Sikkerhedsforsker blev ramt af pacemaker-fejlkonfiguration på vej op ad trapperne

En norsk sikkerhedsforsker besluttede sig for at finde ud af, hvad der faktisk foregår i hendes bug-ramte pacemaker.

Den norske sikkerhedsforsker Marie Moe har på egen krop oplevet, hvad det vil sige, når der sker fejl i den software, der styrer en pacemaker.

Det fortalte hun om under et indlæg med titlen 'Hacking my own heart' på Copenhagen Cybercrime Conference, som for nylig blev afholdt i Industriens Hus i dag i København. Bag arrangementet står CSIS, Finans Danmark og DI.

For fem år siden faldt Marie Moe om. Hun viste sig at have en hjertefejl, og hun fik indopereret en pacemaker.

På det tidspunkt arbejdede hun ved NorCERT, Norges nationale CERT. Altså en it-sikkerhedsmyndighed. Marie Moe arbejdede ikke bare professionelt med it-sikkerhed. Hun var også - og måske naturligt nok - interesseret i sikkerheden i den enhed, hun havde fået indopereret.

»Hvordan kan jeg stole på mit hjerte, når det kører proprietær kode,« spurgte hun retorisk ud i salen af it-sikkerhedsinteresserede tilhørere.

Da hun fik pacemakeren havde hun mange spørgsmål til lægerne, blandt andet om sikkerheden i den hardware og den software, der nu sørgede for, at hendes hjerte slog.

Men der var ikke rigtigt svar at hente.

»Så jeg besluttede mig for selv at opsøge information,« fortalte Marie Moe.

I den forbindelse googlede hun sig blandt andet til en teknisk manual til hjertehardwaren.

Marie Moe fortalte på Copenhagen Cybercrime Conference om at hacke hendes egen pacemaker.

Her fandt hun ud af, at pacemakeren faktisk havde to trådløse kommunikationsmuligheder.

Det ene via Near Field Communication (NFC). Det er som navnet antyder en trådløs teknologi, der til kommunikation over helt korte afstande. NFC-interfacet i Moes pacemaker skal sikre, at en programmerings-enhed kan kommunikere med apparatet.

NFC-delen var Moe klar over.

Men det andet interface til trådløs kommunikation var ny information fra google-manualen. Det kan kommunikere over flere meter og er tænkt til at sende telemetriske oplysninger, via en boks i hjemmet videre til en server på internettet. Det vil sige oplysninger om pacemakeren og hendes hjerte.

»Patienten får ikke adgang til nogle af disse informationer,« fortalte hun.

Læs også: Moderne styresystemer er ret bøvlede at hacke - det er IoT næppe

Moe påpegede i den forbindelse, at patienten som sådan ikke var tænkt som brugeren i forhold til informationerne. Det er derimod sundhedssektoren og medicinalindustrien.

Funktionen med indsamling og videreformidling af telemetri var dog ikke slået til i Moes pacemaker, kunne hun fortælle.

Marie Moe pointerede i den forbindelse, at teknologien i medicinsk udstyr, som blandt andet pacemakere, kan have mange år på bagen, blandt andet som følge af certificeringsprocessen.

»Det betyder, at teknologien, der tilføjer internetopkobling til disse enheder, kom til for måske 15 år siden. Og ville du stole på den form for teknologi inden i din krop?,« spurgte Moe.

NFC-interfacet

I forhold til NFC-programmeringsinterfacet så kan der kommunikeres med det - eksempelvis i diagnosticeringsøjemed - ved at holde den rette enhed helt tæt til der, hvor pacemakeren sidder. Som Moe påpegede i den forbindelse, så er den trådløse kommunikation i forhold til pacemaker-diagnosticeringen praktisk nok, da alternativet ville være, at hun skulle skæres op, hvis apparatet skulle undersøges.

Men det er også en mærkværdig oplevelse at være til lægen og blive undersøgt via NFC-diagnosticeringen, fortalte hun.

»Bare ved at røre ved en skærm, kan de få hjertet til at gå hurtigere, hjertet til at gå langsommere, eller få mit hjerte til at holde op med at slå,« sagde hun.

En bug

I forhold til den enhed, der kan diagnosticere og programmere pacemakeren via NFC, så viste den sig at have en bug.

Den dukkede op i forbindelse med en tur op af nogle trapper.

»Så jeg nåede halvejs op ad trapperne, og pludseligt følte jeg mig som en 80-årig,« fortalte den norske sikkerhedsforsker.

»Jeg havde ingen idé om, hvad der foregik, jeg vidste bare, det måtte have noget med pacemakeren at gøre.«

Samme oplevelse havde Moe, da hun skulle løbe efter bussen. Pludseligt havde hun ikke flere kræfter.

Efter at have været til flere pacemaker-undersøgelser over en periode på tre måneder, så blev det endeligt klart, at der var tale om en fejl i interfacet til pacemaker-programmeringen.

Det viste sig, at standardkonfigurationen på selve pacemakeren var sat til en øvre puls på 160 slag i minuttet.

»Så når jeg nåede 160 slag i minuttet, så blev pulsen omgående sat ned til 80 slag i minuttet.«

Fejlen bestod i, at brugergrænsefladen til den NFC-programmeringsenheden, der kunne kommunikere med Moes pacemaker, viste et andet maks-puls-niveau end det niveau, der faktisk var programmeret ind i pacemakeren.

Det lykkedes at lokalisere fejlen ved at monitorere Moe, mens hendes puls steg. På den måde var det muligt at se, at pacemakeren satte pulsen ned allerede ved 160 slag i minuttet.

Episoden var en medvirkende faktor til, at Moe begyndte at forske aktivt i, om der var flere bugs og problemer med hendes hardware.

I forbindelse med forskningsprojektet - der er ongoing - har hun blandt andet skaffet pacemaker-programmeringsudstyr via eBay.

Selve pacemakerne har været vanskeligere at skaffe, men Moe har modtaget nogle stykker via doneringer.

Læs også: Miele-opvaskemaskine har en usikker indbygget webserver

En anden bug

Marie Moe er blevet personligt ramt af mere end en bug-relateret episode i pacemakeren.

I forbindelse med sin præsentation på CCC, viste hun et billede af sig selv i en hospitalsseng fra september 2016.

»Jeg skulle debugges. Jeg blev indlagt på et hospital i Holland,« sagde Marie Moe.

Hun var på vej med fly til en konference i Amsterdam, da det gik galt.

Normalt mærker Marie Moe ikke noget til pacemakeren, men pludseligt kunne hun se sine brystmuskler bevæge sig.

»Det blev sandsynligvis forårsaget af kosmisk stråling, som forårsagede bit-flips i enhedens hukommelse, så enheden ikke kunne tilgå dens hukommelse, som det er meningen, den skal.«

Der var ikke nogen pacemaker-teknikker til stede på hospitalet i Holland, så Marie Moe måtte vente til næste dag med at blive tilset.

Da teknikeren kom, havde han medbragt adskillige enheder til kommunikation med pacemakeren. De forskellige leverandører anvender nemlig forskellige proprietære kommunikationsformer, fortalte Moe.

Fabriksindstillinger

Pacemakerne endte med at blive nulstillet til fabriks-indstillinger. Og Marie Moe fik samtidig overtalt leverandøren til at udlevere en data-dump, der lå på enheden, med crash-oplysninger.

»Denne begivenhed gav mig faktisk adgang til et memory-dump af mit hjerte,« sagde Marie Moe.

Hun henviste til, at det normalt ikke er sådan lige til at få adgang til software i medicinske enheder.

I forbindelse med episoden fik Marie Moe også opklaret, hvordan softwaren på pacemakeren bliver opdateret.

Det er sker ved at en usb-nøgle fra leverandøren bliver sat ind i programmeringsenheden, som så uploader den nye kode til pacemakeren.

I lyset af de mulige sikkerhedshuller, Marie Moe kunne være stødt på i forbindelse med sit forskningsprojekt, var hun interesseret i forhold til, hvordan software-opdatering af sådan en enhed ville foregå.

Udskrift af konfigurationsindstillinger

Da pacemakeren ved det hollandske hospitalsbesøg blev gendannet til fabriksindstillinger, så gik den konfiguration, der var tilpasset Marie Moe også fløjten.

Heldigvis havde hun ved tidligere lejligheder insisteret på en fysisk udskrift af sin pacemaker-konfiguration. Den fik hun nogen i Norge til at indscanne og sende til Holland, så pacemakeren kunne blive korrekt sat op.

Halvmarathon

Marie Moe sluttede med en slide, der viser hende løbe et halvmarathon for illustrere, at pacemakeren i dag fungerer efter hensigten.

Efter præsentationen var der et spørgsmål fra salen, der gik på, hvorvidt hun mente, at pacemakere skulle køre open source.

»Det behøver ikke nødvendigvis være open source, men der bør være tredjeparter, der tester og gennemgår koden. Jeg mener det vigtigste er, at vi får standardiseret protokoller,« sagde hun og henviste til hospitalsopholdet i Holland, og det ikke var åbenlyst, hvilken programmerings-enhed, der kunne kommunikere med hendes pacemaker-model.

Derudover pegede Marie Moe på, at det også ville være ønskværdigt med fælles software-repositories, som bliver brugt på tværs af enheder som pacemakere. Så når der eksempelvis er en fejl eller ligefrem et sikkerhedshul i et tredjeparts-bibliotek, som bliver brugt på tværs af enheder, så er det nemmere at identificere enheder, der skal patches.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
Michael Lassen

Jeg med sindsro sige at RH var advaret, jeg har som IT Arkitekt i Region Hovdestaden i 7 år flere gange højt og larmende advaret RH om denne fare. Men der er ingen der vil tage stilling til noget som helst, uanset system, bare man skriver en PH.d afhandling som ingen læser, så er systemet tilfredse, Pacemarker er ikke det eneste system der har disse "hulle" de findes over alt, i det man kalder Midico.

Sundhedsministeren er under et møde i ministeriet, personligt blevet advaret, ikke specifikt om pacemarker, men om tilstanden generelt, eller skulle man sige mangel der på, men vi blev bare affejet, jeg vil påstå at RH kan sparre mere end 400 millioner pr år, ved ”bare” at indføre klar og tydelig ledelse, sparke alle papirflytterne (DJØF) ud og erstatte dem med nogle der tør og vil tage beslutninger.

RH er dybt præget af det man kalder CMA.

Sidst men ikke mindst er også ministeren for offentlig innovation, også blevet kontakte, men også her er interessen ikke eksisterende.

Provokerende yes, men når man igen og igen, ser hvilke mangel på respekt der er for brugen af dine og mine penge kan man ikke undgå at blive forarget, specielt ikke når man ved hvor lidt der skal til.

Bent Ottesen

Jeg er en ganske almindelig elektriker årgang 1951, som tog min uddannelse fra 68-72. Efterfølgende har jeg via efteruddannelse taget det, der vel i dag kan betegnes som kort/mellemlang videregående uddannelse. Ikke kun rent teknisk, men også humanistisk, juridisk på grund af jobskifter. Mit engelsk er brugbart på almindeligt samtaleniveau, men ikke teknisk. Til skriftligt engelsk må jeg ty til stavekontrol.
Jeg kan ganske enkelt ikke læse ovenstående artikel, uden at gribe til ordbog og andre hjælpemidler.
Er jeg bare ganske almindelig dum ? Eller er vi nået til et punkt, hvor en nørd måske skulle overveje at lave en app, der ligesom sprogoversættelser , stavekontroller, m.v. kunne hjælpe mennesker, der gerne vil følge med tiden, men ikke kan følge med i alle de mange nye udtryk og angliaseringen (sikkert stavet forkert) af vores sprog.
Af naturlige årsager ved jeg ikke, hvor mange der har disse sproglige problemer. 10 - 20 % vil nok ikke være helt ved siden af, men det er jo ikke til at sige, uden der foreligger en generel undersøgelse på hele befolkningen.
Kommentarer modtages gerne. Også hvis de bliver nærgående :-) .

Simon Mikkelsen

Det er rigtigt at artiklen indeholder mange nydanske ord af amerikansk oprindelse. Fx interface, bug, memory-dump og software-repositories.

De ord jeg nævner er nogle man lærer som softwareudvikler, men det er bedstemt noget den almindelige befolkning kommer i nærheden af. Artiklen er i den mere tekniske ende, og jeg synes det er ok at et IT-medie indeholder artikler der er lidt tungere. Åbner jeg et bilmagasin, vil jeg også have svært ved at følge med i visse artikler - jeg har ingen interesse for biler.

Jeg synes du skal slå ordene op og så bliver du i stand til at følge med i flere ting.

Jan Heisterberg

Da jeg startede min it-karriere med procesregulering var det en stående vittighed, at det værste der kunne ske for mine kolleger var, at papiret sad fast i printeren ........

Udover det meget tankevækkende i artiklen, for det beskrevne kan jo ramme os alle, så er der også en dybere, filosofisk, tanke: hvordan kan vores it-dominerede verden blive bedre, mere fejlfri ?
Det er jo IKKE en løsning at gå istå, ikke at udvikle os. Hvordan kan it-løsninger blive bedre om mindre fejlbehæftede - uanset om det er en Pacemaker eller en navigationskomponent som styrer en Mars-landing ?

Er vi blevet handlingslammede af kompleksiteten ?

Een ting er de mange it-projekter som fejler på tid, pris, eller funktion - en anden er de it-projekter som ikke kan realiseres af frygt for fejl og mangler ?

Der er behov for et it-udviklings-paradimeskift.

P.S.: Og så er det da foruroligende, at e.g. et forsikringsselskab kan spionere på min Pacemaker og dermed hvad jeg foretager mig - UDEN jeg ved det !

Per Hvid

Der er noget der ikke passer, så artiklen virker ikke troværdig på mig!

"Hun insisteret på en fysisk udskrift af sin pacemaker-konfiguration", dvs den er blevet opereret ud og udskiftet med en ny og det kun er ledningen eller ledningerne ned til hjertet der er genbrugt. Det gør man ikke bare for sjovt.

Jeg mener ikke at følge udsagn er rigtig:
»Så når jeg nåede 160 slag i minuttet, så blev pulsen omgående sat ned til 80 slag i minuttet.«
Så grundlæggende har Marie Moe / journalisten misforstået noget.

Så vidt jeg ved så sikre en standard pacepakeren kun at pulsen ikke bliver for lav, samt logger din pulsaktivitet. Typisk er pacemakeren sat til 60 og den pacer kun når den naturlige puls bliver for lav. Pacemakeren går intet ved den høje puls. Pacemakeren gør noget ved bunden og intet ved toppen. Toppen ordner man typisk ved medicin.

Du kan heller ikke skifte batteri eller oplade pacemakeren, man udskifter hele pacemakeren, som typisk holder 10 år +/- afhængig hvor meget den har pacet.
Pacemakeren omfatter et elektronisk miniature-kredsløb inkl. et batteri. Den aktiveres kun når patientens hjerterytme forstyrres.
Derfor er det nødvendigt, at pacemaker-systemet kan genkende hjertets aktivitet. Når pacemakeren udsender en elektrisk impuls, trækker hjertemusklen sig sammen. Pacemakeren er forbundet til hjertet vha. en eller to elektroder. En elektrode
er en meget tynd, elektrisk isoleret tråd, der er anbragt i højre forkammer eller i højre hjertekammer.

To hyppigt forekommende bradykardiske hjerterytmeforstyrrelser er syg sinusknude-syndrom og AV-blok. Ved syg sinusknude-syndrom fungerer sinusknuden ikke optimalt; elektriske impulser udsendes uregelmæssigt eller for langsomt.
Derfor er hjertet, specielt ved høje belastninger, ikke længere i stand til at tilpasse hjertefrekvensen til de stigende krav.
Ved et AV-blok blokeres overledningen af de elektriske signaler fra sinusknuden via AV-knuden til hjertekamrene. Hvis overledningen mellem atrium og ventrikel er fuldkommen afbrudt, drejer det sig om et totalt AV-blok. Som reaktion derpå, stimulerer andre elektriske centre i hjertet som regel en meget langsom hjælperytme, for i det mindste at
opretholde de livsnødvendige funktioner.

Mark Klitgaard
Henning Mølsted Journalist

Det er uheldigt at begynde at så tvivl om en artikel på baggrund af en viden der baserer sig på 'så vidt jeg ved'.

Jeg kan oplyse at der findes også pacemakere-lignende implantater, som har til formål at sætte ind, når hjertet begynder at slå for hurtigt (artrieflimmer). Det er bl.a. kaldet ICD-teknik (implantable cardioverter defibrillator).

Vh Henning Mølsted, redaktør

Per Hvid

Der findes mange pacemaker varianter og Marie Moe skriver ikke hvad det er for en hun har.
Med de pacemaker typer jeg kender til, så er noget af hendes beskrivelse der er utroværdig.

Jeg er svagstrømsingeniør, it-specialist, pacemakerpatient på 8 år, hjertesvigtpatient, og har atrieflimmer. Jeg har læst meget pacemaker litteratur, talt med pacemaker produktspecialister og hjertelæger og været til utallige undersøger, så jeg mener at jeg kender lidt til emnet.

Til Henning Mølsted: ICD betyder, at den er indopereret og kan afgive stød (defibrillere) på hjertet for at genoprette normal hjerterytme. Den kan behandle hjertestop, der starter som en hurtig og farlig rytmeforstyrrelse fra hjertekamrene.
Men normalt bruger man ikke ICD til behandling af atrieflimmer, men medicin.
Der er ikke noget der hedder artrieflimmer.

Svend Nielsen

»Det blev sandsynligvis forårsaget af kosmisk stråling, som forårsagede bit-flips i enhedens hukommelse, så enheden ikke kunne tilgå dens hukommelse, som det er meningen, den skal.«

Det må stå for foredragsholderens egen regning. Det er fuldstændig usandsynligt, at den smule kosmisk stråling der er i et fly, skulle kunne påvirke en pacemaker. Det vil kræve et så kraftigt burst, at resten af flyets elektronik ville få alvorlige problemer.

Pacemakeren er indkapslet, og ligger i kroppen. Den er sikkerhedsgodkendt efter meget skrappe EMC regler. Så nej, det er ikke kosmisk stråling.

Ud fra den samlede beretning kunne det godt lyde som om den behandling Marie Moe har været udsat for - ifald den er sandfærdig - er så mangelfuld, sløset og lemfældig, at sygehuset har handlet ansvarspådragende. Har hun overvejet at anlægge en sag? Eller er sagen en anden?

Henrik Kramshøj Blogger
Martin Rasmussen

Som der allerede er blevet sagt, så findes det utalige versioner af pacemakere - det er ikke 'one size fits it all'. Med det i mente, havde jeg håbet på at artiklen fik beskrevet hvilken type pacemaker hun havde fået!

Hvad med et eksempel af hendes pacemaker-konfiguration? Eller hukommelses dumpet hun fik?
(anonymiseret selvfølgelig, er ret ligeglad med om hun fik et puls-spike mens hun lå i sengen; med mindre at det var en hjertefejls-udslagsgivende ting)

..og Per, man kan også få hjerteflimmer ved lav puls, som typisk, men langt fra altid, også er kombineret med lavt blodtryk når personen ligger ned/sover.
Det er en af mange grunde til at eks. en holter måling foretages over 24timer, og ikke blot for at fange at du løber efter bussen

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017