Pompa insulin yang rentan diretas

LAS VEGAS – Bahkan aliran darah manusia pun tidak aman dari peretas komputer.

Seorang peneliti keamanan penderita diabetes telah mengidentifikasi kelemahan yang memungkinkan penyerang mengontrol pompa insulin dari jarak jauh dan mengubah pembacaan monitor gula darah. Akibatnya, penderita diabetes bisa mendapatkan terlalu banyak atau terlalu sedikit insulin, suatu hormon yang mereka butuhkan untuk metabolisme yang baik.

Jay Radcliffe, seorang penderita diabetes yang bereksperimen dengan peralatannya sendiri, berbagi temuannya dengan The Associated Press sebelum merilisnya pada hari Kamis di konferensi keamanan komputer Black Hat di Las Vegas.

“Reaksi awal saya adalah ini sangat keren dari sudut pandang teknis,” kata Radcliffe. “Reaksi kedua mungkin murni teror, mengetahui bahwa tidak ada keamanan di sekitar perangkat yang merupakan bagian aktif yang membuat saya tetap hidup.”

Peralatan medis seperti alat pacu jantung, monitor ruang operasi, dan instrumen bedah, termasuk stimulator otak dalam, semakin banyak dibuat dengan kemampuan untuk mengirimkan informasi kesehatan penting dari tubuh pasien ke dokter dan profesional lainnya. Beberapa perangkat dapat dikontrol dari jarak jauh oleh profesional medis.

Meskipun tidak ada bukti bahwa ada orang yang menggunakan teknik Radcliffe, temuannya menimbulkan kekhawatiran tentang keamanan perangkat medis saat peralatan tersebut memasuki era Internet. Serangan serius telah terjadi terhadap alat pacu jantung dan defibrilator.

Produsen perangkat medis meminimalkan ancaman serangan tersebut. Mereka berpendapat bahwa serangan yang ditunjukkan dilakukan oleh peneliti keamanan yang terampil dan kecil kemungkinannya terjadi di dunia nyata.

Tapi hacking itu seperti atletik. Menunjukkan bahwa serangan yang dibuat-buat itu mungkin terjadi adalah seperti menempuh jarak 4 menit. Begitu seseorang melakukannya, orang lain sering kali mengikuti. Program gratis atau murah akhirnya muncul secara online untuk membantu peretas jahat mengotomatiskan serangan yang tidak jelas.

Meskipun ada upaya untuk mengotomatisasi perangkat medis dan menggabungkan chip nirkabel, perangkat tersebut biasanya terlalu kecil untuk menampung prosesor yang cukup kuat untuk menjalankan enkripsi canggih guna mengacak komunikasi mereka. Akibatnya, sebagian besar perangkat rentan.

Radcliffe membawa pompa insulin yang dapat digunakan dengan remote control khusus untuk memberikan insulin. Dia menemukan bahwa pompa tersebut dapat diprogram ulang untuk merespons remote control alien. Yang dia butuhkan hanyalah perangkat USB yang bisa diperoleh dengan mudah dari eBay atau perusahaan pemasok medis. Radcliffe juga menggunakan keahliannya untuk menguping lalu lintas komputer. Dengan melihat data yang ditransfer dari komputer dengan perangkat USB ke pompa insulin, dia dapat menginstruksikan perangkat USB untuk memberi tahu pompa apa yang harus dilakukan.

Radcliffe, berusia 33 tahun dan tinggal di Meridian, Idaho, hanya menguji satu merek pompa insulin – miliknya sendiri – tetapi mengatakan merek lain juga mungkin rentan.

Meskipun penyerang harus berada dalam jarak beberapa ratus kaki dari pasien untuk dapat melakukan serangan, orang asing yang berkeliaran di sekitar rumah sakit atau duduk di belakang target di pesawat sudah cukup dekat.

Radcliffe juga menemukan kemungkinan untuk merusak perangkat kedua yang dibawanya. Dia menemukan bahwa dia dapat mencegat sinyal yang dikirim secara nirkabel dari sensor ke mesin yang menampilkan kadar gula darah. Dengan memancarkan sinyal yang lebih kuat dari pembacaan asli dan real-time, monitor akan tertipu untuk menampilkan informasi lama berulang kali. Akibatnya, pasien yang tidak menyadarinya akan menyesuaikan dosis insulinnya dengan baik.

Dengan antena yang cukup kuat, kata Radcliffe, seorang penyerang bisa berada hingga setengah mil jauhnya. Serangan ini berhasil pada dua monitor gula darah yang berbeda, kata Radcliffe.

“Semua orang mendorong teknologi untuk berbuat lebih banyak dan lebih banyak lagi, dan seperti teknologi apa pun yang didorong ke arah itu, keamanan adalah sebuah hal yang perlu diperhatikan,” kata Radcliffe.

Radcliffe menolak menyebutkan nama salah satu dari ketiga produsen perangkat tersebut, sebagian karena khawatir akan keselamatannya sendiri. Dia khawatir perangkat tersebut tampaknya tidak memiliki cara mudah untuk memperbarui perangkat lunak baru guna memperbaiki masalah. Dia mengatakan dia bermaksud untuk memberitahu produsen setelah presentasi hari Kamis yang menguraikan kelemahannya.

Ketakutan akan peretasan ini muncul selain kesalahan manusia dan kesalahan teknis yang terkait dengan perangkat medis. Badan Pengawas Obat dan Makanan AS (FDA) telah mengidentifikasi kelemahan perangkat lunak dan desain sebagai kekhawatiran penting dalam penyelidikan terhadap ratusan kematian yang mungkin terkait dengan pompa obat.

Pejabat FDA menolak berkomentar secara spesifik mengenai temuan Radcliffe, dengan mengatakan mereka belum melihat penelitian tersebut. Namun FDA mengatakan bahwa perangkat medis apa pun dengan komponen komunikasi nirkabel dapat menjadi korban penyadapan. Ini memperingatkan produsen perangkat bahwa mereka bertanggung jawab untuk memastikan mereka dapat memperbarui peralatan setelah dijual.

Pejabat industri meremehkan potensi ancaman tersebut.

“Risiko bagi pasien diabetes jika monitornya diretas sangatlah kecil, dan terdapat risiko kesehatan yang lebih besar jika tidak melakukan pemantauan dibandingkan risiko diretas,” kata Wanda Moebius, wakil presiden di Advanced Medical Technology Association, sebuah kelompok industri.

Hanya sedikit penelitian publik yang telah dilakukan mengenai kerentanan perangkat medis terhadap peretasan.

Salah satu studi tersebut, yang diterbitkan pada tahun 2008 oleh konsorsium akademisi, menemukan bahwa jenis perangkat populer yang berfungsi sebagai alat pacu jantung dan defibrilator dapat diprogram ulang dari jarak jauh untuk menghasilkan kejutan yang berpotensi fatal atau menguras baterainya.

Masalahnya adalah cara perangkat mengirimkan data tidak terenkripsi dan menerima perintah secara nirkabel dari perangkat yang tidak sah. Salah satu keterbatasan penelitian ini adalah peneliti hanya memeriksa serangan yang berjarak beberapa sentimeter dari perangkat yang ditargetkan.

Yoshi Kohno, seorang profesor ilmu komputer di Universitas Washington yang ikut menulis penelitian tersebut, mengatakan penelitian baru Radcliffe memperkuat urgensi untuk mengatasi masalah keamanan pada perangkat medis sebelum serangan keluar dari laboratorium penelitian.

“Ancaman tersebut belum terwujud, jadi apa yang mereka dan kami coba lakukan adalah melihat risiko apa yang mungkin terjadi di masa depan,” kata Kohno, yang tidak menjadi bagian dari penelitian Radcliffe.

Radcliffe mengatakan tujuan penelitiannya bukan untuk membuat masyarakat khawatir. Dia mengatakan permasalahan yang dia temukan penting untuk ditangani secara publik seiring dengan bergeraknya industri medis secara agresif menuju perangkat yang lebih berjaringan.

“Hanya perlu satu orang melakukan hal itu untuk membunuh seseorang dan kemudian Anda mengalami bencana,” katanya.