Institut de technologie du Massachusetts. Cours magistral # 6.858. "Sécurité des systèmes informatiques." Nikolai Zeldovich, James Mickens. 2014 année
Computer Systems Security est un cours sur le développement et la mise en œuvre de systèmes informatiques sécurisés. Les conférences couvrent les modèles de menace, les attaques qui compromettent la sécurité et les techniques de sécurité basées sur des travaux scientifiques récents. Les sujets incluent la sécurité du système d'exploitation (OS), les fonctionnalités, la gestion du flux d'informations, la sécurité des langues, les protocoles réseau, la sécurité matérielle et la sécurité des applications Web.
Cours 1: «Introduction: modèles de menace»
Partie 1 /
Partie 2 /
Partie 3Conférence 2: «Contrôle des attaques de pirates»
Partie 1 /
Partie 2 /
Partie 3Conférence 3: «Débordements de tampon: exploits et protection»
Partie 1 /
Partie 2 /
Partie 3Conférence 4: «Séparation des privilèges»
Partie 1 /
Partie 2 /
Partie 3Conférence 5: «D'où viennent les systèmes de sécurité?»
Partie 1 /
Partie 2Conférence 6: «Opportunités»
Partie 1 /
Partie 2 /
Partie 3Conférence 7: «Native Client Sandbox»
Partie 1 /
Partie 2 /
Partie 3Conférence 8: «Modèle de sécurité réseau»
Partie 1 /
Partie 2 /
Partie 3Conférence 9: «Sécurité des applications Web»,
partie 1 /
partie 2 /
partie 3Conférence 10: «Exécution symbolique»
Partie 1 /
Partie 2 /
Partie 3Conférence 11: «Ur / Web Programming Language»
Partie 1 /
Partie 2 /
Partie 3Conférence 12: Sécurité du réseau,
partie 1 /
partie 2 /
partie 3Conférence 13: «Protocoles réseau»,
partie 1 /
partie 2 /
partie 3Conférence 14: «SSL et HTTPS»
Partie 1 /
Partie 2 /
Partie 3Conférence 15: «Logiciel médical»
Partie 1 /
Partie 2 /
Partie 3 Salutations à tous, j'ai également étudié au MIT dans les années 90 et je suis heureux d'être de retour ici. Aujourd'hui, nous allons parler d'un type de sécurité légèrement différent, laisser de côté la partie technique et discuter des conséquences profondes de cette sécurité. Pour vous faire savoir, je suis moi-même de la zone du club Midnight offeehouse, et notre Université du Massachusetts Amherst, que vous voyez à l'écran, est située dans le Michigan, mais nous ne sommes pas aussi grands que votre campus.
Aujourd'hui, nous allons parler de certaines de nos recherches et discuter de tout, de l'explosion des défibrillateurs aux problèmes de confidentialité dans les dispositifs médicaux. Ceci sera principalement lié à un seul domaine de recherche de mon ancien étudiant diplômé, qui sur la photo présentée ici désinfecte les défibrillateurs implantables. Aujourd'hui nous parlerons principalement de la sécurité des dispositifs médicaux.
La diapositive suivante présente une liste des nombreuses personnes qui ont participé à ces études, et je vais essayer de résumer certaines des dispositions actuelles sur la sécurité d'un dispositif médical sous différents points de vue. Je suis également obligé d'inclure dans cette conférence cette diapositive de modèle sur un éventuel conflit d'intérêts, alors maintenant vous pouvez découvrir tout préjugé potentiel dans ma pensée. Mais je voudrais penser que je suis moins partiale qu'une personne ordinaire.
Il y a environ un an, un événement intéressant a eu lieu. La FDA, la Food and Drug Administration, a publié un projet de document déclarant qu'elle vérifiera désormais la conformité des fabricants avec la cybersécurité ou, comme nous l'appelons, la sécurité et la confidentialité, non seulement en ce qui concerne la mise en œuvre de logiciels. fournir un dispositif médical, mais aussi en ce qui concerne le développement de ce logiciel avant même que la première ligne du programme ne soit écrite.
Par conséquent, nous parlerons de la façon dont cela a influencé la pensée de la communauté des fabricants de dispositifs médicaux. Le dernier guide de conception de logiciels médicaux est apparu il y a quelques semaines à peine, et nous avons récemment participé à une vidéoconférence organisée par la FDA à ce sujet. Au total, plus de 650 personnes ont rejoint cette réunion. Il y avait beaucoup de choses intéressantes pour les fabricants d'équipements médicaux concernant la façon d'appliquer certains des concepts que vous étudiez ici dans votre classe.
Cependant, c'est vraiment difficile. J'ai remarqué que l'une des questions sur le site concernait la façon de changer la culture de la communauté médicale afin qu'elle comprenne l'importance de la sécurité. Cette diapositive illustre cela.
La diapositive montre l'un des fondateurs de l'asepsie, le Dr Ignaz Semmelweis, qui dit que le médecin doit se laver les mains. Il s'oppose à l'obstétricien américain Charles Meigs, déclarant: "Puisque les médecins sont des messieurs, ils ont toujours les mains propres!"
Qui s'est lavé les mains ce matin? Eh bien, je ne reconnais pas le Massachusetts Institute! Ainsi, il y a 165 ans, il y avait un célèbre obstétricien Ignaz Semmelweis, qui a étudié une maladie appelée «septicémie post-partum». Et il a constaté que si ses étudiants en médecine, qui travaillaient à la morgue le matin, se rendaient chez les patients, ces patients, en règle générale, mouraient plus souvent. Il est arrivé à la conclusion que si les médecins se lavent les mains après avoir travaillé avec des cadavres, le taux de mortalité après l'accouchement, au cours duquel ils ont aidé, sera beaucoup moins élevé. Il a donc recommandé aux médecins de se laver les mains. Cependant, la réaction de la communauté des médecins à cette proposition a été principalement exprimée par l'opinion de l'obstétricien Charles Meigs, qui a affirmé que tous les médecins sont des gentlemen, donc ils ont toujours les mains propres.
Dans une certaine mesure, nous voyons une attitude similaire à l'égard de la sécurité aujourd'hui, ce n'est donc pas trop surprenant. Tout au long de notre conversation, je vais essayer de faire des parallèles avec cela.
J'ai trop de matériel sur le sujet, donc je vais sauter certaines choses. Mais la première chose que je veux demander est - est-ce que l'un d'entre vous va devenir médecin? Non? Bon, bon, auquel cas vous aurez quelque chose à discuter avec vos amis médecins autour d'un cocktail.
Nous parlerons un peu des dispositifs médicaux implantables. Je vous laisse tenir cette chose entre vos mains, c'est sûr, juste ne pas avoir à la lécher. Il s'agit d'un défibrillateur implantable d'un ancien patient. En fait, ces appareils ont déjà environ 50 ans, c'est alors que le premier cardio-défibrillateur a commencé à apparaître. À cette époque, ils étaient externes et les patients devaient pousser un chariot avec cet appareil devant eux et avoir une infirmière solide à côté d'eux.
Des décennies ont passé et les défibrillateurs sont devenus suffisamment petits pour être complètement implantés dans le corps. Sur la diapositive, vous voyez une image de ce qu'on appelle une «baguette», qui utilise un couplage inductif. Techniquement, c'est sans fil, il n'y a pas de fils. L'appareil est programmé pour fournir une fréquence cardiaque de 60 battements par minute.
En tant que chercheur en sécurité, je me suis intéressé à l'apparition de défibrillateurs vers 2003, comme celui que je vous ai transmis, utilisant la technologie et les réseaux sans fil. Nous sommes habitués au fait que les réseaux sont plus utilisés pour l'informatique mondiale, alors je me suis demandé ce qui pouvait mal se passer ici?
Heureusement, de nombreux ingénieurs sont également préoccupés par ce problème dans les entreprises médicales, mais ici, la sécurité nécessite un état d'esprit complètement différent. Et je vais vous dire comment cette pensée a changé.
Si vous démontez l'un de ces appareils, vous y trouverez un grand nombre de choses qui limitent le fonctionnement. Donc, si vous avez besoin d'un problème d'ingénierie complexe, démontez simplement l'un de ces appareils. Plus de la moitié du volume du défibrillateur est occupé par une très grosse batterie, qui coûte 40 000 $. Il utilise également de l'argent métal - oxyde de vanadium.
Les microcontrôleurs sont situés dans la partie supérieure du stimulateur, et il dispose généralement d'antennes pour la communication avec le dispositif de commande du défibrillateur. Tout cela est scellé hermétiquement et implanté dans votre corps.
Nous parlons de l'une des conditions de fonctionnement les plus dures d'un appareil électronique. Si vous souhaitez recharger la batterie de votre corps, vous ne pouvez que souhaiter bonne chance. Savez-vous que les batteries chargent la chaleur et le gaz lors de la charge? Par conséquent, lors de la conception de tels appareils, il existe de sérieuses limitations et l'ajout de sécurité est assez difficile.
Cependant, il existe une très bonne raison de contrôler sans fil un appareil médical. Il y a de bonnes raisons, mais des risques sérieux. Pour illustrer cela, je veux que vous voyiez à quoi ressemblaient les premiers défibrillateurs implantables.
Il s'agit d'un défibrillateur du Musée Medtronic à Minneapolis. Quelqu'un peut-il deviner quel type de petit cylindre métallique se trouve sur le côté droit? Quelle est sa fonction? Antenne? Contrôle? La gestion est une supposition très proche! D'autres suggestions?
Cette «saillie» était utilisée avant même l'avènement des communications sans fil pour contrôler le défibrillateur. Auparavant, pour modifier les paramètres de l'appareil, le médecin a déclaré: «Patient, veuillez lever la main. Je vais insérer une aiguille à travers vos aisselles et tourner le cadran de changement de fréquence cardiaque. "
Ainsi, l'un des principaux avantages de la communication sans fil est qu'elle réduit en fait le nombre d'objets étrangers entrant dans le corps, car plus il y a d'objets étrangers dans le corps, plus la probabilité d'infection est grande. C'est un risque sérieux. En fait, 1% des implants entraînent de graves complications et environ 1% d'entre eux sont mortels. Le contrôle des infections est donc l'une des choses les plus importantes que vous devez assurer lors de l'implantation et du remplacement d'un appareil.
Bien sûr, si vous allez à l'autre extrême et dites simplement que vous souhaitez établir une communication sans fil partout, vous recevrez d'autres types de risques. Je l'ai appelé la théorie sans fil du bacon. Ma mère du Midwest a dit que le bacon rend tout meilleur.
J'ai remarqué que certains fabricants d'appareils semblent utiliser le sans fil partout, sans tenir compte des dangers d'une telle solution. Il a ses avantages, mais vous devez réfléchir de manière stratégique avant d'ajouter cette fonctionnalité à un appareil plutôt non sécurisé. Par exemple, réfléchissez aux risques qui peuvent survenir avec le temps.
Je ne vais pas dire grand-chose sur les réseaux Internet, mais je pense que cette citation mérite d'être mentionnée. Quelqu'un se souvient-il du navire Costa Concordia au large des côtes italiennes? Son capitaine a déclaré: "De nos jours, tout est beaucoup plus sûr grâce aux outils modernes et à Internet." Ceci est un cadre de l'espace, qui montre son navire renversé.
Ainsi, lorsque vous ajoutez Internet et le sans fil à votre appareil médical, vous courez un nouveau risque. Mais vous ne devriez pas avoir peur de cela, il vous suffit de prévoir le contrôle des éventuelles conséquences négatives.
Je veux vous montrer en images comment se déroule le fonctionnement typique d'un dispositif médical, comment il est utilisé dans les soins cliniques, comment il peut changer votre façon de penser, si vous procédez du point de vue de la sécurité, et ce que vous devriez penser du risque. Tout d'abord, parlons d'un monde dans lequel il n'y a pas de menaces réelles, et il n'y a que des méthodes dangereuses, des accidents dangereux et quelques négligences sans sabotage conscient.
La FDA maintient une base de données des manquements, dysfonctionnements, dommages et décès. Ce sont des informations ouvertes, vous pouvez le constater par vous-même. Cet exemple est appelé MAUDE - «L'expérience de l'utilisation des appareils par les fabricants et les consommateurs».
Cette diapositive décrit un cas d'utilisation d'un appareil appelé «pompe à perfusion volumétrique», un appareil qui injecte mécaniquement des médicaments dans votre corps par une veine. Dans ce cas, le patient est décédé, et si vous regardez attentivement ce texte, vous verrez que l'une des raisons de la tragédie était un débordement de tampon. Je pense que vous savez tout sur les débordements de tampon depuis votre première conférence. Cela se produit donc dans la vraie vie dans tous les domaines qui utilisent la technologie informatique.
Dans ce cas particulier, un débordement de tampon a été détecté lors de la recherche d'erreurs logicielles, mais la réaction à une telle erreur a été d'éteindre la pompe, c'est-à-dire de la mettre en mode sans échec. Mais les créateurs du logiciel n'ont pas tenu compte du fait que pour certains patients, l'arrêt de la pompe est une condamnation à mort. Ce patient est donc décédé après une augmentation de la pression intracrânienne, suivie d'une mort cérébrale, et tout cela s'est produit en raison d'un débordement de tampon.
Il n'y a donc rien de compliqué ici, non? Vous savez tous que vous ne voulez pas avoir de débordement de tampon dans le logiciel, et dans ce cas il n'y a pas d'impact externe. Cela illustre simplement l'état du logiciel, au moins pour cet appareil particulier. C'est une tâche très difficile.
Un autre défi de sécurité est la nécessité de prendre en compte le facteur humain. Il y a plusieurs universités qui se concentrent sur cet aspect de la question, mais, à mon avis, ce n'est pas suffisant. Par conséquent, je compte sur ma propre expérience de vie.
Ma femme m'a demandé de rester anonyme, donc je ne révélerai pas son nom. Sur la diapositive, vous me voyez, ma femme, il y a une pompe à perfusion à l'arrière, et notre enfant est toujours à l'intérieur de la femme. Heureusement, la pompe a très bien fonctionné. En général, les pompes sont parfaites pour fournir des soins médicaux, mais elles ont quand même causé plus de 500 décès et en raison de divers types de dysfonctionnements.
Par conséquent, je vais vous parler d'un autre dysfonctionnement. La diapositive suivante montre une vue implantable de la pompe. Il a une membrane semi-perméable à travers laquelle vous pouvez reconstituer les stocks de médicaments et une interface utilisateur qu'une infirmière ou un médecin utilise pour modifier la posologie.
Quelqu'un voit-il où vous prenez la quantité de médicament? Vous devez plisser les yeux, non? Vous devez regarder de très près ce chiffre.
.
Ici, sous le numéro six, il est dit que nous allons doser un bolus. Un bolus est un temps d'administration progressive d'une dose quotidienne d'un médicament, plus de 20 minutes et 12 secondes, et tout cela est implanté, de sorte que le patient ne ressent pas le processus d'administration du médicament.
Cette interface utilisateur est entrée en vigueur après que la FDA a révoqué la version précédente de l'interface et a nécessité des développements supplémentaires. Avant le rappel, au paragraphe 6 de l'interface de commande de cette pompe, huit éléments clés manquaient: HH: MM: SS, ce sont les heures, les minutes et les secondes.
Selon vous, que se passerait-il lorsque cette désignation était manquante? Dans ce cas, il est très facile de se tromper dans les unités de mesure et de se tromper dans l'ordre de grandeur.
Malheureusement pour ce patient, sa pompe a été mal programmée, de sorte que le médicament a été administré en 24 minutes au lieu de 24 heures. L'erreur a été causée par l'absence de désignation des nombres saisis: heures, minutes, secondes. Cela n'a été découvert qu'après la mort du patient - après avoir quitté l'établissement médical, il a eu un grave accident de voiture et est décédé plus tard en raison du fait que sa famille a accepté de désactiver le système de soutien médical.
Si vous le regardez d'un point de vue technique, le problème est assez simple, non? Il n'y avait tout simplement pas de «label» dans l'interface. Mais ici, le facteur humain est très facile à retracer, bien qu'il ne soit pas toujours visible, au centre des processus d'ingénierie. Mais c'est un élément très important pour améliorer la fiabilité des appareils qui dépendent des logiciels. Par conséquent, je vous invite à prendre en compte le facteur humain lors du développement de votre logiciel, même s'il n'a pas d'impact critique.
Je veux également parler du monde passionnant de la gestion de programme. J'ai rassemblé sur cette diapositive toutes ces petites boîtes de dialogue qui apparaissent chaque fois que mon ordinateur reçoit une mise à jour logicielle, mais tout se passe en arrière-plan. Comme mon iPhone, qui reçoit constamment des mises à jour et devient «plus fort». Les appareils médicaux reçoivent également des mises à jour logicielles; en principe, ils ne diffèrent pas des appareils informatiques traditionnels. Ils contrôlent simplement les fonctions vitales de votre corps.
Il y a un cas intéressant qui s'est produit il y a environ 4 ans. Il existe des sociétés qui produisent des logiciels antivirus utilisés par les hôpitaux, en particulier McAfee. Ainsi, lors de la prochaine mise à jour critique de Windows, cet antivirus l'a jugé malveillant, l'a mis en quarantaine, puis a décidé d'isoler le système. Cela a provoqué un redémarrage d'urgence des ordinateurs et l'apparition de BSOD sur les écrans.
En conséquence, l'hôpital a cessé de recevoir des patients, à l'exception des cas graves, tels que les blessures par balle, parce que leurs systèmes d'enregistrement ne fonctionnaient pas correctement.
Ainsi, les soins cliniques dépendent fortement des fonctionnalités du logiciel, et nous oublions parfois le rôle de la sécurité.
Microsoft a un impact énorme sur de nombreux utilisateurs en tant que plus grand développeur de systèmes d'exploitation. Croyez-le ou non, il existe encore de nombreux appareils médicaux exécutant Windows XP, qui ont cessé de prendre en charge il y a six mois. Par conséquent, vous ne devez pas utiliser ce système d'exploitation, car il ne produit plus de mises à jour de sécurité et de mises à jour de fonctionnalités. Il s'agit d'un logiciel obsolète. Mais jusqu'à présent, de nouveaux équipements informatiques préinstallés avec Windows XP continuent d'être livrés aux installations médicales.
Dans cette situation, les cycles de vie des logiciels sont légèrement biaisés. C'est bien si vous avez l'habitude de télécharger quotidiennement des mises à jour pour les logiciels open source, mais pensez aux appareils médicaux. Vous ne pourrez pas le refuser dans un an, il pourra être utilisé pendant 20 ans. , 20- , .
FDA , . , .
, , , . , , ? , .
, , , . , . , , .
, , . ( : , , , ).
, , , . , , , , . , , . , , , .
, , , , . ? , . , . , , -, , . . , . , , .
, , , . , Wand, . , , , 802.11.
90 . , , . , , . — , .
, , . , , . . - – , , . , USB-, ?
, , . , , « ». .
, , «», , . , , , : « , , ».
, – , .
, , , « » . , : «, »!
. , , , , , , .
, , , , , , , , . . , 10 , . , , .
, , , . ? ? , « ». , , . 10 USRP GNU. , .
, , . . , 500. . 32 , .
, . , , , , , . , , ? , , . « ». , , , , . , , .
, , . , .
. , , .
. , , .
, – . , , , .
, Beth Israel Deaconess. . . , , , .
, :
«, Windows XP SP1, SP2 SP3, 0+15+1 600, 16, »! : „, , , 600 Windows XP“.
, , . , , , Windows XP 15 .
, . , , , , .
, 12 , . 1 , .
25:00
Cours MIT "Sécurité des systèmes informatiques". 15: « », 2.
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbit / s jusqu'en décembre gratuitement en payant pour une période de six mois, vous pouvez commander
ici .
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel Dodeca-Core Xeon E5-2650v4 128 Go DDR4 6x480 Go SSD 1 Gbps 100 TV à partir de 249 $ aux Pays-Bas et aux États-Unis! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?