القرصنة على البشر

امض قدمًا وقم بإضافة مضخات الأنسولين وأجهزة تنظيم ضربات القلب إلى القائمة الآخذة في الاتساع والخاصة بالأجهزة الشبيهة بالكمبيوتر التي تحتوي على أخطاء برمجية وبالتالي تكون عرضةً للاستغلال. هذا صحيح، يتعرض هذا الجهاز المعدني الصغير الحجم الذي يوجد داخل صدر جدك ويصدر النبضات الكهربية لجعل قلب الرجل العجوز ينبض بشكل صحيح لعمليات القرصنة عن بعد دون أن تتطلب شيء أكثر من جهاز كمبيوتر محمول. وبالمثل ينطبق ذلك على مضخات الأنسولين التي حلت محل الحقن وعمليات الحقن اليومية التي تهدف إلى تنظيم ارتفاع مستويات السكر في الدم التي تُعد السبب الرئيسي في هذا المرض.

الخبر السيئ هو أن العديد من الملايين من الأجهزة الطبية المزروعة داخل أجساد المرضى ويعتمدون عليها تكون عرضة للهجوم. أما الخبر السار هو أنني لم أسمع في الواقع عن أية ظروف حدث فيها ان قام أحدهم بشن هجوم على تلك الأجهزة في واقع الحياة. الحقيقة الثابتة عن مجرمي الانترنت هي أنهم، على عكس الباحثين النبلاء، لا يشنون هجمات القرصنة من أجل المتعة ولكن بهدف الربح. لذا، وحتى نجد طريقة لكسب الأموال من تسميم أحد الأشخاص بالأنسولين أو عمل وتوجيه صدمة قوية لجهاز تنظيم ضربات القلب الخاص بهم، فإنني لا أجد أية دافع للقيام بشن هذا النوع من الهجمات.

أعترف  أنه لأمرٌ شديد الروعة أن أتخيل أحد المجرمين القراصنة يوقع بهؤلاء الأشخاص ذوي الأجهزة الطبية، لكنه أيضًا أمرٌ سخيفٌ بشكل لا يصدق. تتسم حواجز الدخول لتنفيذ أحد هذه الهجمات، والقدرات الفنية، وبيئات الاختبار، والمعرفة الضرورية بالأنظمة الغير محصنة والضعيفة بأنها قوية جدًا، بحيث لا يستطيع أي أحد من استغلال جهاز تنظيم ضربات القلب أو مضخة الأنسولين. وحتى ان استطاعوا، فلماذا يفعلون ذلك؟ هل بهدف القتل؟ إذا كنت تعتقد أن أحد الأشخاص يحاول قتلك، فأنا أؤكد لك أن الهجمات على الأجهزة الطبية المزروعة داخل الجسد ينبغي أن تكون أخر الأشياء التي تثير قلقك

مع ذلك، توجد مشكلة أمنية محتملة، ينبغي معالجتها. للأسف، توفي الشهر الماضي بارنابي جاك، أحد الرواد في مجال زرع الأجهزة الطبية، وقبل أسبوع من إحالة إعلامية كان من المقرر أن يلقيها حول الموضوع ضمن فعاليات مؤتمر خاص بقراصنة القبعات السوداء في لاس فيجاس.   ومع ذلك، نشر جاك الذي عمل كباحث أمني في شركة حماية التطبيقات أيو أكتيف (IOActive)، مجموعة من الأبحاث حول هذا الموضوع في نهاية عام 2012. وجاءت النتائج مروعة على أقل تقدير

خلال أحد وقفات المؤتمر الذي نُظم في أستراليا العام الماضي، أوضح جاك أنه يستطيع أن يرسل إشارة بطريقة لاسلكية من جهاز الكمبيوتر المحمول الخاص به لجهاز تنظيم ضربات القلب يحث فيها الجهاز على تلقي صدمة  من المحتمل أن تكون قاتلة من داخل جسد المريض. يتم الهجوم عن طريق استغلال خطأ برمجي يتيح للباحث القدرة على إرسال أمر خاص لجهاز تنظيم ضربات القلب ليقوم الجهاز بالكشف عن الموديل الخاص به ورقمه السري. بمجرد تحديده لنوع الجهاز الذي كان يتعامل معه، يصبح قادرًا على إصدار وتوجيه صدمة من المحتمل أن تكون قاتلة بقوة 830 فولت للجسد المزروع بداخله جهاز تنظيم ضربات القلب. علاوةً على ذلك، أوضح جاك أنه من الممكن برمجة الجهاز بطريقة تجعله ينشر رمزًا خبيثًا للأجهزة الأخرى الشبيهة ومن نفس الُموَرٍد. لحسن الحظ، قد يكون هذا السيناريو مقبولاً في أفلام هوليود، لكن قد يكون أمرًا أكثر فعالية للمجرمين والإرهابيين الحقيقيين أن يستخدموا القنابل والمدافع القديمة القوية.

لم تكن هذه المناظرة الأولى لجاك أيضًا. جذب جاك الأنظار داخل وخارج صناعة الأمن قبل عام أثناء تنظيم مؤتمر وقف القراصنة في ميامي، فلوريدا، عندما أوضح أن الهجمات تستطيع أن تخترق مضخة الأنسولين بنجاح وتجبرها على إفراز جرعة قاتلة من الأنسولين ومن مسافة تبعد 300 قدم.

قام جاك بتعديل الهوائيات لأحد المضخات اللاسلكية وقام بالعبث بالبرنامج المتحكم فيها. وخلال أحد العروض التي قدمها جيروم رادكليف في وقت سابق خلال مؤتمر قراصنة القبعات السوداء عام 2011، أوضح أنه من الممكن التلاعب بمضخة الأنسولين إذا تمكن المهاجم من تعقب رقم الجهاز الرقمي الفريد من نوعه والخاص بالمضخة المزروعة والتي يدور حولها النقاش. ارتقى البحث الذي قدمه جاك إلى المستوى التالي. يستطيع أن يخترق جميع الأجهزة الضعيفة والمعرضة للهجوم دون أن يكون على علم بالرقم التعريفي لهذا الجهاز الفريد من نوعه .

إن جاك ليس سوى واحد من ضمن العديد من الباحثين، كما أن أجهزة تنظيم ضربات القلب ومضخات الأنسولين ليست سوى غيض من فيض. يوجد غير تلك الأجهزة عدد هائل من الأجهزة الطبية الممكن ان تكون معرضة للهجوم، ويشمل ذلك الأجهزة المزروعة داخل الجسد والأجهزة الخارجية. إذا لم يتم فحص هذه الأجهزة بالقدر الكافي فيما مضى، فإن الموضوع الفرعي الخاص بأمن الأجهزة الطبية سوف يحصل على الكثير من الانتباه خلال الشهور والسنوات القادمة، وسوف نقوم بالكتابة هنا عن هذا الموضوع إذا ظهرت أبحاثٌ مثيرة للاهتمام يمكن عرضها.

أحد المشاكل الخاصة بأمن الأجهزة الطبية أنها تختلف بشكل جذري عن أجهزة الكمبيوتر القياسية. تفرز المضخة الأنسولين ويتم التواصل مع الأطباء لتحديد مستويات الأنسولين التي ينبغي أن تفرزها. بالمثل مع أجهزة تنظيم ضربات القلب: تقوم هذه الأجهزة بإصدار نبضات كهربائية للقلب لجعله يستمر في النبض بشكل طبيعي، يتم الاتصال بشيء ما خارج الجسد لتحديد بين الحين والأخر إلى أي مدى يجب أن تكون قوة هذه النبضات .

إذا كانت هذه الأجهزة تستطيع الاتصال بمصادر خارج الجسد، فهذا يعني أنها تقوم بذلك بطريقة لاسلكية، الأمر الذي يؤدي إلى حدوث بعض المشاكل الأمنية الواضحة كما أوضح جاك وغيره من الباحثين. يبدو أن الخطوة التالية ستكون للتأكد من أن هذه الأشياء التي تتصل عبر قنوات مشفرة والتي قد تقوم بإعداد أحد أشكال التوثيق، مما يحد من القدرة على الدخول إلى الأجهزة. قد يمثل هذا الأمر تحديًا كبيرًا بسبب القيود العديدة التي تفرضها طبيعة هذه الأجهزة. فالقيام بعمل كلمات مرور قد يمنع الأطباء في بلدٍ آخر من إنقاذ حياتك أثناء قضائك للأجازة. قد يستنزف التشفير سريعًا بطارية الجهاز المزروع صغير الحجم. تعتبر هذه التحديات جديدة من نوعها ومازال البحث جاريًا للإجابة عليها.

لو أن هناك شيء وحيد أنا متأكد منه، فهو أن الأطباء والباحثين الآمنين هم أذكى الأشخاص في هذا العالم. لا يقتصر الأمر على ذلك فحسب، لكن الأطباء يشعرون بالفخر الكبير لإنقاذهم أرواح الناس. كما يشعر الباحثين الآمنين أنفسهم بحماسة مفرطة في وقتٍ ما عندما يتعلق الأمر بحماية البيانات والنظم.

لا يوجد الكثير لتفعله بصفة شخصية لتحمي نفسك هنا. فما من أحدٍ يقوم بتطوير برامج الحماية لتأمين تلك الأشياء كما أنني أشك في وجود أي خاصية ضمن إعدادات الأمن الذي يتحكم فيها المستخدم. أفترض إن كنت تعاني من مرض السكر، يمكنك ان تعود لتستخدم الطريقة التقليدية لمراقبة وقياس نسبة السكر في الدم ولحقن الأنسولين يدويًا. قد تكون شخصًا محظوظًا ولا تحتاج لزرع جهاز لتنظيم ضربات القلب، أو مضخة لإفراز الأنسولين، أو أية أجهزة طبية يتم زرعها داخل الجسد، ولكن من الممكن أن تكون مرتديًا لواحدٍ بالفعل: أفضل ما يمكنك فعله هو النظر إلى الشركات المُصنعة والأطباء وان تأمل في أن يولون الانتباه لأبحاث من تلك النوعية، والتي بالتأكيد يقومون بذلك حيالها.

قد يبدو نوعًا من التهور أن أقوم بنشر معلومات بهذا القدر من الحساسية بهذه الطريقة، لكن في الحقيقة أن الأبحاث التي قام جاك وغيره بنشرها، قد تكون فقط هذا النوع الذي يدفع الشركات المُصنعة للأجهزة الطبية في البدء في صناعة وصيانة معدات أكثر آمنًا. فهذا الأمر يختص في النهاية بالأطباء والمهندسين. إنهم يتعلمون من أخطائهم. فعندما يكشف أحد الباحثين عن أحد الأخطاء البرمجية الموجودة في منتجاتهم، فمن المحتمل أن هذا الخطأ البرمجي  لا يظهر مرةً أخرى.

خلاصة القول: تنقذ الأجهزة الطبية المزروعة داخل الجسد ملايين الأرواح في كل عام وعدد الأشخاص الذين ماتوا نتيجة القرصنة على الأجهزة الطبية يقترب من الصفر.