Hacker van ingebedde systemen overleden

Jack Barnaby, een hacker van ingebedde systemen, werd dood aangetroffen in San Francisco, een week voor zijn presentatie op BlackHat over het hacken van pacemakers.

Barnaby Jack, 35, had grote faam als ‘white hat’ (bona fide) hacker van ingebedde systemen. Zo slaagde hij in 2010 erin een geldautomaat ongeremd bankbiljetten te laten spuien. Veel aandacht besteedde hij ook aan de security zwakheden in medische apparatuur, zoals zijn onderzoek naar het hacking problemen met insulinepompen in 2011 (in een team bij McAfee).

Op de BlackHat 2013 hackersconferentie in Las Vegas zou hij een presentatie geven over ‘Implantable medical devices: hacking humans’. In zijn aankondiging wijst Jack er op dat de Food & Drugs Administration (FDA),de Amerikaanse medische waakhond, sinds 2006 toelaat medische toestellen met draadloze connectiemogelijkheden in te planten.

In de presentatie ging Jack de resultaten van zijn onderzoek bij IOActive toelichten, hoe hij met een breed beschikbare medische zender informatie kon inwinnen. Bij IOActive was Barnaby Jack de ‘director of embedded device security’.

De hacker werd dood aangetroffen in een appartement in de Nob Hill wijk van San Francisco, en volgens de politie zou er geen kwaad opzet in het spel zijn. Er wordt wel een autopsie uitgevoerd om de juiste doodsoorzaak vast te stellen.

Medisch hacken niet nieuw

Het werk van Jack richt opnieuw de schijnwerpers op de mogelijke gevaren van hacking van medische toestellen, inclusief van implanteerbare toestellen. Deze bezorgdheid in niet nieuw, en werd al aangekaart vanaf de informatisering van dergelijke toestellen. Zo bevatte meer dan de helft van medische toestellen tegen 2006 al ingebedde software, berichtte het tijdschrift Forbes in 2012, en had dat tussen 2002 en 2010 al in meer dan 537 ‘recalls’ (terugroepen van systemen) geleid. In 2003 verplichtte de FDA onder meer de producent van insulinepompen Medtronic om een specifieke kaart terug te roepen wegens mogelijke verkeerde data-input door eindgebruikers (met mogelijke overdosissen tot gevolg, wat resulteerde in twee doden).

In 2011 toonde Jack aan hoe hij met een toestel ter waarde van 20 dollar, op basis van de populaire Arduino kit, een insulinepomp vanop 10 meter afstand kon de opdracht geven alle insuline in één keer te injecteren.

Met zijn recent werk keerde hij terug naar de wereld van pacemakers en implanteerbare defibrillators, waarover al in 2008 werd gepubliceerd inzake mogelijke draadloze aanvallen (op de Medtronic Maximo DR VVE-DDDR model 7278 ICD). Alleen, toen was hiervoor behoorlijk wat apparatuur nodig, en de inzet van teams in twee universiteiten.

Sindsdien had Jack al een methode gevonden om een pacemaker vanop een afstand van een kleine 20 meter te verstoren. Algemeen wordt er aangedrongen dat toezichthoudende organisaties, zoals de FDA, doorgaan met hun inspanningen om medische toestellen te beveiligen en die inspanningen nog op te voeren.

Dat is des te meer nodig omdat het aantal draadloze sensoren voor medische toepassingen bijzonder snel gaat stijgen, terwijl ook steeds vaker van connecties over het publieke internet gebruik zal worden gemaakt.

BlackHat heeft besloten de presentatie van Jack niet te laten over nemen door iemand anders en zal het betreffende uur vrij houden om deze hacker te herdenken.