sikkert medicinsk udstyr på det danske marked, og vi vurderer, pumpen fortsat er sikker,« siger Laura Jakobsen og henviser til Insulet, der ikke ønsker at stille op til interview eller besvare Version2’s spørgsmål.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
