McAfee descobre vulnerabilidade em bombas médicas

Imagem: Divulgação/B. Braun

Hackers poderiam dobrar a taxa de fluxo de medicamento das bombas médicas em hospitais, é o que dizem pesquisadores da McAfee.  

De acordo com a Wired, os pesquisadores descobriram que um hacker com acesso à rede de uma unidade de saúde conseguiria controlar essas bombas, chamadas B. Braun SpaceStation, explorando uma vulnerabilidade comum. 

“Puxamos todos os fios que podíamos e, no final das contas, encontramos o pior cenário possível”, disse Steve Povolny, chefe de pesquisa em segurança da McAfee. Ele continua dizendo que é possível dobrar a taxa de fluxo do medicamento, e que “como um invasor, você não deve ser capaz de se mover para frente e para trás da SpaceStation para o sistema operacional da bomba [...] – Isso é um problema real.” 

Seria necessário um hacker determinado para a invadir a vulnerabilidade dos produtos B. Braun; um ataque que, na prática, não seria fácil de se reproduzir. Contudo, se tratando de redes hospitalares, o impacto poderia ser devastador. Por isso, todo cuidado é pouco. 

A B. Braun disse em um comunicado que a melhor forma de manter os dispositivos seguros seria usar as últimas versões de software, lançados em outubro. E recomendou que os clientes implementassem outras formas de segurança de rede, como autenticação multifatorial. 

Ainda no comunicado, B. Braun Melsungen disse discordar veementemente da declaração da McAfee de que este é um “cenário realista”, no qual a segurança dos pacientes está em risco. 

Mas os pesquisadores notaram que a maioria dos bugs não foram corrigidos em produtos existentes e o problema ainda não foi oficialmente resolvido. 

Caso os hackers obtenham controle do SpaceStation, eles podem explorar quatro outras vulnerabilidades que se relacionam com a falta de controles de acesso entre o dispositivo e uma bomba. Assim, os criminosos podem dosar a quantidade de medicamento que é servida ao paciente. 

Além de conseguir controlar o fluxo do medicamento, os pesquisadores descobriram que o dispositivo não é criptografado – o que é um grande erro de segurança de softwares -, e que também é vulnerável à malwares que se instalam no dispositivo. 

Os equipamentos eletrônicos utilizados em hospitais, como marcapassos, ultrassons e monitores, são manuseados de forma remota, tanto pela internet quanto por controladores internos. A maioria deles, porém, não é desenvolvida pensando na segurança do software, o que facilita possíveis invasões nos dispositivos. 

Não há dúvidas de que existe um grande potencial de que a saúde e segurança de pacientes sejam impactadas, caso esses dispositivos, como as bombas médicas, não sejam totalmente seguros. Independentemente das tendências de ataques cibernéticos atuais, essa é uma questão que requer atenção imediata. 

“Queremos ter certeza de que as instituições e instalações que realmente implantam esses dispositivos no mundo inteiro percebam que esse é um risco real. [...] Tudo que é preciso é literalmente uma vez - uma figura política, uma tentativa de assassinato e estaremos pensando que poderíamos ter feito algo para evitar isso.” concluiu Povolny, pesquisador da McAfee.