MIT Kurs "Computer Systems Security". Vorlesung 15: Medizinische Software, Teil 1

Ursprünglicher Autor: Kevin Fu
  • Übersetzung
  • Tutorial

Massachusetts Institute of Technology. Vorlesung # 6.858. "Sicherheit von Computersystemen." Nikolai Zeldovich, James Mickens. 2014 Jahr


Computersystemsicherheit ist ein Kurs zur Entwicklung und Implementierung sicherer Computersysteme. Die Vorträge behandeln Bedrohungsmodelle, Angriffe, die die Sicherheit gefährden, und Sicherheitstechniken, die auf neuesten wissenschaftlichen Erkenntnissen basieren. Zu den Themen gehören Betriebssystemsicherheit, Funktionen, Informationsflussmanagement, Sprachsicherheit, Netzwerkprotokolle, Hardwaresicherheit und Sicherheit von Webanwendungen.

Vorlesung 1: „Einführung: Bedrohungsmodelle“ Teil 1 / Teil 2 / Teil 3
Vorlesung 2: „Kontrolle von Hackerangriffen“ Teil 1 / Teil 2 / Teil 3
Vorlesung 3: „Pufferüberlauf: Exploits und Schutz“ Teil 1 /Teil 2 / Teil 3
Vorlesung 4: „Teilen von Berechtigungen“ Teil 1 / Teil 2 / Teil 3
Vorlesung 5: „Woher kommen Sicherheitssysteme?“ Teil 1 / Teil 2
Vorlesung 6: „Funktionen“ Teil 1 / Teil 2 / Teil 3
Vorlesung 7: Die Sandbox des nativen Clients Teil 1 / Teil 2 / Teil 3
Vorlesung 8: Das Netzwerksicherheitsmodell Teil 1 / Teil 2 / Teil 3
Vorlesung 9: Sicherheit von Webanwendungen Teil 1 / Teil 2/ Teil 3
Vorlesung 10: „Symbolische Ausführung“ Teil 1 / Teil 2 / Teil 3
Vorlesung 11: „Ur / Web-Programmiersprache“ Teil 1 / Teil 2 / Teil 3
Vorlesung 12: „Netzwerksicherheit“ Teil 1 / Teil 2 / Teil 3
Vorlesung 13: „Netzwerkprotokolle“ Teil 1 / Teil 2 / Teil 3
Vorlesung 14: „SSL und HTTPS“ Teil 1 / Teil 2 / Teil 3
Vorlesung 15: „Medizinische Software“ Teil 1 / Teil 2/ Teil 3 Ich

begrüße alle, ich habe auch in den 90ern am MIT studiert und bin froh, wieder hier zu sein. Heute sprechen wir über eine etwas andere Art von Sicherheit, lassen den technischen Teil beiseite und diskutieren die weitreichenden Folgen dieser Sicherheit. Um Ihnen mitzuteilen, dass ich selbst aus dem Midnight Coffee House Club-Bereich stamme, und unsere University of Massachusetts Amherst, die Sie auf dem Bildschirm sehen, befindet sich in Michigan, aber wir sind nicht so groß wie Ihr Campus.



Heute werden wir über einige unserer Forschungen sprechen und alles diskutieren, von der Explosion von Defibrillatoren bis hin zu Datenschutzproblemen bei Medizinprodukten. Dies wird sich hauptsächlich auf einen Forschungsbereich meines ehemaligen Doktoranden beziehen, der auf dem hier gezeigten Foto implantierbare Defibrillatoren desinfiziert. Heute werden wir hauptsächlich über die Sicherheit von Medizinprodukten sprechen.

Die folgende Folie zeigt eine Liste der vielen Personen, die an diesen Studien teilgenommen haben, und ich werde versuchen, einige aktuelle Bestimmungen zur Sicherheit eines Medizinprodukts aus verschiedenen Blickwinkeln zusammenzufassen. Ich bin auch verpflichtet, in diese Vorlesung diese Folienvorlage über einen möglichen Interessenkonflikt aufzunehmen, damit Sie jetzt etwas über mögliche Vorurteile in meinem Denken lernen können. Aber ich würde gerne denken, dass ich weniger voreingenommen bin als ein gewöhnlicher Mensch.

Vor etwa einem Jahr fand eine interessante Veranstaltung statt. Die FDA, die Food and Drug Administration, hat einen Dokumententwurf herausgegeben, der besagt, dass die Hersteller nun die Einhaltung der Cybersicherheit oder, wie wir es nennen, der Sicherheit und Vertraulichkeit nicht nur in Bezug auf die Implementierung von Software überprüfen werden Bereitstellung eines medizinischen Geräts, aber auch im Hinblick auf die Entwicklung dieser Software, noch bevor die erste Zeile des Programms geschrieben wird.



Daher werden wir darüber sprechen, wie dies das Denken der Gemeinschaft der Hersteller von Medizinprodukten beeinflusst hat. Der letzte Leitfaden zum Design von medizinischer Software ist erst vor ein paar Wochen herausgekommen, und wir haben kürzlich an einer von der FDA organisierten Videokonferenz teilgenommen. Insgesamt nahmen mehr als 650 Personen an diesem Treffen teil. Es gab eine Menge interessanter Dinge für Hersteller von medizinischen Geräten, wie Sie einige der Konzepte, die Sie hier in Ihrer Klasse studieren, anwenden können.

Es ist jedoch wirklich schwierig. Ich bemerkte, dass eine der Fragen auf der Website lautete, wie die Kultur der Mediziner dahingehend verändert werden kann, dass sie versteht, wie wichtig Sicherheit ist. Diese Folie veranschaulicht dies.



Die Folie zeigt einen der Begründer der Asepsis, Dr. Ignaz Semmelweis, der sagt, der Arzt müsse sich die Hände waschen. Gegen ihn spricht der amerikanische Geburtshelfer Charles Meigs: "Da Ärzte Herren sind, haben sie immer saubere Hände!"

Wer hat sich heute morgen die Hände gewaschen? Nun, ich kenne das Massachusetts Institute nicht! Vor 165 Jahren gab es einen berühmten Geburtshelfer, Ignaz Semmelweis, der eine Krankheit namens "postpartale Sepsis" untersuchte. Und er fand heraus, dass, wenn seine Medizinstudenten, die morgens im Leichenschauhaus arbeiteten, dann zu den Patienten gingen, diese Patienten in der Regel häufiger starben. Er kam zu dem Schluss, dass, wenn Ärzte sich nach der Arbeit mit Leichen die Hände waschen, die Sterblichkeitsrate nach der Geburt, während derer sie assistierten, viel geringer sein wird. Deshalb empfahl er den Ärzten, sich die Hände zu waschen. Die Reaktion der Ärztegemeinschaft auf diesen Vorschlag wurde jedoch hauptsächlich durch die Meinung des Geburtshelfers Charles Meigs zum Ausdruck gebracht, der behauptete, dass alle Ärzte Herren seien und daher immer saubere Hände hätten.

Bis zu einem gewissen Grad sehen wir heute eine ähnliche Einstellung zur Sicherheit, was nicht allzu überraschend ist. Während unseres Gesprächs werde ich versuchen, einige Parallelen zu ziehen.
Ich habe zu viel Material zu diesem Thema, daher werde ich einige Dinge überspringen. Aber zunächst möchte ich fragen, ob einer von Ihnen Arzt wird. Nein? Gut, gut, in diesem Fall haben Sie bei einem Cocktail etwas mit den Ärzten Ihrer Freunde zu besprechen.

Wir werden ein wenig über implantierbare medizinische Geräte sprechen. Ich lasse dich dieses Ding in deinen Händen halten, es ist sicher, du musst es nur nicht lecken. Dies ist ein implantierbarer Defibrillator eines ehemaligen Patienten. Tatsächlich sind diese Geräte bereits etwa 50 Jahre alt. Zu diesem Zeitpunkt begann der erste Cardio-Defibrillator zu erscheinen. Zu dieser Zeit waren sie extern, und die Patienten mussten einen Wagen mit diesem Gerät vor sich her schieben und hatten eine starke Krankenschwester neben sich.



Jahrzehnte vergingen und Defibrillatoren wurden klein genug, um vollständig in den Körper implantiert zu werden. Auf der Folie sehen Sie ein Bild eines sogenannten „Zauberstabs“, der eine induktive Kopplung verwendet. Technisch ist es drahtlos, es gibt keine Drähte. Das Gerät ist auf eine Herzfrequenz von 60 Schlägen pro Minute programmiert.

Als Sicherheitsforscher interessierte ich mich für das Erscheinen von Defibrillatoren um das Jahr 2003, wie ich sie Ihnen mit drahtloser Technologie und in Netzwerken vorgestellt habe. Wir sind daran gewöhnt, dass Netzwerke mehr für globales Computing genutzt werden. Ich habe mich also gefragt, was hier schief gehen könnte.

Glücklicherweise gibt es viele Ingenieure, die sich auch in medizinischen Unternehmen mit diesem Thema befassen, aber hier erfordert Sicherheit eine völlig andere Denkweise. Und ich werde Ihnen erzählen, wie sich dieses Denken verändert hat.

Wenn Sie eines dieser Geräte zerlegen, werden Sie eine Vielzahl von Dingen darin finden, die den Betrieb einschränken. Wenn Sie also ein komplexes technisches Problem benötigen, zerlegen Sie einfach eines dieser Geräte. Mehr als die Hälfte des Volumens des Defibrillators wird von einer sehr großen Batterie belegt, die 40.000 US-Dollar kostet. Es wird auch Silbermetall - Vanadiumoxid verwendet.

Mikrocontroller befinden sich im oberen Teil des Stimulators und verfügen normalerweise über Antennen für die Kommunikation mit dem Defibrillatorsteuergerät. All dies ist hermetisch versiegelt und in Ihren Körper implantiert.



Wir sprechen von einem der rauesten Betriebszustände eines elektronischen Geräts. Wenn Sie die Batterie in Ihrem Körper aufladen möchten, können Sie nur viel Glück wünschen. Wissen Sie, dass Batterien beim Laden Wärme und Gas aufladen? Daher gibt es beim Entwerfen solcher Geräte schwerwiegende Einschränkungen, und das Hinzufügen von Sicherheit ist dort ziemlich schwierig.

Es gibt jedoch einen sehr guten Grund, ein medizinisches Gerät drahtlos zu verwalten. Es gibt gute Gründe, aber es gibt ernsthafte Risiken. Um dies zu veranschaulichen, möchten wir Ihnen zeigen, wie die ersten implantierbaren Defibrillatoren ausgesehen haben.



Dies ist ein Defibrillator aus dem Medtronic Museum in Minneapolis. Kann jemand erraten, welche Art von kleinen Metallzylinder auf der rechten Seite ist? Was ist ihre Funktion? Antenne? Kontrolle? Management ist eine sehr enge Vermutung! Irgendwelche anderen Vorschläge?

Dieser "Vorsprung" wurde vor dem Aufkommen der drahtlosen Kommunikation zur Steuerung des Defibrillators verwendet. Zuvor sagte der Arzt, um die Einstellungen des Geräts zu ändern: „Patient, bitte heben Sie die Hand. Ich werde eine Nadel durch Ihre Achselhöhle stechen und den Herzfrequenz-Wahlschalter drehen. "

Einer der Hauptvorteile der drahtlosen Kommunikation besteht darin, dass die Anzahl der Fremdkörper, die in den Körper eindringen, tatsächlich verringert wird, da die Wahrscheinlichkeit einer Infektion umso größer ist, je mehr Fremdkörper in den Körper eindringen. Dies ist ein ernstes Risiko. Tatsächlich führt 1% der Implantate zu schwerwiegenden Komplikationen, und etwa 1% von ihnen sind tödlich. Daher ist die Infektionskontrolle eines der wichtigsten Dinge, die Sie beim Implantieren und Ersetzen eines Geräts sicherstellen müssen.

Wenn Sie zum anderen Extrem gehen und einfach sagen, dass Sie überall eine drahtlose Kommunikation herstellen möchten, werden Sie natürlich andere Arten von Risiken erhalten. Ich nannte es die Theorie des drahtlosen Specks. Meine Mutter aus dem Mittleren Westen sagte, dass Speck alles besser macht.
Mir ist aufgefallen, dass es einige Gerätehersteller gibt, die anscheinend überall drahtlos arbeiten, ohne die Gefahren einer solchen Lösung zu berücksichtigen. Es hat seine Vorteile, aber Sie müssen strategisch überlegen, bevor Sie diese Funktion einem eher unsicheren Gerät hinzufügen. Denken Sie beispielsweise darüber nach, welche Risiken im Laufe der Zeit auftreten können.

Ich werde nicht viel über Internet-Netzwerke sagen, aber ich denke, dieses Zitat verdient Erwähnung. Erinnert sich jemand an das Schiff der Costa Concordia vor der italienischen Küste? Sein Kapitän sagte: "Heutzutage ist dank moderner Tools und des Internets alles viel sicherer." Dies ist ein Rahmen aus dem All, der sein umgestürztes Schiff zeigt.



Wenn Sie also Ihr medizinisches Gerät mit dem Internet und drahtlos verbinden, sind Sie einem neuen Risiko ausgesetzt. Aber Sie sollten sich nicht davor fürchten, Sie müssen nur für die Kontrolle möglicher negativer Konsequenzen sorgen.

Ich möchte Ihnen in Bildern zeigen, wie die typische Funktionsweise eines Medizinprodukts abläuft, wie es in der klinischen Versorgung eingesetzt wird, wie es Ihr Denken verändern kann, ob Sie sicherheitshalber vorgehen und was Sie über Risiken denken sollten. Lassen Sie uns zunächst über eine Welt sprechen, in der es keine wirklichen Bedrohungen gibt und in der es nur unsichere Methoden, gefährliche Unfälle und Nachlässigkeiten ohne bewusste Sabotage gibt.



Die FDA unterhält eine Datenbank mit Informationen zu Fehlern, Schäden und Todesfällen. Dies sind offene Informationen, die Sie selbst sehen können. Dieses Beispiel heißt MAUDE - "Die Erfahrung mit der Verwendung von Geräten durch Hersteller und Verbraucher".

Diese Folie beschreibt den Fall der Verwendung eines Geräts, das als „volumetrische Infusionspumpe“ bezeichnet wird. Hierbei handelt es sich um ein Gerät, das Medikamente mechanisch über eine Vene in Ihren Körper injiziert. In diesem Fall ist der Patient gestorben, und wenn Sie sich diesen Text genau ansehen, werden Sie feststellen, dass einer der Gründe für die Tragödie ein Pufferüberlauf war. Ich denke, Sie wissen alles über Pufferüberläufe aus Ihrer ersten Vorlesung. Das passiert also in der Praxis in jedem Bereich, in dem Computertechnologie zum Einsatz kommt.



In diesem speziellen Fall wurde beim Überprüfen auf Softwarefehler ein Pufferüberlauf festgestellt. Die Reaktion auf einen solchen Fehler bestand jedoch darin, die Pumpe auszuschalten, dh in den abgesicherten Modus zu versetzen. Die Entwickler der Software haben jedoch nicht berücksichtigt, dass das Ausschalten der Pumpe für einige Patienten ein Todesurteil ist. Dieser Patient starb also nach einem Anstieg des Hirndrucks, gefolgt vom Hirntod, und all dies geschah aufgrund eines Pufferüberlaufs.

Hier ist also nichts kompliziertes, oder? Sie alle wissen, dass Sie keinen Pufferüberlauf in der Software erhalten möchten, und in diesem Fall gibt es keine externen Auswirkungen. Dies zeigt einfach den Status der Software, zumindest für dieses bestimmte Gerät. Dies ist eine sehr schwierige Aufgabe.

Eine weitere Sicherheitsherausforderung ist die Notwendigkeit, den menschlichen Faktor zu berücksichtigen. Es gibt mehrere Universitäten, die sich auf diese Seite des Themas konzentrieren, aber meiner Meinung nach sind sie nicht genug. Deshalb verlasse ich mich auf meine eigene Lebenserfahrung.

Meine Frau bat mich, anonym zu bleiben, damit ich ihren Namen nicht preisgebe. Auf der Folie siehst du mich, meine Frau, hinten ist eine Infusionspumpe und unser Kind ist immer noch in der Frau. Zum Glück funktionierte die Pumpe einwandfrei. Im Allgemeinen eignen sich Pumpen hervorragend für die medizinische Versorgung, sie verursachten jedoch immer noch mehr als 500 Todesfälle und verschiedene Arten von Funktionsstörungen.



Daher werde ich Sie über eine weitere Fehlfunktion informieren. Die folgende Folie zeigt eine implantierbare Ansicht der Pumpe. Es verfügt über eine semipermeable Membran, über die Sie Arzneimittelvorräte auffüllen können, und eine Benutzeroberfläche, über die eine Krankenschwester oder ein Arzt die Dosierung ändert.

Sieht jemand, wo Sie die Menge des Medikaments einnehmen? Du musst schielen, oder? Sie müssen sich diese Figur genau ansehen.
.


Hier unter Nummer sechs steht, dass wir einen Bolus dosieren werden. Ein Bolus ist eine Zeit der schrittweisen Verabreichung einer täglichen Dosis eines Arzneimittels von mehr als 20 Minuten und 12 Sekunden, und all dies wird implantiert, so dass der Patient den Vorgang der Verabreichung des Arzneimittels nicht spürt.

Diese Benutzeroberfläche trat in Kraft, nachdem die FDA die vorherige Version der Benutzeroberfläche widerrufen und weitere Entwicklungen erforderlich gemacht hatte. Vor dem Rückruf fehlten in Absatz 6 der Steuerschnittstelle für diese Pumpe acht Schlüsselelemente: HH: MM: SS, dies sind Stunden, Minuten und Sekunden.



Was denkst du würde passieren, wenn diese Bezeichnung fehlt? In diesem Fall ist es sehr einfach, einen Fehler in den Maßeinheiten und einen Fehler in der Größenordnung zu machen.

Unglücklicherweise für diesen Patienten war seine Pumpe falsch programmiert, so dass das Medikament in 24 Minuten statt 24 Stunden verabreicht wurde. Der Fehler wurde durch das Fehlen einer Bezeichnung der eingegebenen Zahlen verursacht: Stunden, Minuten, Sekunden. Dies wurde erst nach dem Tod des Patienten entdeckt - nachdem er die medizinische Einrichtung verlassen hatte, hatte er einen schweren Autounfall und starb später aufgrund der Tatsache, dass seine Familie bereit war, das medizinische Lebenserhaltungssystem auszuschalten.



Aus technischer Sicht ist das Problem recht einfach, oder? Es gab einfach kein "Etikett" in der Benutzeroberfläche. Aber hier ist der menschliche Faktor im Rampenlicht der technischen Prozesse sehr leicht nachzuvollziehen, obwohl er nicht immer sichtbar ist. Dies ist jedoch ein sehr wichtiges Element für die Verbesserung der Zuverlässigkeit von Geräten, die auf Software angewiesen sind. Aus diesem Grund fordere ich Sie dringend auf, bei der Entwicklung Ihrer Software den Faktor Mensch zu berücksichtigen, auch wenn er keine kritischen Auswirkungen hat.

Ich möchte auch über die aufregende Welt des Programmmanagements sprechen. Ich habe auf dieser Folie all diese kleinen Dialogfelder zusammengefasst, die angezeigt werden, wenn mein Computer ein Softwareupdate erhält, aber alles geschieht im Hintergrund. Wie mein iPhone, das ständig Updates erhält und "stärker" wird. Medizinprodukte erhalten auch Software-Updates, sie unterscheiden sich grundsätzlich nicht von herkömmlichen Computergeräten. Sie steuern einfach die lebenswichtigen Funktionen Ihres Körpers.

Es gibt einen interessanten Fall, der vor ungefähr 4 Jahren aufgetreten ist. Es gibt Unternehmen, die Antivirensoftware herstellen, die von Krankenhäusern verwendet wird, insbesondere McAfee. Beim nächsten wichtigen Update von Windows wurde es von diesem Antivirus als bösartig eingestuft, unter Quarantäne gestellt und anschließend das System isoliert. Dies verursachte einen Neustart der Computer und das Erscheinen von BSOD auf den Bildschirmen.

Infolgedessen erhielt das Krankenhaus keine Patienten mehr, mit Ausnahme schwerer Fälle wie Schusswunden, da ihre Registrierungssysteme nicht ordnungsgemäß funktionierten.

Daher ist die klinische Betreuung in hohem Maße von Softwarefunktionen abhängig, und wir vergessen manchmal die Rolle der Sicherheit.

Microsoft hat als größter Entwickler von Betriebssystemen einen enormen Einfluss auf viele Benutzer. Ob Sie es glauben oder nicht, es gibt immer noch viele medizinische Geräte unter Windows XP, die vor einem halben Jahr nicht mehr unterstützt werden. Daher sollten Sie dieses Betriebssystem nicht verwenden, da es keine Sicherheitsupdates und Feature-Updates mehr erstellt. Dies ist veraltete Software. Bisher werden medizinische Geräte jedoch weiterhin mit neuen Computergeräten geliefert, auf denen Windows XP vorinstalliert ist.

In dieser Situation sind die Software-Lebenszyklen leicht verzerrt. Es ist gut, wenn Sie daran gewöhnt sind, täglich Updates für Open Source-Software herunterzuladen, aber an medizinische Geräte denken. Sie werden es in einem Jahr nicht ablehnen können, es kann für 20 Jahre verwendet werden. Daher ist es sehr schwierig, eine Software zu finden, die für eine Betriebsdauer von 20 Jahren geeignet ist.

Vor einem Monat veröffentlichte die FDA einen Leitfaden darüber, was sie von den Herstellern erwarten. Stellen Sie es sich als Projekt für Softwareentwickler vor.



Wenn Sie alle Anforderungen für Ihr Medizinprodukt angeben, fragen sie die Hersteller, wie sie die Sicherheitsprobleme, alle Risiken und deren Minderung erdacht haben. Was sind die verbleibenden Risiken, dh welche Probleme können sie nicht lösen? Im Idealfall erwarten sie, dass der Hersteller oder Entwickler alle möglichen Risiken berücksichtigt und wie sie gemindert werden können.

Aus Sicht der Softwareverwaltung ist kein medizinisches Personal ein verantwortlicher, autorisierter Benutzer, sodass alles passieren kann. Jetzt gibt es jedoch Empfehlungen, die den Herstellern helfen sollen, die Sicherheit besser in ihre Produkte zu integrieren. Ich denke, wir verbringen Zeit damit, solche Themen gewinnbringend zu diskutieren.

Jetzt können wir mit der Diskussion von Sicherheitsfragen fortfahren und Dinge außerhalb des Vorlesungskontexts belassen, die nichts damit zu tun haben. Setzen wir also unsere grauen und schwarzen Hüte auf (ein Hauch von Hacker-Ethik: Ein Hacker in einem grauen Hut testet die Verwundbarkeit von Computern, kann aber sein Wissen für egoistische Zwecke anwenden, Hacker in schwarzen Hüten sind mehr Cracker als Forscher).



Bevor ich anfange, möchte ich sagen, dass dies ein sehr komplexes Forschungsgebiet ist, weil Patienten darin anwesend sind. Und wenn ich heute ein medizinisches Gerät bekommen hätte, das Sicherheitsprobleme hat, würde ich es trotzdem nehmen, weil der Patient mit diesem Gerät viel besser ist als ohne. Aber ich hätte natürlich lieber sicherere Medizinprodukte. Jetzt gibt es immer mehr sichere Geräte, aber wenn Sie zwischen dem Gerät und seiner Abwesenheit wählen müssen, würde ich Ihnen dringend empfehlen, das Gerät trotzdem zu verwenden, um sich in einer viel besseren Position zu befinden.

Betrachten wir jedoch den Fall der Sabotage, bei dem es sich um einen Gegner handelt, der Probleme bei der Verwendung eines Medizinprodukts verursachen möchte. Wer ist jetzt der Defibrillator? Großartig, er ist hier. Ich möchte Ihnen ein wenig darüber erzählen, wie diese Defibrillatoren implantiert werden. Dies ist ein sehr spezifisches Gerät, da es zum einen in einen lebenden Organismus implantiert wird und somit ein sehr hohes Risiko besteht. Es unterstützt dein Leben. Wenn es in deinem Herzen schlägt und plötzlich versagt, können die Ergebnisse katastrophal sein. Aus technischer Sicht ist dies sehr interessant, da der Defibrillator viele Jahre lang sieben Tage die Woche rund um die Uhr arbeiten sollte.

Das ist also ein Programmierer, keine Person, sondern ein Gerät. Grundsätzlich handelt es sich hierbei um einen verschleißfesten Computer, an den ein kleines Gerät namens Wand (Zauberstab) angeschlossen ist. Dies ist keine Computermaus, sondern ein Sender und Empfänger, die ihre eigene drahtlose Kommunikation in einem speziell zugewiesenen Frequenzbereich verwenden. Dies ist keine normale 802.11-Verbindung.

Die Operation dauert ca. 90 Minuten. Der Patient ist wach, er bleibt ruhig, aber die Operation wird unter örtlicher Betäubung durchgeführt. Vor dem Schlüsselbein wird ein kleiner Einschnitt gemacht, und dann führt ein Team von sechs Personen die Elektrode durch ein Blutgefäß, das im Herzen endet. Ich habe hier eine Sonde - eine Elektrode, die vorher nicht verwendet wurde.



Sie sehen kleine Kerben an seinem Ende, in einigen solchen Geräten gibt es zwei Sensoren, damit es Ihre Herzfrequenz abtasten und auf sie einwirken kann. Sie können kleine oder große Herzkontraktionen im Rhythmus der Herzfrequenz erstellen oder das Herz neu laden, wenn der Rhythmus chaotisch ist. Dies ist ein sehr fortschrittliches Gerät. Die abgeschrägte Spitze am Ende der Sondenelektrode besteht aus einem Steroidmetall. Sie haftet nicht am Gewebe, sodass die Elektrode frei durch das Gefäß verläuft. Grundsätzlich ist dies ein normales USB-Kabel, oder?



Nachdem dieses Ding in das Herz implantiert wurde, wird der Patient genäht und die Leistungstests des Stimulators werden durchgeführt. Normalerweise erhält der Patient danach eine Art kleine Basisstation, einen kleinen Zugangspunkt, und wird als „Heimmonitor“ bezeichnet. Dies schränkt die Freiheit stark ein.



Mithilfe eines Funkkanals, der auf einer bestimmten Frequenz betrieben wird, können Sie die gesamte Telemetrie erfassen und an die "Cloud" senden. In der Regel handelt es sich dabei um einen vertraulichen Cloud-Speicher für den privaten Gebrauch, damit medizinische Fachkräfte ihre Patienten überwachen können. Wenn Sie zum Beispiel feststellen, dass das Gerät von Mary ungewöhnliche Messwerte überträgt, können Sie sie anrufen und sagen: "Sie müssen einen Termin vereinbaren und zu mir kommen, weil ich herausfinden möchte, was mit Ihrem Defibrillator passiert."

Daher ist eine der nützlichen Eigenschaften der drahtlosen Kommunikation die Fähigkeit, den Defibrillator des Patienten kontinuierlich zu überwachen, anstatt dies nur einmal im Jahr zu tun.

Wir hatten ein Studententeam, das wir von verschiedenen Universitäten zusammengebracht hatten, ich gab ihnen einen Defibrillator und ein Oszilloskop und sie gingen ungefähr neun Monate lang "in die Höhle". Als sie von dort zurückkamen, sagten sie: "Schau, was wir gefunden haben"!

Die folgende Folie zeigt einen Screenshot der Kommunikationssitzung zwischen dem Gerät und dem Programmierer. Alles, was Sie sehen, ist vollkommen verständlich, keine Kryptographie, zumindest keine Verschlüsselung, die bemerkt werden könnte.

Hier finden Sie den Namen des Arztes, der das Implantat geliefert hat, die Diagnose, den Namen des Krankenhauses, den Status des Geräts, den Namen des Patienten, das Geburtsdatum, das Modell und den Hersteller des Defibrillators sowie die Seriennummer des Geräts. Im Allgemeinen handelt es sich hierbei um eine vollständige elektronische Krankenakte. Dies ist ein ziemlich altes Gerät, das vor etwa 10 Jahren verwendet wurde, aber zu dieser Zeit als Kunstwerk wahrgenommen wurde. Es wurde keine Verschlüsselung verwendet, zumindest um die Vertraulichkeit medizinischer Informationen zu gewährleisten.



Als wir dies sahen, dachten wir, dass wir auf jeden Fall auf die Sicherheit der Steuerung dieses Geräts achten müssen. Wie bietet es Authentizität der Kontrolle? Die Integrität der Informationen? Wir beschlossen, das nächste Experiment durchzuführen, und lernten, das sogenannte "Software-Radio" zu verwenden. Vielleicht haben einige von Ihnen damit gespielt, jetzt gibt es eine ganze Reihe von ihnen. Vor ungefähr 10 Jahren war die USRP- und GNU-Radiosoftware beliebt. Unser Ziel war es, den Defibrillator glauben zu lassen, dass das Herz des Patienten eine tödliche Herzfrequenz erzeugt.



Wir haben einem Herzschrittmacher eine unnötige Antenne entnommen, eine kleine Antenne erstellt und ein HF-Signal aufgezeichnet, das eine tödliche Herzfrequenz zur Folge hatte. Und dann haben wir es drahtlos an den Defibrillator zurückgeschickt. Danach gab das Gerät ein dem Schock entsprechendes Signal von einem Schock mit einem Strom von 500 V ab. Das heißt, eine elektrische Defibrillation wurde durchgeführt, um das Herz eines nicht existierenden Patienten anzuhalten. Dies sind ungefähr 32 Joule pro Millisekunde. Ähnliches kann man erleben, wenn ein Pferdehuf auf die Brust schlägt.

Es war interessant, wie wir das entdeckt haben. Ich war also im Operationssaal, und wenn Sie sich erinnern, sagte ich, dass das Operationsteam nach der Implantation prüft, ob der Defibrillator ordnungsgemäß funktioniert. Wie kann ich herausfinden, ob ein Defibrillator normal funktioniert, wenn das Herz des Patienten normal schlägt? Daher ist in den Defibrillator ein Befehl eingebaut, der eine tödliche Herzfrequenz verursacht, und der Defibrillator soll diese wiederherstellen. Dies wird als "Teamschock" bezeichnet. Als ich die Ärzte danach fragte, stellte sich heraus, dass sie das Konzept der Authentifizierung für solche Geräte nicht verstanden hatten. Danach haben wir beschlossen, dass wir uns wirklich eingehender mit der Lösung dieser Probleme befassen müssen.

In diesem speziellen Fall konnten wir einen Befehl an das Gerät senden, aber die Authentizität dieses Befehls nicht überprüfen, sodass wir künstlich einen Schock auslösen konnten. Die gute Nachricht ist, dass diese Geräte dieses Problem durch ein Update der Software lösen können.

Hier ist das Implantat selbst. Eine Vielzahl innovativer Lösungen wird auf sie angewendet, dies ist keine Science-Fiction mehr, echte Menschen und Patienten stecken dahinter.

Die meisten Menschen sind zutiefst besorgt über eine qualitativ hochwertige medizinische Versorgung. Manchmal verstehen sie jedoch nicht, wie Sicherheit in den Entwurfsprozess integriert werden kann. Aus kultureller Sicht ist dies eine Herausforderung.

Ein weiterer Stakeholder sind Personen, die in erster Linie medizinische Versorgung leisten - dies sind Mitarbeiter von Krankenhäusern oder kleinen Kliniken. Wenn Sie Malware finden möchten, gehen Sie ins Krankenhaus. Dort finden Sie viele interessante Virenprogramme. Hier ist der Grund dafür.

Die folgende Folie zeigt einen Screenshot von meinem Kollegen, der am Beth Israel Deaconess Medical Center in Boston gearbeitet hat. Er machte einen Screenshot seiner Netzwerkarchitektur. Es ist nichts Erstaunliches an ihr. Interessanterweise listete er Betriebssysteme auf, die auf medizinischen Geräten installiert waren.

Ich mag es, Zahlen hinzuzufügen und alles zu überprüfen, also erzählte ich seine Daten und sagte:

"Nun, Sie haben Windows XP Service Pack SP1, SP2 und SP3, aber 0 + 15 + 1 entspricht nicht 600, es ist 16, Sie haben die falsche Ergänzung!" Er sah mich an und sagte: "Nein, Kevin, das ist in Ordnung. Wir haben immer noch 600 Computer im Krankenhaus, auf denen das Windows XP-Service Pack Null installiert ist."

Dies sind also medizinische Geräte, für die die Software des Herstellers nicht aktualisiert und keine Sicherheitspatches installiert werden konnten. Dies bedeutet, dass sie im Krankenhaus alte Software verwendet haben, die anfällig für alle alten Schadprogramme ist, die seit 15 Jahren auf Windows XP angewendet werden.



In einer Klinik ist es sehr schwierig, Geräte zu schützen, da die Lebensdauer der Geräte und der Software nicht synchronisiert ist. Im Gesundheitswesen denken sie in Jahrzehnten, aber in der schnelllebigen Welt der Silicon Valley-Hockeyschläger denken wir über Tage, Wochen oder Monate in Bezug auf neue Software nach.
Am unteren Rand der Folie sehen Sie Informationen, dass die durchschnittliche Zeit für die Infektion von medizinischen Geräten mit Viren 12 Tage beträgt. Während dieser Zeit sind die Geräte nicht vor Malware geschützt. Bei Vorhandensein von Antivirenprogrammen erhöht sich die Zeit für den sicheren Betrieb von Geräten ohne die Gefahr einer Virusinfektion auf fast 1 Jahr, was jedoch nicht ausreicht.

25:00 min

MIT Kurs "Computer Systems Security". Vorlesung 15: Medizinische Software, Teil 2


Die Vollversion des Kurses finden Sie hier .

Vielen Dank für Ihren Aufenthalt bei uns. Mögen Sie unsere Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder Ihren Freunden empfehlen. Dies ist ein Rabatt von 30% für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von 20 Dollar oder wie teilt man den Server auf? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).

VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis Dezember kostenlos bei Zahlung über einen Zeitraum von sechs Monaten können Sie hier bestellen .

Dell R730xd 2 mal günstiger? Nur bei uns2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV ab 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr über das Erstellen von Infrastruktur-Bldg. Klasse C mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent?

Jetzt auch beliebt: