Hakowanie warunkiem przeżycia – o łamaniu zabezpieczeń, które ratuje pacjentów

dodał 26 stycznia 2019 o 18:55 w kategorii Prawo, Włamania  z tagami:
Hakowanie warunkiem przeżycia – o łamaniu zabezpieczeń, które ratuje pacjentów

Lekarze wiedzą lepiej, co poprawi zdrowie pacjenta. Problem pojawia się, gdy chorzy mają inne zdanie na ten temat a urządzenie, zapisujące dane o zdrowiu, pozwala na ich odczytanie tylko lekarzowi. Wtedy z pomocą przyjść może haker, który dane odczyta i przeanalizuje.

Australijski haker spędził tysiące godzin na łamaniu zabezpieczeń DRM maszyn wspomagających leczenie bezdechu sennego, by pacjenci mogli swobodnie dostosowywać działanie urządzeń do indywidualnych potrzeb. Jak mówi jedna z pacjentek – dzięki niemu żyje.

Bezdech senny

Statystyki mówią, że na bezdech senny cierpią przeważnie mężczyźni z nadwagą lub otyłością. To sprawia, że normalnej budowy kobieta, która skarży się na skrajne przemęczenie, długo tuła się po lekarzach, zanim któryś wpadnie na to, co może być przyczyną jej stanu. Tak było z Christy Lynn, mieszkanką Arizony, aż do momentu, gdy przeprowadziła test oksymetryczny. Wtedy okazało się, że w nocy momentami po prostu przestaje oddychać, a rano ledwo żyje.

Pacjent przygotowany do badania bezdechu sennego – Autor By Halicki – Praca własna, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=26427457

Bardzo zadowoleni z siebie diagności zalecili jej maszynę do pomiaru ciśnienia w drogach oddechowych, czyli CPAP – Continuous Positive Airway Pressure. Integralną częścią urządzenia jest specjalna maska, która przykrywa nos lub nos i usta. Maszyna działa w ten sposób, że utrzymuje odpowiednie ciśnienie, dzięki czemu drogi oddechowe pozostają otwarte. Od momentu otrzymania sprzętu Christy miała czuć się coraz lepiej.

Jednak po 18 miesiącach i kolejnych trzech specjalistach od zaburzeń snu stan Christy Lynn nie uległ poprawie. Wskaźnik bezdechów sennych był koszmarny – to, że w ogóle budziła się żywa, wydawało się cudem. Ku jej frustracji nikogo to nie martwiło, a już najmniej lekarzy, którzy mówili tylko „trudno” i sprawdzali, czy maska na pewno dobrze przylega do twarzy.

CPAPtalk.com

Christy doszła do wniosku, że skoro nie ona jedna na świecie cierpi na bezdech senny, to na pewno inni chorzy wymieniają się doświadczeniami z terapii w internecie. Forum dla użytkowników urządzeń CPAP okazało się kopalnią wiedzy. Jeden z tematów dotyczył oprogramowania CPAP o nazwie „SleepyHead”.

Oprogramowanie open source, dostępne całkiem za darmo i niezatwierdzone przez amerykańską Agencję Żywności i Leków (FDA) jest dziełem samotnego strzelca, Marka Watkinsa z Australii. Jak można przeczytać na forum, Mark działa sam i z punktu widzenia australijskiego prawa nie robi niczego złego. Inaczej niż – do niedawna! – w Stanach, gdzie prawo federalne restrykcyjnie (ogólnie) podchodzi do ingerencji w oryginalne oprogramowanie.

Praca Watkinsa pomogła tysiącom pacjentów przejąć kontrolę nad urządzeniem, które miało ich wspomagać, a dla wielu było tylko nieużytecznym złomem. Oprogramowanie zapewnia pacjentom dostęp do danych nt. ich cyklu spania. Te dane są – oczywiście – zawsze generowane przez maszyny CPAP, ale pozostają niedostępne dla użytkownika. Dane może odczytywać tylko lekarz, dysponując odpowiednim oprogramowaniem. Oryginalne oprogramowanie dla medyków jest niedostępne dla pacjentów, nie można go kupić ani w żaden sposób pobrać. Rozwiązanie opracowane przez Australijczyka pozwala pacjentowi zająć się swoim zdrowiem – pacjent może sam zweryfikować dane zebrane przez maszynę i wyciągnąć z nich swoje wnioski.

Lynn twierdzi, że od momentu, kiedy zaczęła korzystać z programu Watkinsa, czuje się jak nowa osoba – żywa.

Linia życia

Nowoczesne urządzenia CPAP zbierają wiele danych: średnie ciśnienie powietrza, wskaźnik AHI (czyli ilości epizodów bezdechu lub skrócenia oddechu), średnie zużycie na noc, częstość wycieków z maski i inne statystyki dotyczące działania maszyny i jakości snu pacjenta. Dane przechowywane są na karcie SD. Schemat terapii zakłada przekazywanie tych danych lekarzowi co pół roku (na karcie lub online). Dane te można wykorzystać do zmiany leczenia pacjenta, np. poprzez odpowiednie zwiększenie lub obniżenie progów ciśnienia.

Problem w gruncie rzeczy nie leży w urządzeniu, oprogramowaniu ani nawet samej chorobie, a w pewnych nawykach charakterystycznych dla środowiska lekarskiego na całym świecie. Chorzy z USA, obecni na forum, skarżą się, że zazwyczaj ich lekarze po prostu przyglądają się danym i bez dalszej ingerencji w program odsyłają pacjentów do domu. Nie chcą lub nie umieją zmieniać niczego w ustawieniach. Głośno mówi się o zbyt małej liczbie specjalistów od zaburzeń snu w USA*.

Portal Vice.com dotarł do dr Thomasa Penzela, fizjologa snu, szefa Europejskiego Towarzystwa Badawczego Snu, który powiedział, że wierzy, że każdy inteligentny pacjent może zrobić to, czego potrzebuje. Może zmodyfikować ciśnienie, jeśli wie, co robi. To nie zabawa, ale brak zmiany w ustawieniach maszyny może dla pacjenta oznaczać dokładnie to samo, co w przypadku braku zmian – pogarszanie się snu i śmierć.

Niektóre z urządzeń CPAP umożliwiają pacjentom wyświetlanie szczątkowych informacji na swoich ekranach, ale bardzo niewiele urządzeń faktycznie zapewnia pacjentom dostęp do wszystkich gromadzonych danych. Australijski soft dekoduje dane stworzone przez maszyny CPAP i umożliwia do nich dostęp zwykłym pacjentom. Watkins przeanalizował zastrzeżone formaty danych dla każdego urządzenia CPAP z osobna i umożliwił ich odczyt. Rozpoczął projekt SleepyHead siedem lat temu, ponieważ interesowały go „zakazane sekreciki” na karcie SD jego urządzenia CPAP. I tak SleepyHead stał się jak najdosłowniej linią życia społeczności bezdechów sennych.

Legalne hakowanie

Użytkownicy różnych urządzeń chcą przejmować pełną kontrolę nad własnymi danymi. Grupa majsterkowiczów „Nightscout” wprowadziła niesankcjonowaną aplikację, która łamie DRM, aby umożliwić rodzicom zdalne monitorowanie glukozy u swoich dzieci chorych na cukrzycę. W 2015 r. koalicja Campos’s Medical Device Researchers zwróciła się do Kongresu i amerykańskiego urzędu ds. praw autorskich o  stworzenie wyjątku w Digital Millennium Copyright Act – najważniejszej ustawie regulującej prawa autorskie do oprogramowania – który pozwoliłby pacjentom na legalne ingerowanie w programy urządzeń medycznych.

Przemysł medyczny sprzeciwiał się temu wnioskowi i argumentował, że „pacjenci bezpośrednio uzyskujący dostęp do danych na swoich urządzeniach mogą nie rozumieć formatu danych lub mogą niewłaściwie interpretować dane„. Podnoszono również argumenty, że legalizacja takiego nieautoryzowanego dostępu do danych naraziłaby zdrowie pacjentów i ich prywatność oraz mogłaby przyspieszyć rozładowanie baterii! Stowarzyszenie Medical Alley wyrażało troskę o relacje lekarza z pacjentem: „zezwalając na to, ustawodawca będzie bezpośrednio ingerować w związek lekarz-pacjent, co w efekcie będzie skłaniać pacjentów do podejmowania decyzji bez wsparcia lekarza”.

FDA poinformowała, że jakiekolwiek zmodyfikowane przez użytkownika urządzenie nie może być sprzedawane lub odsprzedawane bez zatwierdzenia przez FDA, a jeśliby jakakolwiek zmodyfikowana maszyna zraniła pacjenta, agencja mogłaby mieć problem z ustaleniem, czy to było błąd producenta urządzenia, czy błąd modyfikatora oprogramowania. Ostatecznie jednak FDA nie była przeciwna temu rozwiązaniu i… udało się. Do prawodawstwa dodano wyjątek legalizujący takie rozwiązania jak wspomniany wcześniej SleepyHead. Co oczywiście nie oznacza, że producenci będą ludziom takim jak Watkins ułatwiać życie. Watkins twierdzi, że bez ujawnionej dokumentacji złamanie nowego formatu danych (a większość producentów ma własne formaty) może potrwać setki godzin. „Większość [producentów] całkowicie zignorowało moje e-maile, niektórzy nawet wyrazili niezadowolenie z moich wysiłków” – mówi Watkins.

Pacjenci CPAP regularnie proszą Watkinsa o zhakowanie dla nich nowych urządzeń, a doszło do tego, że Australijczyk musiał rzucić pracę, aby poświęcać czas na obsługę coraz to nowych maszyn. Haker cierpi nawet – to nie żart – na syndrom wypalenia zawodowego.

Jakoś trzeba żyć

Cieszę się, że inni okazali się naprawdę pomocni, ich słowa zachęty, darowizny, próbki danych i cierpliwość pomogły mi się zmotywować – mówi Watkins. – Jestem dumny z dotychczasowych osiągnięć, mimo że trudno działać bez żadnego wsparcia komercyjnego.”

Każde nowe urządzenie zostaje dodane do listy obsługiwanych komputerów SleepyHead, a całość dokumentowana jest w grupach na FB oraz w CPAPtalk i Apnea Board. Doświadczenie użytkowników na tych forach pomaga nowym pacjentom zrozumieć dane ze SleepyHead i zdecydować, jakie zmiany należy wprowadzić w ich leczeniu. Chorzy przestają czuć się sami ze swoim problemem.

Fora te mogłyby uczyć też lekarzy, gdyby tylko ci zechcieli do nich sięgnąć.

https://www.facebook.com/groups/sleepyheadcpap/?hc_ref=ARQTVLwHb9sgr5BX2j8j09byC79ijECqOfqqFxtHt70R-J5ai0XYtVcZKdul7yy0bOw

Rolnik orze na traktorze

Problemy ludzi z bezdechem sennym to tylko margines zmagań użytkowników miliardów urządzeń różnego typu, używanych w różnych branżach. Producent urządzenia X dostarcza doń oprogramowanie, co w praktyce oznacza, że żaden użytkownik nie ma prawa zrobić ze swoim urządzeniem niczego, czego nie przewidział producent. Można powiedzieć, że to ze względów bezpieczeństwa, by np. właściciel ekspresu do kawy nie wpadł na to, by gotować w nim jajka i potem nie wystąpił z pozwem, że przy tej okazji się poparzył. Ale taka polityka sprawia, że nawet banalne kłopoty muszą rozwiązywać zastępy wyspecjalizowanych pracowników, co jest drogie i często nieskuteczne.

Czy wiecie, że amerykańscy farmerzy, którzy za naprawdę duże pieniądze zaopatrzyli się w ciągniki John Deere, hakują swoje traktory ukraińskim oraz polskim softem? W branży chodzą już (miejskie? wiejskie?) legendy o tym, że producent może nawet zdalnie wyłączyć znajdującą się w posiadaniu rolnika maszynę. Umowa licencyjna od października 2016 nakładała na rolników zakaz wykonywania prawie wszystkich napraw lub modyfikacji sprzętu rolniczego we własnym zakresie. Ponadto uniemożliwiła rolnikom pozwanie Deere’a o „utratę plonów, utracone zyski, utratę wartości firmy” etc. z powodu jakiegokolwiek aspektu działania oryginalnego oprogramowania. Oznacza to, że tylko firmy dealerskie John Deere i autoryzowane warsztaty mogą dokonywać napraw w nowszych ciągnikach. Nawet proste naprawy, nawet takie, które mógłby wykonać sam rolnik, nie są w tej sytuacji możliwe.

Oczywiście istnieją fora, na których rolnicy wymieniają swoje doświadczenia. Gdy przychodzi sezon prac, potrzebują działać szybko, sprawnie i nie mają czasu czekać na coraz droższe i coraz bardziej odległe usługi „oryginalne”. Pirackie oprogramowanie, pozwalające obchodzić zabezpieczenia Deere’a, kosztuje grosze.

A oto polski akcent w hakingu – demo service advisor diagnostic kit firmy Moto Diagnostyka.

__

* Autorka przez dwa lata poszukiwała specjalisty od zaburzeń snu w Polsce, w dodatku pediatry. Autorka w tym miejscu pozwoli sobie prywatnie powiedzieć, że w Stanach mają szczęście, że w ogóle ktokolwiek zajmuje się tym tematem.