A maioria dos aparelhos com fins medicinais são submetidos a um período de desenvolvimento, teste e certificação que duram entre cinco e dez anos antes de serem entregues a pacientes humanos. Infelizmente, isso significa que o software usado nos dispositivos não é atualizado durante todo esse tempo, colecionando uma sucessão de vulnerabilidades negligenciadas até ser introduzido ao mercado. Os fornecedores desses mecanismos costumam contar com a obscuridade de seus produtos como uma proteção artificial, a chamada “segurança por obscuridade”, visivelmente precária.
O quadro não aparenta estar melhorando. Em abril de 2014, o Wired publicou um artigo a respeito da facilidade de se hackear equipamentos hospitalares, em boa parte graças às senhas codificadas de forma padrão, que não podem ser alteradas.
É claro que os dispositivos médicos devem ser de fácil uso, continuando a operar mesmo caso sua segurança seja violada, mas isso dificulta sua proteção. Senhas customizadas mais longas, complexas e de mudança constante dificultam o uso dos aparelhos e, por isso, não são empregadas. Para agravar o quadro, quase toda a comunicação entre diferentes ferramentas não é autenticada ou criptografada.
Isso permite que qualquer hacker que tenha encontrado as portas certas leia e mude os dados dos aparelhos sem causar qualquer interrupção nas operações do dispositivo, de seu software de gerenciamento ou outros sistemas de interface (como registros médicos eletrônicos). Na verdade, a maioria das comunicações entre aparelhos médicos carece de soma de verificação da integridade básica de dados, o que facilmente identificaria a maioria das mudanças maliciosas.
O hacking de aparelhos médicos existe há, no mínimo, uma década e é comum que demonstrações a respeito sejam feitas em conferências, motivando a FDA (agência de saúde dos Estados Unidos) a emitir um aviso a respeito das vulnerabilidades. Os desenvolvedores de dispositivos médicos atualmente trabalham para preencher os buracos de fácil exploração, mas seu ciclo obrigatório de testes de longa duração ainda dificulta o devido combate aos problemas.
Fraude de cartões
A fraude de cartões de crédito é menos mórbida, mas ainda pode causar problemas substanciais em sua vida financeira. O hacking é simples: o agressor coloca um dispositivo chamado skimmer (popularmente chamado de “chupa cabra” no Brasil), no em outro aparelho – como um caixa eletrônico ou terminal de pagamento – para obter as informações de um cartão (tanto de crédito quanto de débito) e o PIN correspondente quando ambos forem digitados.
Os skimmers foram aprimorados ao longo dos anos, de aparelhos óbvios (que poderiam ser reconhecidos por qualquer um à procura de algo estranho) para dispositivos que dificultam o reconhecimento até mesmo por especialistas. Alguns deles incluem conexões por Bluetooth, permitindo que os hackers obtenham as informações roubadas a uma curta distância ao invés do próprio dispositivo.
Os atacantes frequentemente inserem dezenas de aparelhos em uma área geográfica comum – de preferência próximas a estradas, permitindo fugas rápidas – e usam a informação roubada para gerar cartões novos e fraudulentos, que são usados em lojas caras (para comprar produtos que possam ser revendidos) e varejistas online. Isso é feito com rapidez, geralmente ainda nas primeiras horas. Até os fornecedores detectarem ou serem comunicados da fraude, os agressores já lucraram e escaparam sem ser apanhados.