导语:医院被勒索攻击,医疗设备被黑已经很常见了。但是你见过黑掉一个人的大脑的吗?本文分析了针对神经刺激器和对应的设备编程器的攻击。
通过植入的医疗设备来黑掉一个人的大脑已不再是幻想。比利时的科学家发现用一些常用的材料就可以黑掉一个无线的大脑移植体——神经刺激器。黑客利用远程漏洞后可以改变神经刺激器的电压,这会导致感觉失灵、残疾、甚至死亡。
深度脑刺激(Deep Brain Stimulation,DBS)是用来移植神经刺激器的过程,然后会向人脑发送点刺激。DBS可用来缓解帕金森病、慢性疼痛、震颤和其他疾病的一些症状,还可以用来治疗抑郁和强迫症障碍这样的疾病。研究人员分析了针对神经刺激器和对应的设备编程器的攻击,并提出了一个安全的架构,确保密钥生成和数据传输等的安全性。
基于软件无线电的攻击
研究人员在神经刺激器上实验性的执行了一些可能会危及病人安全和隐私的软件无线电攻击。
重放攻击
研究修改通过拦截和重放之前从合法设备编程器上发出的传输信号就可以修改神经刺激器的所有设置。但这种实际攻击中有两个限制,一是攻击者需要等到设备编程器和神经刺激器通信后进行消息拦截;二是攻击者只能重放合法设备编程器传输的消息,这大大限制了攻击的影响。
欺骗攻击
欺骗攻击需要了解传输协议的部分或全部知识。在逆向了协议之后,研究人员可以创建任意消息并发送给神经刺激器。这种攻击的限制在于,攻击者需要知道神经刺激器的SN才能创建有效的消息。而攻击者只有在神经刺激器通信时才能拦截获得SN号。
研究人员经过实验发现,在SN域为空的情况下神经刺激器也会接受消息。这样,攻击造成的影响就非常大了,攻击者可以创建一个没有SN的有效消息,然后再所有神经刺激器上复用。
隐私攻击
在逆向了专用协议后,研究人员发现传输的数据是没有加密的,攻击者可以窃听无线信道中传输的数据。主动攻击者还可以发送消息给神经刺激器来请求特定的数据。设备编程器和神经刺激器之前传输的数据包括诊断数据、病症、疾病和诊疗信息。所有设备间交换的信息都含有一个唯一的神经刺激器SN,这个唯一的SN可以用来识别定位和追踪病人。
DoS攻击
一般我们认为一旦通信结束,神经刺激器到sleep mode睡眠模式。但实际上,神经刺激器会保持活动状态并接收消息然后检查校验码是否正确。研究人员还发现,攻击者可以在不需要初始化的情况下,就可以向神经刺激器发送有效消息。我们不需要去量化执行DoS攻击的影响,攻击者只需要重复发送恶意消息给神经刺激器就可以很快地消耗资源发起DoS攻击。
如何保护医疗设备——安全架构
研究人员在论文Securing Wireless Neurostimulators中描述了他们提出的解决方案。
研究人员提出一种使用的安全架构来在设备编程器和神经刺激器之间安全的交换信息。该架构由三部分组成,分别是session key初始化;key传输和安全数据传输。
key生成
使用真随机数生成器(True random number generators,TRNGs)来生成密钥,掩码和随机数。IMD使用的是基于微控制器的平台,并不适用真随机数发生器,所以在这些设备上不能生成真随机数。但是可以使用从病人身体中提取的一些生理信号来生成加密密钥。与传统的基于PRNG和TRNG方法相比,这种方法有很多的优势。这种方法还允许重用信号来作为一个低成本的随机源。唯一的缺点是像心跳这样的生理信号可能会被预测或远程测量,这样就容易被攻击。
Key传输
Key在神经刺激器中生成后,必须安全地传输到设备编程器中。因为病人的皮肤和神经刺激器都是导电的,所以研究人员使用电信号来传送密钥,这样设备编程器在接触了病人皮肤后就可以接收信号了。
图1 安全的密钥传输机制
安全数据交换
首先,双方设备执行认证协议来商讨共享的session key。但是在实验中,考虑到效率的问题,研究人员没有使用认证协议。
在安全数据交换的过程中,会增加双方设备的能量消耗,主要分为两个部分:1)是计算消耗,2)是通信成本。之前的研究成果表明,与通信成本相比,计算成本是可忽略的。所以,研究人员提出优化的消息格式来在设备中植入安全机制。这样可以把神经刺激器的能力消耗降到最低。
图2 优化前的消息格式
图3 优化后的消息格式
美国政府已经发出预警
美国国土安全局发布了关于在医疗设备中使用硬编码密码的安全预警。厂商在设计时就应该考虑到这些安全措施,要能够解决一些潜在的安全问题。比如,可充电的医疗植入设备要能够预防电池耗电攻击。美国食品和医药管理局(FDA)也指出,所有的医疗设备都含有一定的信息安全风险。承认监管机构在这些不安全的医疗设备利大于弊的前提下,对其大开绿灯。同时承认医疗设备使用无线技术增加了风险。
FDA还同时给出了一些安全建议:
医疗设备制造商和医疗机构应该采取措施来确保一定等级的安全保护。制造商负责关注与生成的医疗设备相关的风险和危险,提出解决方案来解决与病人安全相关的风险,并要确保设备的性能。
医院和医疗机构应该评估自身网络的安全性,并负责保护医院的信息系统。