jueves, 2 de enero de 2014

Hackeando Humanos.





Tras los últimos ataques cibernéticos que se han producido en todo tipo de escenario y las pruebas de hackeo en arquitecturas no convencionales como por ejemplo: el intento de hackear un Satélite, Dron , Automovil (BlaCk HaT - DefCoN - 2013), Avión (Planesploit), etc. Creo que hasta el momento podemos confirmar que ninguna estructura creada por el hombre tiene una seguridad plena.

A continuación vamos a poner a prueba una de los sistemas mas complejos que existe : El humano. En este pequeño post, vamos a seguir un procedimiento detallado en la cual nuestro nuestro objeto de estudio va ser las vulnerabilidades de un Humano.Pues sin entrar en mas detalles, comenzemos con nuestra investigación.




Procedimiento de análisis del objetivo.


1.- Vulnerabilidades del ser Humano.


El humano tiene cientos de vulnerabildades (refiriendonos al tema íntegro como ser humano). Pero en esta ocasión que hace a un humano ser vulnerable a posibles ataques cibernéticos, pues la respuesta es simple, con el trascurso de los años el hombre poco a poco ha estado dependiendo de algunos dispositivos electrónicos para poder gestionar algunos procesos del propio metabolismo (Homeostasis). El metabolismo con el trascurso del tiempo puede llegar a tener ciertas dificultades al poder ejecutar ciertas tareas que son indispensables para la vida en el ser humano.




Escaneando vulnerabilidades.


Acualmente existen muchos dispositivos que ayudan al humano a mantener un homeostasis estable. Dentro de los distintos dispositivos podemos encontrar :


  • Marcapasos
  • Sensores implantables por ejemplo glucosa
  • Bombas de infusión implantadas por ejemplo la insulina
  • Estimuladores gástricos
  • Estimuladores cerebrales profundos
  • Implantes oculares
  • Píldoras inteligentes
  • Prótesis



Con la lista mencionada, podemos establecer que si dichos dispositivos electrónicos practicamente se  encuentran respaldando la supervivencia de una persona quien porta, dicha tarea llevada a cabo por dicho aparato es muy delicada, mas aun cuando estos dispositivos pueden sufrir algun tipo de ataque por parte de un ente exterior.


Como proceso de toda investigación, despues de utilizar un escaner de posibles vulnerabilidades, vamos a proceder a investigar sobre cada uno de ellas para su posterior o posible explotación. Como el post tiene que ser lo mas breve prosible , solo se va ha a estudiar las dos primeras vulnerabilidades desde el ángulo de un posible atacannte.


Desfibriladores automático implantables - Marcapasos


Un desfibrilador automático implantable (DAI) es un producto sanitario implantable activo, el cual una de sus funciones es detectar si el ritmo cardíaco se encuentra en un estado anómalo en un paciente, para posteriormente  revertirlo automáticamente a su ritmo normal. El DAI administrará un choque de alta energía o descarga eléctrica de un modo previamente programado.


Existen una amplia variedad de desfibriladores que abarcan las posibilidades de tratamiento para cada tipo de paciente. La decisipon de cual es el Desfibrilador mas adecuado se toma por parte de su medico, el cual se va a basar en el análisis de su arritmia y de su enfermedad cardíaca. Pero, igual de importante es la elección e implantación del desfibrilador, como su ajuste y seguimiento. por eso, su cardiólogo le revisará el DAI de foma periódica y en algunas ocasiones le cambiará algunas funciones.

Básicamente se habla de 2 tipos de marcapasos los cuales son :

  • Marcapasos unicameral.
  • Marcapasos bicameral.





Desfibriladores automáticos - Marcapasos.




Los cuatro tipos más importantes de marcapaso son: auricular  (AAI), ventricular (VVI) y auriculoventriculares (VDD y DDD). Las siglas AAI, VVI, etc constituyen códigos universales para designar el tipo de marcapaso con claridad.


Partes del marcapasos  (Estructura general )

  • Captador de actividad cardiaca.
  • Electrodo de conexión al corazón.
  • Procesador de datos.
  • Batería.




Estructura del corazón (Nuestro campo de estudio).


  • Nodo sinoauricular (SA) :  Es una estructura donde se origina el impulso eléctrico que da origen a un latido cardíaco.  
  • Nodo auriculoventricular (AV)  : Sirve para filtrar la actividad demasiado rápida de las aurículas. Del nodo AV se transmite la corriente, la cual tiene como destino llegar a los dos ventrículos.


Funcionamiento 


1.- Intercambia informacíón con el corazon mandando impulsos dede el generador al corazón para que este se contraiga con una frecuencia mínima establecida por el médico.

2.- Intermambia información con el corazon recibiendo información desde el corazón al generador para que este último detecte si el corazon late por si mismo para inhibirse en ese caso y no enviar estímulos si el caso fuera.



Tipos de Marcapasos.


Marcapasos Unicamerales


Consta de un generador y un solo cable que estimula y detecta una sola cavidad cardíaca.Afecta sólo a la aurícula o al ventrículo a una frecuencia determinada por la programación. La estimulación cesará cuando se produzca ritmo propío del paciente.




Marcapasos Bicamerales.


El generador esta unido a dos cables.Uno de los cables está situado en la aurícula derecha y otro en el ventrículo derecho.El marcapasos bicameral posibilita la estimulación secuencial de las dos cámaras. Tambien puede inhibirse en lo periódos en los que ambas cámaras laten normalmente.




Nota : A continuación vamos a dar detalles mas específicos sobre los distintos tipos de marcapasos. Si el lector hasta el momento ha tenido pequeños problemas sobre el entendimiento del post, recomiendo obviar y no entrar a mas detalles, ya que en vez de despejar sus dudas pueden con llevarle a mas.

Si el lector ya tiene conocimientos previos, le recomiendo entrar a dichos detalles que están a continuación ya que con esto usted podrá tener mas visión para hacer una prueba de un ataque mas especifico dependiendo del tipo de marcapasos.



Información adicional - Avanzada


Marcapasos unicamerales.


Afectan sólo a la aurícula o al ventrículo, pueden ser el AAI o VVI.


Marcapaso unicameral Auricular 

Se usa principalmente para la enfermedad del nodo sinusal con predominio de la bradicardia o ritmo lento. Se entiende que el resto del sistema de conducción es normal. El electrodo contacta con la pared de la aurícula derecha, detecta si hay o no latido auricular propio y si no lo hay en la frecuencia deseada, envía un estímulo eléctrico del generador a la aurícula que se contrae. Este estímulo alcanza el nodo auriculoventricular que lo trasmite a los ventrículos.


Marcapaso unicameral Ventricular.

Se usa principalmente para el bloqueo auriculoventricular completo y bradicardia en aquellos casos en los que no sea posible implantar los marcapasos VDD ni DDD. El electrodo contacta con la pared del ventrículo derecho, y detecta si hay o no latido ventricular propio y si no lo hay envía un estímulo eléctrico del generador al ventrículo que se contrae totalmente independiente de la contracción auricular que se realiza normalmente por estímulo del nodo sinusal


Desfibrilador Bicameral.


Afectan sólo a la aurícula o al ventrículo, pueden ser el VDD o DDD.


Marcapaso auriculoventricular (VDD )

Se usa principalmente para los bloqueos auriculoventriculares completos. Consta de un generador y un electrodo que contacta con la aurícula de la que detecta su actividad (si se contrae o no) pero a la que no puede estimular, y con el ventrículo al que puede detectar (si se contrae o no) y al que puede estimular. El estímulo que se origina en el nodo sinusal "viaja por la pared auricular" hasta el nodo auriculoventricular donde se detiene o bloquea. En su "viaje auricular" el estímulo del nodo sinusal es detectado por el electrodo del marcapaso en su contacto auricular y lo transmite al generador que emite automáticamente un estímulo al ventrículo a través del electrodo en su contacto ventricular, de forma que el estímulo eléctrico llega finalmente al ventrículo en un tiempo similar al que llegaría el estímulo si fuera transmitido normalmente por el nodo auriculoventricular


Marcapaso Auriculoventricular (DDD)

Su uso es obligatorio en los casos con lesión en ambos nodos el sinusal y el auriculoventricular y como alternativa en los bloqueos auriculoventriculares completos. Consta de un electrodo que contacta con la aurícula de la que detecta su actividad (si se contrae o no) pero a la que no estimular, y con el ventrículo al que puede detectar (si se contrae o no) y al que puede estimular. El estímulo del nodo sinusual es detectado por el electródo del marcapaso en su contacto auricular y lo trasmiite al generador que emite automáticamente un estímulo al ventrículo a través del electrodo en su contacto ventricular de forma que la estimulación a través de ambos electrodos logra una contracción auriculoventricular sincrónica. Este marcapaso es el mas completo y fisiológico ya que puede funcionar como AAI, VVI, VDD y finalmente DDD.


Bueno hasta el momento hemos estudiado el funcionamiento del corazón desde un punto de vista mas general, esto se ha hecho para que el lector tenga una mejor perspectiva de los múltiples ataques posibles que se pueden ejecutar.

A continuación nos vamos a enfocar en nuestro objetivo de estudio, el cual es el funcionamiento del marcapasos en si, es decir en los datos de entrada que recibe para poder ejecutarlos bajo sus funciones ya programadas.


Escaneando vulnerabilidades - Marcapasos





Como anteriormente ya se habia mencionado, el marcapasos es un aparato electrónico generador de impulsos, este impulsa artificial y rítmicamente el corazón cuando los marcapasos naturales del corazón no pueden mantener el ritmo y la frecuencia adecuados. Además estos dispositivos monitorizan la actividad eléctrica cardiaca espontánea, y según su programación desencadenan impulsos eléctricos o no.

Un marcapasos moderno tiene una vida estimada de entre 5 y 12 años. Posteriormente puede cambiarse muy fácilmente gracias a la estandarización (IS-1-standard) de las conexiones de los electrodos.


Los nuevos marcapasos tienen además otras funciones:

  • Sincronización, por un problema de comunicación, entre la aurícula y el ventrículo (bloqueo-AV).
  • Modificación de la frecuencia de los latidos para adecuarse a actividad corporal del portador (marcapasos de frecuencia adaptativa)
  • Ayuda a evitar problemas de ritmo de la aurícula mediante sobreestimulación.
  • Grabación o seguimiento de las perturbaciones del ritmo cardiaco.
  • Mejora de la función de bombeo del corazón mediante una estimulación del ventrículo izquierdo o de ambos en caso de un mal funcionamiento del ventrículo izquierdo y falta de riego (terapia de resincronización cardiaca).


Estructura de origen y canalización de Impulsos.




Toda la estructura ya sea desde donde nace el impulso hasta donde los electrodos entran en contacto con las paredes del corazon , estan divididas en 3 partes especificas.


1.- Marcapasos propiamente dicho : Es aquí donde se generan los impulsos , los cuales son debidamente procesados bajo estrictos datos de información la cual ha sido debidamente analizada.


2.-  Cables de transmisión : Esta conectado de un extremo por el marcapasos (propiamente) y es por ellos por donde viajan los impulsos hasta llegar a los electrodos.




3.- Electrodos :  Es la parte del sistema de estimulación cardiaca que trasmite el impulso eléctrico desde el generador hasta el miocardio. El material del electrodo debe ser conductor, debe estar aislado y su calibre debe ser adecuado para introducirse por el sistema venoso. Los electrodos pueden ser unipolares o bipolares, del mismo modo los electrodos pueden ser de fijación activa o pasiva, según el modo de fijación al endocardio.


 Fijación Activa 



 Fijacion Pasiva




Nota :  Muchos generadores incluyen la polaridad como un parámetro programable, siendo posible programar la estimulación unipolar, que permite mejor visualización de las espículas en un ECG de superficie y la detección bipolar para disminuir el riesgo de interferencias.


Evolución de los marcapasos


Con el transcurso de los años y el avanze de la tecnología en el sector médico, los marcapasos han sufrido distintos cambios para mejorar el control y la calidad que se le brinda al paciente. Claro esta que los cambios han traido mejoras , ya sea como el tamaño del dispositivo y talvez podría mencionarse como una debilidad la función de conexión a internet el cual podría 





 Marcapasos inalambricos.




En la actualidad existen diferentes tipos de DAIC casi todos los fabricantes han introducido su propia versión de los sistemas de monitoreo a distancia, es así como Biotronik introdujo el sistemas BIOTRONIK Home Monitoring®, Medtronic® (CareLink® Network), Latitude® Patient Management system de Boston Scientific® San Paul USA, y Merlin.netTM de St Jude Medical, Sylmar USA.




Pero el problema que surge a flote es de la confiabilidad que han llegado a optar muchas empresas al conectar sus dispositivos (marcapasos) a la Internet. Esta salida de conexión a la internet se ha hecho con el fin de poder minimizar de cierta forma costos por parte del paciente, como tambien para llevar una gestion y administración del comportamiento del corazon a tiempo real  por parte del médico del paciente.


Proceso de monitoreo remoto y seguimiento del paciente con desfibrilidar automático - Marcapasos


El sistema BIOTRONIK Home Monitoring permite un monitoreo de los dispositivos cardiacos, y se encuentra integrado en los MP, TRC, DAI, TRC-D. Con este sistema se envía información por medio de telemetría, ya que la antena se encuentra en el cabezal del dispositivo, que es recibida por un transmisor conocido como CardioMessenger, el cual debe estar situado a una distancia de 20 cm a 2 m del paciente; en sí, es un teléfono móvil que transmite la información que recibe del dispositivo a un centro de análisis situado en Berlín, Alemania, a través de la red Global System for Mobile Communication (GSM), ahí se procesa la información y se manda al médico responsable o al centro hospitalario, vía Internet.




Los mensajes que se generan pueden ser de tres tipos: 


a). Mensajes periódicos, los cuales se transmiten diariamente a una hora prevista. 


b). Mensajes en forma de alerta, los cuales son activados por sucesos detectados en el dispositivo, quienes pueden sufrir fallos en la recepcion de programación ya que se encuentra fuera del rango permitido o eventos arrítmicos, con lo que se emitirá un mensaje que se enviará siempre y cuando el paciente se encuentre dentro del área de recepción del CardioMessenger; de existir algún inconveniente en la recepción, con estar cerca de la zona de transmisión se activa su buen funcionamiento.


 c). Mensaje activado por el paciente al aplicar un imán sobre el dispositivo.


Nota : Determinados dispositivos permiten enviar un electrograma intracavitario (EGM) durante un suceso o algún electrograma periódico, esto gracias al nuevo CardioMessenger II.


Electrograma (EGM) intracavitario  :  Es el registro de la señal eléctrica intracardiaca. Es una representación de los que realmente detecta el marcapasos y por tanto toda la respuesta de éste vendra marcado por dicha señal. Es una herramienta muy útil en la consulta de seguimiento de Marcapasos, tanto en la ejecución de los test de detección y captura. Asi mismo, su interpretación nos ayuda a detectar y analizar situcaicones complejas. Los marcapasos de útlima generación incorporan tecnología basada en el dispositivo anitaquicardia, permitiendo almacenar EGM intercavitarios los cuales son diagnosticos de gran ayuda en la valoració clínica del paciente.





El CardioMessenger II puede de cierta forma transmitir esta información, la cual es muy delicada e importante para el seguimiento de los pacientes ya que permite optimizar la programación de los parámetros del marcapasos.




Después de implantar los dispositivos, se habilitó el sistema BIOTRONIK Home Monitoring, con una hora fija de transmisión para todos los pacientes, que fue a las seis de la mañana; al mismo tiempo que se instruyó acerca de su funcionamiento tanto al paciente como a un familiar. La transmisión de los informes se programó diariamente y se optó por enviar las alertas por correo electrónico para visualizarlas en una página web, para asi poder analizar la información en forma detallada.




Aqui podemos visualizar el estado de cada paciente, de acuerdo con la semaforización; en este caso se observa un estado amarillo para su revisión, al mismo tiempo que existe el informe del evento y el tipo de dispositivo implantado.

Nota importante : Podemos observar como cada dispositivo tiene un identificador por cada paciente, este identificador podría ser muy importante ya que como atacante podriamos obtener los privilegios para poder tener acceso a dicha información y utilizarla al momento de querer ejecutar un ataque especifico bajo las condiciones en la cual se encuentra un paciente. Los identificadores o numeros de serie de cada dispositivo van a cierta forma clasificar los objetivos.



Explotando vulnerabilidades 




Bueno ya llegando a este punto y con el todo el conocimiento previo acerca de como funciona un marcapaso y el rol muy importante entorno a la dirección del trafico de información vital para el usuario del dispositivo. A continuación vamos a intentar simular un posible ataque al dispositivo en cuestión.

El objetivo del ataque va ser el de reprogramar las intrucciones que el dispositivo ha heredado basado en el estado del paciente y tambien de poder capturar el tráfico que envia un segundo dispositivo hacia un punto lejano del paciente X.


Escenario de ataque


Como se ha mencionado anteriormente, los marcapasos son programados desde un inicio, y cuyos parametros son ingresados deacuerdo al estado del paciente (situación del corazón). Es decir el dispositivo se ejecuta con normalmente validando cada pequeño impulso eléctrico por una pequeña reacción extraña por parte de alguna sección del corazón.





Detección de dispotivos alternos.


El CardioMessenger es el dispositivo que entra en contacto directo con el marcapasos, dicho contacto se establece por un medio inalámbrico. Ambos dispositivos deben distanciarse de 20cm a 2 metros como maximo para que haber un libre transito de información.




Ataque del medio Marcapaso - CardioMessenger.


La función del CardioMessenger (General) es la de monitorear todas las actividades que ha realizado el marcapasos y segun sea su progamación puede diseñar reportes muy detallados (EGM), los cuales seran enviados desde el dispositivo hacia la Central de Servicio, de los cuales será redirigido hacia el medico que ha hecho la consulta.




 Ingeniería Inversa.


Mediante este método vamos a poder capturar el trafico que se transmite entre el marcapasos y CardioMessenger.


    1. Para poder realizar dicho atque vamos a tener que trabajr en la capa nivel física y es necesario disponer de algunas deficiones e intrumentos.

          • Transmisión de Radiofrecuencia (RF) alrededor de 175kHz.
          • Modulación 2-FSK.

          Modulación FSK : Es  una técnica de transisión digital de información binaria (ceros y unos) utilizando dos frecuencias diferentes. La señal moduladora solo varía entre dos valores de tensión discretos formando un tren de pulsos donde un 1 representa un "1" o "marca" y el otro representa el "0" o "espacio". Mientras que la portadora es ua señal sinusoidal.



          Nota : Recomiendo leer mas sobre Modulación FSK.

          • Modulación DBPSK : Es una forma de modulación digital, donde la información binaria de la entrada está compuesta en la diferencia entre las fases de dos elementos sucesivos de señalización, y no en la fase absoluta. La implementación del receptor es económica, por lo que es de amplio uso en comunicaciones inalámbricas. En los sistemas DPSK, el flujo digital de entrada es codificado de forma diferencial y luego es modulado mediante la PSK binaria.



          Nota : Recomiendo leer mas sobre Modulación DPSK y Receptor DPSK .

          • Usaremos decodificadores conocidos para textos planos. No retormar ceros invertidos con el relleno de bits.



            • Dispositivo de comunicación 

            1-  Campo magnético introducido.
            2.- Cardioversor Desfibrilador Implantable (ICD).
            3.- Cardioversor Desfibrilador Implantable (ICD Programador)



              Nota : Un ataque para poder capturar la información saliente del dispositivo CardioMessenger, sería un ataque mas complejo y estratégico, ya sea por la red que utiliza para el envio de la información - Global System for Mobile Communication (GSM).


              Captura de la Información 



              Ataque en modo Pasivo.



              Como sabemos la información que se viaja por un medio inalámbrico suele ser un medio muy inestable (distancia) e inseguro. Por ende la captura de información va ser totalmente posible ya sea por diversas tecnicas. 

              Como resultado del ataque ejecutado vamos a comenzar a disponer de la información. 





              La información que vamos a recibir va a depender de la programación a la cual fue ejercido el dispositivo.


              Olfateando las signos vitales.




              Ataque en modo Activo.



              1.- Ataques Replay : Es una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.

              • Retransmisión de las huellas registradas.



                2.- Solicitud de ICD y los datos del paciente.



                3.- Drenaje de energía.

                • Activar constantemente el ICD para consumo de energía.


                  4.- Cambiar configuración de dispositivos.

                  • Cambiar configuración de la CIE, por ejemplo, fecha.
                  • Cambio del Paciente/Configuración de Terapia


                  • Inducir una descarga eléctrica usando el modo de auricular-test.



                  Despues de toda la explicación detallada del funcionamiento del marcapasos, podemos deducir que una pequeña variación en la programación o ocasionar una pequeña modificación en la intencidad del impulso electrico, inclusive si hacemos hacemos que el dispositivo cree reacciones que no son compatibles con el estado del corazón.



                  Las consecuencias de este tipo de ataques podría se fatal para el portador del dispositivo.



                  Seguridad y Privacidad

                    1.- Uno de los puntos a tomar fundamentalmente es el de la Autorización.


                  • Autorización personalizada : Tener acceso a la información del dispositivo en presencia física del portador.
                  • Autorización basada en roles.
                  • Prevenir el mal uso accidental o intencional : Contactar con el paciente inmediatamente sea el caso de un posible fallo o ataque al dispositivo.
                  • Disponer de sistemas criptográficos para aumentar la seguridad y disponer de respaldo de otros medios ya sea situaciones de emergencia.

                  Ampliando el rango de ataques. 





                  Con las nuevas tecnologías de hoy, en la cual un movil hoy, es practicamente lo que hace algunos años era una computadora portatil. Este avanze nos trae libertad a ejercer ataques de una forma mas activa y menos sospechoso sea el caso.


                  Tras las conferencias de seguridad que se han hecho alrededor del mundo y en la cual muchos sistemas han sido vulnerados con solo un movil y aplicaciones.




                  Para nuestro post y poder de cierta forma ampliar la distancia de ataque seria utilizando o disponer de una antena direccional la cual mejorará la intensidad de la señal de su router inalámbrico (Celular ) y la calidad para aumentar la cobertura inalámbrica.





                  Conclusiones : 


                  1.-  No existen sistemas libres los cuales esten libres de ataques, ya sea sistemas informáticos o sistemas mas complejos.

                  2.-  Se detallo los tipos de marcapasos, por el hecho de que para poder realizar un ataque cuya efectividad sea 100% , es necesario tener todo la información posible del objetivo, mientras mas información detallada se disponga, vamos a poder decidir que tipo de modificaciones se puedan efectuar con el fin de que que no existe incertidumbre de error a la hora de ejecutarlo.

                  3.-  El de disponer información sensible puede conllevar a acontecimientos no agradables para un ente.


                  Nota : Quiero agradecer a una persona, ya que gracias a sus aportaciones e investigaciones se ha podido hacer el post. Barnaby JaCk - BlaCk HaT 2013. Como sabemos nuestro compañero y colega ha dejado un gran vacío entre toda la comunidad relacionada a la seguridad de la información. Por mi parte ha sido un impulso para poder seguir adelante. Gracias Barnaby JaCk - R.I.P.




                   DefCoN 2013 - Vegas - Nevada.





                  Bueno creo que hemos llegado al final del post, y solo me gustaría adicionar que se van a compartir mas post interesantes en las próximas publicaciones. Bueno me despido y será hasta la próxima. Nos vemos.












                  3 comentarios: