Open in app

Sign in

Write

Sign in

Kalbe Giden En Tehlikeli Yol: ICD Hacking

Eşref Erol
Three Arrows Security
Published in
15 min readJul 25, 2020

Teknoloji geliştikçe beraberinde diğer sektörleri de yukarılara taşıyor ancak bu gelişim beraberinde güvenlik sorunlarını da getiriyor. Teknolojiyle yükselen sektörlerden birisi de benim de içinde bulunduğum sağlık sektörü. Her gün gelişen teknolojilerle beraber yeni tedavi yöntemleri ve tıbbi cihazlar ortaya çıkıyor. Bu cihazlardan birisi de sağlık sektörüne girişi çok da eski olmayan ICD’ler. Aslında ICD’lerin kullanımına 1980’lerde başlandı ancak gelişen teknolojiyle hem cihazlar yenilendi ve hasta için konfor sağladı hem de maalesef beraberinde güvenlik sorunlarını getirdi. Günümüzde Medtronic, NayaMed, Biotronik, Abbott gibi firmalar bu cihazların üretimini ve takibini sağlıyorlar.

Kardiyoloji stajına çalışırken ICD’leri gördüğümde ve hocamızın kablosuz bir şekilde işlem sonrasında kontrol edilebiliyor dediğinde aklımda ilk olarak “Bu cihazlar hacklenebilir mi?” diye bir soru oluştu. O an düşündüğümde teknik olarak hacklenebileceğini ve bunun ciddi sonuçlar doğurabileceğini varsaydım ve bu konu hakkında araştırma isteğinin bir anda içimde kabardığını fark ettim ve bu yazı için çok yüzeysel olarak kafamda bir şema oluşturmak adına sınavlardan sonra daha detaylı bir araştırma yapmamda da yardımcı olması için çok yüzeysel bir araştırma yapıp aklımda bir yol haritası belirledim ve şuan okumakta olduğunuz yazının planlarını yapmaya başladım.

Bu yazımızda ICD’lerin neler olduğunu, niçin kullanıldığını, nasıl çalıştıklarını ve güvenlik açısından ne gibi sorunlara gebe kalabileceklerini irdeleyeceğiz. Bunu yaparken mümkün mertebede siber güvenlik camiasından olup da tıbbi bilgisi olmayan okuyucular için temel ve anlaşılabilir bir düzeyde kalıp tıbbi literatür ve teknik açıdan hata yapmamaya çalışarak da tıbbiyelileri kızdırmamaya ve bunun güvenlik kısmında da sınıfları yer değiştirip aynı hassasiyeti göstermeye çalışacağım. Şimdi gelin ilk önce neymiş bu cihazlar ona bir göz atalım.

ICD Nedir?

İngilizce açılımı “Implantable Cardioverter Defibrillator” olan ya da “Intracardiac Defibrillator” adıyla da bilinen, isminden de anlaşılabileceği üzere kalbe implante edilebilen defibrilatörlerdir. Aslında halk arasında kalp pili olarak da bilinen pacemakerlara benzerler ancak kullanım alanları farklıdır. Bazı ICD’lerde pacemaker özelliği de bulunmaktadır. Sağlık sektörüyle pek alakası olmayan okuyucularımız defibrilatörün ne olduğunu bilmeyebilirler. Onu da kısaca açıklayalım.

Defibrilatörler, sizin dizilerde ve filmlerde genelde yanlış kullanımlarıyla gördüğünüz elektro şok cihazlarıdır. Televizyonlarda bu cihazların kullanımını genelde elektriksel aktivitesi olmayan bir hastayı döndürmeye çalışırken görürsünüz lakin aslında hiç elektriksel aktivite olmadığında yani gördüğünüz o düz çizginin varlığı esnasında bu cihazlar kullanılamazlar.

Defibrilatörler Ne Zaman Kullanılır?

Defibrilatörlerin kullanılabileceği belli başlığı ritim bozuklukları bulunmaktadır. İsminden de anlaşılacağı üzere esas kullanımı fibrilasyonu döndürmek içindir. Şoklanabilir belli başlı ritimler vardır. Bunların en temel iki tanesi ventriküler fibrilasyon ve nabızsız ventriküler taşikardidir. Bunların dışında defibrilatörün kardiyoversiyon adı verilen özelliğinin kullanılabileceği atrial fibrilasyon, atrial flutter gibi ritimler de mevcuttur. Şoklanabilir ritimlere örnek EKG görüntüleri aşağıdaki gibidir.

Ventriküler Fibrilasyon EKG Örneği
Nabızsız Ventriküler Taşikardi EKG Örneği

Bu ritimler dışındaki nabızsız elektriksel aktivite, asistoli gibi ritimler şoklanmazlar. Yani şoklayabilmek için ekranda düz çizgi yerine yukarıdaki görsellerde bulunan aktiviteleri görmemiz gerekmektedir.

ICD Niçin Kullanılır?

Tıpla uzaktan yakından pek ilgisi olmayan okuyucularımız için özet geçecek olursak ICD’nin kullanım amaçları birincil ve ikincil korunma grupları olarak ikiye ayrılmaktadır. Amatörce bir tabirle bu gruplandırma en basit şekilde ani kardiyak ölüm öyküsüne göre yapılmaktadır diyebiliriz. Ani kardiyak ölümlerin çoğundan ventriküler taşikardiler ya da ventriküler fibrilasyonlar sorumludur. ICD’ler de bu sebeplerden doğacak ani kardiyak ölümlerin önüne geçebilmek için kullanılmaktadır çünkü yapılan araştırmalara göre bir defa bu ritimlere maruz kalıp resusitasyonu başarılı olan hastalarda bu durumun nüks etme ihtimali bulunmaktadır.

Ani kardiyak ölümden kurtulmuş hastalar sekonder yani ikincil korunma grubuna dahil olurken ani kardiyak ölüm öyküsü olmayan ancak bunun için yüksek risk taşıyan hastalar da primer yani birincil korunma grubundaki hastalardır.

Primer gruptaki hastalara bir örneği 21 Temmuz günü İzmir Tepecik Eğitim ve Araştırma Hastanesi’nde pediatrik kardiyoloji polikliniğinde ICD kontrollerinin yapılışına şahit olduğum bir vakayı örnek verebilirim. 12 yaşındaki erkek olguda hastanın annesi ve teyzesi uzun QT sendromu sebebiyle vefat etmiş. Hastanın da semptomatik olması sebebiyle hastada ani kardiyak ölüm riski göz önüne alınarak ICD takılmış. Primer gruptaki hastaların profilini böylece özetlemiş olabiliriz kabaca. Sekonder grup ise aşağıdaki gibi.

Sekonder gruptaki Class I hastaları şu şekilde listeleyebiliriz:

-Ani kardiyak ölümden kurtulanlar.

-Sustained ventriküler aritmileri olup senkop(bayılma) eşlik eden hastalar.

-Sustained ventriküler aritmi öyküsü olan hastalar.

Class II grubundaki diğer sekonder korunma kümesindeki hastaları ve primer korunma grubundaki hastaları ilgisi olan okuyucular yazının sonunda kaynakçada vereceğim kaynaklardaki kılavuzlardan inceleyebilirler.

Yukarıda yüzeysel olarak anlattığımız kadarıyla siber güvenlikle ilgili okuyucularımızın aklında kalması gereken anahtar kelimeler “Ventriküler taşikardi/fibrilasyon” olmalı. Şimdi bunlar ne derseniz eğer öncelikle ventriküler fibrilasyon için kalbin odacıklarının 500 atım/dk hızına yakın bir hızda kasılmaya çalışmasıdır diyebiliriz. Teorik olarak kasılma diyoruz ancak aslında kalp o sırada etkin bir şekilde gevşeyemediği ve organize bir şekilde kasılamadığı için titremeye başlar ve pompalaması gereken kanı pompalayamaz. Fibrilasyona da daha çok ventriküler taşikardiler sebep olurlar.

ICD’ler Nasıl Çalışır?

Çoğu elektronik cihazın olduğu gibi bu cihazların da çeşitleri bulunmaktadır. Bunlar tipik ICD’ler (transvenöz), Subkutanöz ICD’ler (S-ICD) ve giyilebilir ICD’ler (WCD) olarak listelenebilirler.

ICD’lerin ana hatlarıyla iki bölümden oluşmaktadır. Bunlar:

1)Şoku oluşturan batarya ve diğer elektrik devreleri.

2)Ritim takibini yapan ve cihazla kalbinizin iletişimi sağlayan elektrotları oluşturan kurşun teller.

ICD ve S-ICD Karşılaştırması

Intravenoz cihazlarda elektrotlar direkt kalbe bağlanırken subkutanöz olanda deri altında bulunmaktadır, tipik cihazlarda pacemaker özelliği varken S-ICD’lerde yoktur diyebiliriz.

ICD’ler hastaların kalp ritimlerinin takibini yaparak cihazın özelliklerine ve tipine göre birden fazla işlem içerebilir. Çok basit bir tabirle anlatacak olursak kalp hızınız çok düştüğünde pacemaker(kalp pili) gibi çalışabilir, şoklanabilir bir ritim yakalarsa şoklayabilir ya da gerekli ritimlerde kardiyoversiyon yapabilir.

Cihaz kalbiniz çok fazla hızlandığında kalbinize öncelikle ATP(Antitachycardia Pacing) adı verilen hafif elektriksel aktiviteler göndererek kalp ritminizi kontrol altına almaya çalışır. Cihaz bu hafif aktiviteler ile kalp ritmini düzenleyemezse kalbinizi şoklar.

Cihaz hastaya takıldıktan sonra işlem sırasında hasta en az 2 defa VF’ye sokularak defibrilasyon eşiği güvenli mi diye kontrol edilir. Ayrıca cihazlar hastanın ihtiyaç duyduğu zamanlardaki eşiği kaydedip kendi içinde bunu öğrenerek ilerleyen zamanda gereksinim halinde kullanılması için hafızasında tutabilir. Cihazın elde ettiği verilere bağlı olarak cihaz doktor tarafından hastanın tedavi seyri açısından konfigüre edilebilir.

ICD’ler hastaya takıldıktan sonra cihazın hastaya göre programlamaları yapılmaktadır. Programlama kısmı cihazın üreticisi tarafından yetkilendirilen bir kişi ve doktor gözetimi altında olmaktadır. Doktor gerekli olan parametreleri firma çalışanına bildirir ve çalışan da ICD’nin programlamasını ayrı bir cihazdan parametreleri girerek yapar. Çoğu zaman her hasta için özel bir programlama yapılmayıp genel hasta profiline uygun hazır programların kullanılmasına rağmen bazı hasta gruplarında hastaya özel programlama da yapılmaktadır.

İlk programlama süreci geçtikten sonra hastanın kontrollerinde gerek duyulduğunda yeniden programlama yapılabilir. Bu işlem klinikte gerçekleşir. Ayrıca cihazlar hasta evdeyken uzaktan izlenebilir. Bu özellikler ICD sağlayıcı firma ve modele göre değişmektedir.

ICD Programlama

ICD’ler programlanırken dahil olması gereken belli başlı ana parametreler göz önünde bulundurulur. Bu parametreler sayesinde hastanın cihazdan optimum yararı sağlaması ve gelişebilecek komplikasyonların önlenmesi gözetilmektedir. Kabaca bu parametreleri şöyle sıralayabiliriz:

-Aritmi tespiti:
-Zone ayarı: Ritmin VF, VT ya da FVT olup olmadığının tespiti için bu ritimleri belli kurallara göre bir alana bölecek hız gibi parametrelerin girildiği kısım.
-Tespit Periyodu: Bir tespit yapıldıktan ve aritmi durdurulduktan sonra ne kadar süre içerisinde yeniden tarama yapılacağının ya da tarama süresinin artıp azalması gerektiğinin belirlendiği kısım.
-SVT Ayrımı: VT’yi SVT’den ayırabilmek ve hatalı şoklamaları önlemek için parametre girilen kısım.
-T dalgası kalibrasyonu: Bazı T dalga anomalileri yüzünden false pozitif durumları önlemek için kalibrasyon ayarlamalarının yapıldığı kısım.
-Kardiyak olmayan sinyallerin tespiti: Dış kaynaklardan temel alan sinyal gürültüsünün yanlış sonuçların alınmasını engellemek için çevreden gelen sinyallerin analizi ve buna göre cihazın kalibrasyonunun yapıldığı kısım.
-Ventriküler aritmilerin sonlandırılması: Sonlandırma işleminde hangi dozun kullanılacağının tespiti için parametrelerle belirli sınırların çizildiği kısım.

Yukarıdaki parametrelerin hepsi tüm cihazlarda bulunmamaktadır. Bu parametrelerin çeşitliliği ve hassasiyeti konusunda Medtronic ve NayaMed şirketleri ön plana çıkmaktadır. Yukarıda kısaca özet geçtiğimiz parametrelerin ayarlamalarıyla ilgili panellerden birkaç görseli de anlamanızı kolaylaştırmak için şöyle ekleyeyim.

A Paneli sadece VF için gerekli olan parametreleri B paneli için VF+VT bölgesi için gerekli olan parametreleri göstermektedir.
ATP sekansları

Bu görseller de üniversitemiz bünyesindeki Tepecik Eğitim ve Araştırma Hastanesi’nin pediatrik kardiyoloji polikliniğinde Medtronic teknik elemanı ile fikir alışverişi sırasında hasta kontrollerinde kullanılan cihazdan lakin bu cihaz maalesef kablolu bir şekilde işlev görüyor. O sırada kablosuz cihaz yanında bulunmadığı için onun görsellerini çekemedim maalesef. Bu cihazla hem pacemaker kontrolü hem de ICD kontrolü yapılabilmekte. Firma çalışanından aldığım bilgiye göre bu kontrolü kablolu bir şekilde kontrol ederken kablosuz cihaz gibi RF kullanmak yerine manyetik alandan faydalanıyor. Fotoğraflar poliklinikteki yoğunluktan ötürü aceleye geldi ve çok amatörce oldu bu yüzden bu konuda affınıza sığınıyorum.

ICD’lerde Uzaktan İzlem:

Cihazların bazılarında hastanın kontrolleri ve verilerinin incelenmesi için artık kliniğe gelmesine gerek kalmıyor ve elde edilen veriler sayesinde ICD’lerin hastaya özel olarak programlanması daha rahat oluyor. Ev içinde kullanılan bir kablosuz iletişim ve cihaz aracılığı ile hastanın ICD’sinden alınan veriler şifreli bir şekilde uzak sunucudaki şirkete ya da şirket aracılığıyla doktora iletiliyor. Doktorlar bir web sitesi aracılığı ile verileri görüntüleyebiliyor. Hasta verileri bu yöntemle hem izlenebiliyor hem de şoklama, ritim değişikliği gibi durumlarda hem hastaya hem de hekime SMS, e-mail gibi seçeneklerle uyarı mesajı gönderilebiliyor.

Cihazın kayda aldığı verilerden bazılarına örnek verecek olursak bunlar elektrotlara bağlı parametreler, pil ömrü, aritmiler, intrakardiyak EKG’ler, uygulanan şok varsa işlemin detayları, kalp ritmi ve ritim istatistikleri, hasta aktivitesi olabilir. Bazı cihazlarda akciğerdeki sıvı durumunu, intratorasik empedans gibi değerleri de izleyip kaydedebilir. Cihazın kayıt alma sıklığı ve yukarıda saydığım parametreleri sunma durumu elbette ki üretici firma ve modele göre değişmekte, bunu da belirtmeden geçmeyelim.

Bu iki kavramı da açıkladığımıza göre artık bu etkenler ile ne gibi güvenlik problemleri oluşabilir gelin artık onları incelemeye başlayalım.

Siber Güvenlik Perspektifinden ICD

Eğer yazının bu kısmına kadar sıkılıp pes etmeden okuyabildiyseniz bu cihazların hastalar için ne kadar hayati önem taşıdığının farkına varmışsınızdır. Belki de bir hastanın ölümle yaşam arasındaki o ince çizgide dengede kalmasını sağlayan en etkili tıbbi cihazlar bu cihazlardır diyebiliriz.

Şuana kadar fiilen bu cihazların hacklenmesi gibi bir durum söz konusu olmasa da teorik olarak mümkün olduğunu gözler önüne seren araştırmalar mevcut. Takdir edersiniz ki böyle kritik sonuçlar doğurabilecek cihazlarda bu durumun söz konusu olması bile araştırmaya ve önlemler için firmaları bence düşünmeye itmesi gereken bir konu.

Cihazın çalışma mantığı, programlanması, kontrolü gibi araştırmaları yaparken aklımda güvenlik sorunu oluşturabilecek birkaç tane vektör oluştu. Sonrasında araştırmalarıma devam ederken aklımda oluşan senaryoların öyle pek de halı altına süpürülecek şeyler olmadığını, bu konulardan bazıları hakkında yakın tarihte araştırmalar yapılıp sonuçlarının paylaşıldığını gördüm. Bunları şu şekilde listeleyebilirim:

-ICD programlama süreci ve hasta kontrolündeki cihaz incelemesi.

-Uzaktan izlem özelliği.

-Dışarıdan gelecek olan gürültü diye tabir edilen nonkardiyak sinyaller.

Şimdi gelin bir de tıbbi açıdan incelediğimiz bu vektörleri siber güvenlik perspektifinden inceleyelim.

ICD Programlama:

Yukarıda da anlattığımız gibi cihaz hastaya takıldıktan sonra hangi durumlarda şoklama yapacağı hangi durumlarda ATP(Antitachycardia Pacing) kullanacağı gibi kuralları belirlemek için programlama işlemi yapılmaktadır. Manipüle edilmesi en riskli olan süreç de şahsım açısından bu süreçtir. Bu işlem yapılırken programlama için ayrı bir cihaz kullanılmaktadır. Bizim yazımızda mercek altına tuttuğumuz cihazlar ise kablosuz iletişim sağlayabilen cihazlar olacak.

ICD ile programlama cihazı haberleşirken RF kullanırlar. Bu süreçte cihazlar Bluetooth teknolojisinden yardım alırlar.

Bu cihazlar programlama için kullanılırken kabaca 10 metre çapındaki bir daire içerisinde etki gösterebilmekte. Yani bir manipüslasyonun gerçekleşebilmesi için sadece bu vektörde değil diğer saydığım vektörlerde de fiziksel açıdan ICD’ye yaklaşmak gerekmektedir.

Bu sürecin manipülasyonu için öncelikle aradaki iletişimin çözülmesi gerekmektedir. Programlama cihazı ICD’ye mesajlar iletirken aynı zamanda ICD’den de cihaza dönüşler olduğunu unutmamak ve ikisini ayrı ayrı değerlendirmek gerekmektedir.

İletişimin Çözülmesi:

Bu işlem için en güzel çalışma sistemi cihazlara sahip olup direkt fiziksel erişim ile USRP kullanarak parametrelerle oynayarak iletişim verilerini de kayda alarak tersine mühendislik uygulanması olacaktır ancak böyle bir durumun söz konusu olmadığı zamanlarda bu işlemin yapıldığı poliklinikler gibi alanlara sinyalin alınabileceği bir mesafeye iletişimi kaydetmek ve izlemek için yapılacak sniff işleminde kullanılacak sniffer yerleştirilmesi de büyük bir risk oluşturacaktır.

Hastanelerin bu cihazların temini için açtığı ihaleler ile tek bir firma ile anlaşıp o firmanın cihazlarını kullanması da tek bir alanda yapılacak bilgi toplama işleminde tek bir üretici firmanın modelleri arasındaki iletişiminin takibine kolaylık sağlamaktadır. Bu durum ekonomik ve ticaret etiği açısından anlaşılabilir bir durum olsa da tek bir üreticinin sağladığı cihazların düzenli olarak kullanılması bilgi toplayacak kötü niyetli kişilerin iletişimi çözmesi sürecinde kolaylık sağlamaktadır.

Direkt cihazlara erişimin varlığı söz konusu değilse yerleştirilen bir sniffer ile iletişim kayıt altına alınabilir ve sonrasında çözümleme sürecine gidilebilir. Bu süreçte analiz ederken elde edilmesi gereken üç önemli bilgi bulunmaktadır bunlar cihazların birbirleri ile iletişim için yayın yaptığı yayın frekansı, kullanılan modulasyon ve sembol oranıdır. Sonrasında ise iletilen mesajların çözümlenmesi süreci gelmektedir. Bu işlemler tamamlandıktan sonra sinyal üreterek spoofing saldırılarına imkan sağlanabilir.

A)Yayın Frekansı:

İletişime geçtiğim firma yöneticisi yayın için standart bir frekansın kullanılmadığını bu işlem için şirketlerin ayrı bir aralık satın aldıklarını bunu da iletişime olacak manipülasyonu önlemek ve diğer sinyaller ile karışıklık olmasını engellemek için olduğunu söyledi. Bu işlem için bizde BTK’dan bir yetkilendirme yapılmakta lakin sniffing için kullanılacak cihazın programlama sürecinde bu durum için bir tarama yapılırsa bu durum kolayca by-pass edilebilir gibi duruyor. Genelde bu işlem sırasında ICD aktive olana kadar öncelikle kısa menzilli (30–300 kHz) iletişim kanalı sonrasında ise iki cihaz da MICS(402–405 kHz, MICS: Medical Implant Communications Service) uzun menzilli frekansını kullanmaya başlar.

BTK’nın Tıbbi Cihazlar İçin RF Standartları

B)Modülasyon:

Genel değerlendirmeyi yaptığımız kısımda hem ICD’nin cihazla iletişimi hem de cihazın ICD ile iletişiminin ayrı ayrı ele alınması gerektiğini söylemiştim. Bunun sebeplerinden birisi de her iki cihazında iletişim sırasında farklı modüller kullanması. Eski model cihazlarda cihazdan ICD’ye iletişimde FSK(Frekans Kaydırmalı Anahtarlama), ICD’den cihaza iletişimde ise DPSK(Differential Phase Shifting Keying) modülü kullanılmaktadır.

DPSK

C)Sembol Oranı

Mesajların Analizi

Bu veriler elde edikten sonra yapılacak işlem aradaki mesajların incelenmesi olacaktır. Bu mesajlar cihaz marka ve modele göre farklılık göstermektedir. Cihazların iletişim sırasında yolladıkları mesajların formatları da birbirinden farklıdır. ICD’den cihaza gelen mesajlar ICD’nin o an bulunduğu moda göre, aktif/inaktif durumuna göre de değişmektedir.

Programlama cihazının mesaj formatı

ICD’lerin çoğunda 4 adet mod bulunmakta, bunlar uyku(sleep) modu, sorgu(interrogation), bekleme(standby/no-telemetry) , programlama (reprogramming) modları. ICD etkinleştirilmeden önce programlayıcıdan mesaj gelip gelmediğini kontrol edeceği kablosuz kanala girmek için uyku moduna girer. ICD aktifleştikten sonra uzun menzilli kanalı kullanarak sürekli olarak telemetri verilerini programlama cihazına ilettiği sorgulama moduna girer. Eğer yeniden programlama işlemi yapılırsa ICD 2 saat kadar bu modda kalır. Eğer yeniden programlama yapılırsa ICD her parametre değişikliğinde 2–3 saniyeliğine yeniden programlama moduna geçiş yapar sonrasında tekrar 2 saat sürecek olan sorgulama moduna geçiş yapar. 2 saat dolduktan sonra hala bir işlem yapılmadıysa tekrar uyku moduna geçmeden önce 5 dakikalık bir bekleme moduna girer. Bu durum aslında güvenlik için kullanılmaktadır ancak direkt kendinden kaynaklanan güvenlik açıklarına da neden olmaktadır. Cihaz bekleme modundayken 5 dakika içinde bir mesaj alırsa tekrar sorgulama moduna geçmektedir, bu mesaj tüm ICD cihazlar için aynıdır ve uzun menzilli kanaldan gönderilmektedir.

ICD Modlarının döngüsü

Tüm bu bileşenler göz önüne alındığında 3 farklı saldırı senaryosu ortaya çıkmaktadır. Bunları şu şekilde listeleyebiliriz:

-Gizlilik İhlali

-DOS (Servis Dışı Bırakma) Atakları

-Spoofing (Sahtecilik) Atakları

1)Gizlilik İhlali:

Sniffing işlemi ile yakalanan veriler aracılığı ile hastanın ismi, cihaz özelliğine göre sağlık geçmişi, şoklama için girilen parametreleri gibi değerler mesajların çözümlemesi yapıldıktan sonra elde edilebilir. Böylece hastanın tedavi protokolüne, o anda mevcut sağlık verilerine kadar bir bilgi çıkarımı yapılabilir. Çok da eski sayılmayan modellerde yapılan araştırmalarda iletişimin gizliliği için LFSR yönteminin kullanıldığı tespit edilmiş ve bunun hasta gizliliğini riske attığı belirtilmiş.

2)Denial Of Service(DOS) Atakları:

ICD’lerin modlarının olduğundan ve bekleme modundaki güvenlik zafiyetinden yukarıda bahsetmiştik. Şimdi bu durumu biraz daha irdeleyelim. Bildiğiniz üzere ICD’ler uyku moduna geçmeden önce 5 dakikalık bir bekleme modunda kalıyorlar ve mesaj aldıkları zaman tekrar sorgulama moduna geçiyorlar. Saldırganlar bu süreci ve bunun uzun menzilli kanaldan gelen bir mesaj sonucu ortaya çıkmasını hastaya yakın olmadan ICD’lerini aktifleştirmek ve cihaza dinlenme fırsatı vermeden, cihazı sürekli aktif tutarak pil ömrünü bitirmeye yönelik saldırılar yapmak için kullanabilirler. Buna ek olarak spoofing ile malicious (zararlı) mesajları göndermek için hastaya yaklaşmadan iletişim kurma süresini uzatmak amacıyla da bu zafiyet kullanılabilir.

3)Spoofing Atakları:

Mesajların ve iletişim sürecinin tam analizinden sonra programlama cihazının kopyası gibi çalışan bir SDR ile ICD cihaza sahte mesajlar gönderilerek reprogramming yapılabilir. Bunun getireceği sonuçları sadece sizin hayal gücünüze bırakıyorum.

Uzaktan İzlem(Remote Monitoring):

Yazının başlarında anlattığımız üzere artık hastaların kontrol için polikliniklere gelmelerine pek gerek kalmıyor. Evlerinde üretici firmaların sağladığı bir cihaz aracılığı ile hastanın ICD’sinden alınan veriler bir web sayfası aracılığı ile doktoru tarafından görüntülenebiliyor, gerekirse yeniden programlama için kliniğe hasta çağrılabiliyor; hastaya ya da hekime şoklama, ritim değişikliği gibi durumlarda uyarı mesajları gidiyor.

Üreticilerin monitör cihazları ve kullandıkları teknolojiler

4 Ana üreticiye göre bu sistemlerin özelliklerini ise aşağıdaki şema ile özetleyebiliriz.

Üreticilerin uzaktan izleme hizmetlerinin özellikleri

Sistemin çalışma şeması ise şu şekilde şemalaştırılabilir:

Şimdi burada güvenlik açısından bizi ilgilendiren durum bir önceki bölümde bahsettiklerimiz ile neredeyse aynı ancak burda iki ayrı zamanlama söz konusu. Cihazların aşağıda bahsedeceğimiz unsurlara göre üretici firmalar kıyasında iletişim özelliklerine dair bilgiler ise şöyle:

Üreticilere ait cihazların iletişim bilgileri

1)Ev İçi İzlem Cihazı ve ICD Arasındaki İletişim:

Bu süreçte cihazlar birbirleri ile iletişim için RF kullanmakta. Programlama kısmında bahsettiğimiz gibi burada da RTL-SDR ile veri toplama ve manipülasyon söz konusu olabilir. Bu kısım programlama kısmında irdelediğimiz durumlar ile neredeyse aynı. Farklı olan kısım ise şimdi değineceğimiz ikinci kısım.

2)Ev İçi İzlem Cihazı İle Uzak Sunucu Arasındaki İletişim:

Burada ise firmalar iletişim için mobil ağları, analog ya da ISDN telefon hatlarını kullanıyorlar. Doktorlar iletilen bu veriyi uzak sunucudan sağlanan bir web uygulaması ile görüntüleyebiliyorlar.

Bu iki bölümü de göz önüne aldığımıza karşımıza saldırganların sömürmesine fırsat verebilecek 3 adet unsur çıkıyor. Bunlar:

-RF

-Mobil Ağlar

-Web Uygulama Güvenliği

Biotronik’e ait monitoring iletişim şeması
Medtronic’e ait monitoring iletişim şeması

Üreticilerin kılavuzlarından öğrendiğim kadarıyla burada ki kablosuz iletişim de programlamada olduğu gibi uzun menzilli kanaldan (MICS 402–405 MHz) sağlanmakta.

Bu veriler iletilirken sağlık verilerinin aktarılması ve değiş tokuşu sırasında uyulması ve uygulanması gereken protokolleri içeren HL7 standartlarına göre ya da XML aracılığı ile iletilip şifrelenmek zorunda ancak bazı üreticiler bunlara uyarken bazı üreticilerse maalesef bunlara dikkat etmiyorlar. Bununla ilgili özelliklerin olduğu tablo ise şöyle:

Güvenlik protokollerine göre üreticilerin kıyaslaması

Web uyguluma güvenliği konusunda ki çok da ayrıntılı olmayan özelliklere göre üreticilerin durumları da şöyle:

Web uygulama güvenliği özellikleri

Şimdi bunlardan da bahsettiğimize göre son olarak sonuncu ana risk faktörlerimizden kalp dışı sinyallere gelelim.

Nonkardiyak Sinyaller:

ICD cihazlar normal koşullar altında dışarıdan gürültü diye tabir edilen nonkardiyak sinyalleri ayırt edebilme yeteneğine sahipler lakin cihazın fiziksel bir hasarı ya da yüksek gerilimin olması cihazın bu özelliğinin tam verim sağlamamasına sebep olabilir. Yüksek gerilim hattı çevresindeyken ya da cihazın elektrotları ya da gövdesinde bir hasar meydana geldiğinde hastalar cihazı dışarıdan tetikleyebilecek ya da servis dışı kalmasına sebep olabilecek ICD’nin anlayabileceği dilde olmayan anlamsız radyo frekansı yayınlarına karşı da saldırıya açık kalıyorlar maalesef.

Son olarak sizlere yazıyı hazırlarken karşılaştığım son zamanlarda yapılan bir araştırmadan bahsetmek istiyorum. Bu araştırma aslında bu yazının bir özeti niteliği de taşıyor diyebiliriz.

DHS’nin 30 Ocak’ta kendi sitesinde paylaştığı açıklamaya göre MedTronic şirketine ait ICD’ler ve monitörlerden 16 modeli etkileyen CVE-2019–6538 ve CVE-2019–6540 adıyla 2 adet zafiyet keşfedildi. Zafiyetlerin ilk yayını ise 2019 Mart ayına dayanıyor. Teknik olmayan bir şekilde açıklayacak olursak zafiyetler yetkisiz bir şekilde düzenleme yapabilme ya da erişim sağlayabilme ve ikinci olarak da hassas bilgilerin cleartext (açık metin) olarak aktarılmasını içeriyor.Açıklamanın bence komik olan yanı bu zafiyetler aslında temel olarak 2005’ten beri bulunmakta. 2017 yılında da Abbott tarafından satın alınan St. Jude Medical’e ait cihazlarda zafiyet tespit edilmişti. Detaylı bilgi ve açıklama için şu linke bakabilirsiniz:

https://us-cert.cisa.gov/ics/advisories/ICSMA-19-080-01

Teşekkür

Öncelikle yazıyı yazmamda verdiği destek ve gösterdiği yardımlardan ötürü hocam Sayın Doç. Dr. Cem Karadeniz’e, yazıyı yazmamdaki teşviklerinden dolayı Sayın Doç. Dr. İlker Tekkeşin’e ve bitmek bilmeyen sorularımı bıkmadan usanmadan yanıtlayan, teknik konuda kaynak bulamadığım zaman bana kaynak bulmada yardımcı olan abim Yasin Yaman’a ve buraya kadar bıkmadan usanmadan okuyan siz okurlara çok teşekkürler.

Yazıyı yazarken hem tıbbiyelileri hem de güvenlik camiasındaki arkadaşlarımı her iki alanda da fazla teknik detayla boğmamaya çalıştım. Umarım bu yazı yapılacak yeni araştırmalar için merak kaynağı olur ve bir nebze de olsa buna ışık tutar. Mümkün mertebe teknik hatalardan hem tıbbi hem de güvenlik açısında kaçınmaya çalıştım, bir hatam varsa ya da yazıya katkı sağlamak isterseniz dönüşlerinizi bekliyorum.

Kaynakça:

-http://dspace.baskent.edu.tr/bitstream/handle/11727/2259/00418.pdf?sequence=1&isAllowed=y
-http://dx.doi.org/10.1145/2991079.2991094
-https://academic.oup.com/eurheartj/article/36/41/2793/2293363
-https://academic.oup.com/europace/article/21/6/846/5418565
-https://docs.microsoft.com/en-us/biztalk/adapters-and-accelerators/accelerator-hl7/message-encodings
-https://kce.fgov.be/sites/default/files/atoms/files/kce_136c_remote_monitoring.pdf
-https://medlineplus.gov/ency/article/007370.htm
-https://nakedsecurity.sophos.com/2019/03/25/medtronic-cardiac-implants-can-be-hacked-fda-issues-alert/
-https://us-cert.cisa.gov/ics/advisories/ICSMA-19-080-01
-https://www.ahajournals.org/doi/epub/10.1161/CIRCUALTIONAHA.108.189742
-https://www.btk.gov.tr/uploads/pages/kisa-mesafe-erisimli-telsiz-ket-cihazlari-hakkinda-yonetmelik-taslagi-24-06-2012-tarihine-kadar-kamuoyu-gorusune-acilmistir/ket.doc
-https://www.ncbi.nlm.nih.gov/pmc/articles/PMC2686319/
-https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4237300/
-https://www.texasheart.org/heart-health/heart-information-center/topics/implantable-cardioverter-defibrillator-icd/
-https://www.thecardiologyadvisor.com/home/decision-support-in-medicine/cardiology/implantable-cardioverter-defibrillators-primary-and-secondary-prevention-of-sudden-cardiac-death/
-https://www.tkd.org.tr/kilavuz/k10/118c7.htm?wbnum=1551
-WA Dijk, CAM Hooijschuur, W van der Velde, WRM Dassen A Proposal for a Standard Communication Protocol for Pacemaker/ICD Programmers: DOI: 10.1109/CIC.2005.1588118

Cybersecurity
Icd
Cardiology
Radio Frequency
Medicaldevicehacking

--

--

Eşref Erol
Three Arrows Security

Written by Eşref Erol

286 Followers
Editor for

Dr. | Editor at @threearrowsec & @h4cktimes | @Parrotsec TR Community

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams