Instituto de Tecnologia de Massachusetts. Curso de Aula nº 6.858. "Segurança de sistemas de computador". Nikolai Zeldovich, James Mickens. 2014 ano
Computer Systems Security é um curso sobre o desenvolvimento e implementação de sistemas de computador seguros. As palestras abrangem modelos de ameaças, ataques que comprometem a segurança e técnicas de segurança baseadas em trabalhos científicos recentes. Os tópicos incluem segurança do sistema operacional (SO), recursos, gerenciamento de fluxo de informações, segurança de idiomas, protocolos de rede, segurança de hardware e segurança de aplicativos da web.
Palestra 1: “Introdução: modelos de ameaças”
Parte 1 /
Parte 2 /
Parte 3Palestra 2: “Controle de ataques de hackers”
Parte 1 /
Parte 2 /
Parte 3Aula 3: “Estouros de Buffer: Explorações e Proteção”
Parte 1 /
Parte 2 /
Parte 3Palestra 4: “Separação de Privilégios”
Parte 1 /
Parte 2 /
Parte 3Palestra 5: “De onde vêm os sistemas de segurança?”
Parte 1 /
Parte 2Palestra 6: “Oportunidades”
Parte 1 /
Parte 2 /
Parte 3Palestra 7: “Sandbox do Cliente Nativo”
Parte 1 /
Parte 2 /
Parte 3Aula 8: “Modelo de Segurança de Rede”
Parte 1 /
Parte 2 /
Parte 3Aula 9: “Segurança de aplicativos da Web”
Parte 1 /
Parte 2 /
Parte 3Palestra 10: “Execução Simbólica”
Parte 1 /
Parte 2 /
Parte 3Aula 11: “Linguagem de Programação Ur / Web”
Parte 1 /
Parte 2 /
Parte 3Aula 12: Segurança de rede
Parte 1 /
Parte 2 /
Parte 3Aula 13: “Protocolos de Rede”
Parte 1 /
Parte 2 /
Parte 3Palestra 14: “SSL e HTTPS”
Parte 1 /
Parte 2 /
Parte 3Palestra 15: “Software Médico”
Parte 1 /
Parte 2 /
Parte 3 Saudações a todos, também estudei no MIT nos anos 90 e estou feliz por estar de volta aqui novamente. Hoje, falaremos sobre um tipo de segurança um pouco diferente, deixaremos a parte técnica de lado e discutiremos as consequências de longo alcance dessa segurança. Para que você saiba, eu próprio sou da área de clubes Midnight offeehouse, e nossa Universidade de Massachusetts Amherst, que você vê na tela, está localizada em Michigan, mas não somos tão grandes quanto o seu campus.
Hoje falaremos sobre algumas de nossas pesquisas e discutiremos tudo, desde desfibriladores explosivos a questões de privacidade em dispositivos médicos. Isso estará relacionado principalmente a apenas uma área de pesquisa do meu ex-aluno de pós-graduação, que na foto apresentada aqui desinfeta desfibriladores implantáveis, e hoje falaremos principalmente sobre a segurança de dispositivos médicos.
O slide a seguir mostra uma lista das muitas pessoas que participaram desses estudos, e tentarei resumir algumas das disposições atuais sobre a segurança de um dispositivo médico sob vários pontos de vista. Também sou obrigado a incluir nesta palestra este slide de modelo sobre um possível conflito de interesses, para que agora você possa descobrir sobre quaisquer possíveis preconceitos em meu pensamento. Mas gostaria de pensar que sou menos tendenciosa do que uma pessoa comum.
Há cerca de um ano, ocorreu um evento interessante. A FDA, a Food and Drug Administration, emitiu um documento preliminar declarando que agora eles verificarão os fabricantes quanto à conformidade com segurança cibernética ou, como chamamos, segurança e privacidade, não apenas no que diz respeito à implementação de software fornecendo um dispositivo médico, mas também no que diz respeito ao desenvolvimento deste software antes mesmo da escrita da primeira linha do programa.
Portanto, falaremos sobre como isso influenciou o pensamento da comunidade de fabricantes de dispositivos médicos. O último guia de design de software médico apareceu há algumas semanas e recentemente participamos de uma videoconferência organizada pela FDA sobre isso. No total, mais de 650 pessoas participaram desta reunião. Havia muitos aspectos interessantes para os fabricantes de equipamentos médicos sobre como aplicar alguns dos conceitos que você estuda aqui em sua classe.
No entanto, é realmente difícil. Percebi que uma das perguntas no site era sobre como mudar a cultura da comunidade médica para entender como é importante a segurança. Este slide ilustra isso.
O slide mostra um dos fundadores da assepsia, Dr. Ignaz Semmelweis, que diz que o médico deve lavar as mãos. Ele se opõe ao obstetra americano Charles Meigs, dizendo: "Como os médicos são cavalheiros, eles sempre têm mãos limpas!"
Quem lavou as mãos esta manhã? Bem, não reconheço o Instituto de Massachusetts! Então, há 165 anos, havia um famoso obstetra Ignaz Semmelweis, que estudou uma doença chamada "sepse pós-parto". E ele descobriu que se seus estudantes de medicina, que trabalhavam no necrotério pela manhã, fossem aos pacientes, então esses pacientes geralmente morriam com mais frequência. Ele chegou à conclusão de que, se os médicos lavarem as mãos após trabalharem com cadáveres, a taxa de mortalidade após o parto, durante a qual eles ajudaram, será muito menor. Então, ele recomendou que os médicos lavassem as mãos. No entanto, a reação da comunidade de médicos a essa proposta foi expressa principalmente pela opinião do obstetra Charles Meigs, que afirmou que todos os médicos são senhores, por isso sempre têm mãos limpas.
Até certo ponto, vemos hoje uma atitude semelhante em relação à segurança, portanto isso não é muito surpreendente. Ao longo de nossa conversa, tentarei traçar alguns paralelos com isso.
Eu tenho muito material sobre o assunto, então vou pular algumas coisas. Mas a primeira coisa que quero perguntar é: algum de vocês se tornará médico? Não? Bom, nesse caso, você terá algo para conversar com os médicos dos seus amigos durante um coquetel.
Falaremos um pouco sobre dispositivos médicos implantáveis. Vou deixar você segurar essa coisa em suas mãos, é seguro, só não precisa lamber. Este é um desfibrilador implantável de um ex-paciente. De fato, esses dispositivos já têm cerca de 50 anos; foi então que o primeiro cardio-desfibrilador começou a aparecer. Naquela época, eles eram externos e os pacientes precisavam empurrar um carrinho com esse dispositivo na frente deles e ter uma enfermeira forte ao lado deles.
Décadas passaram e os desfibriladores se tornaram pequenos o suficiente para serem totalmente implantados no corpo. No slide, você vê uma imagem do que é chamado de "varinha", que usa acoplamento indutivo. Tecnicamente, é sem fio, não há fios. O dispositivo está programado para fornecer uma frequência cardíaca de 60 batimentos por minuto.
Como pesquisador de segurança, eu estava interessado na aparência de desfibriladores por volta de 2003, como o que eu lhe passei, usando redes e tecnologia sem fio. Estamos acostumados ao fato de que as redes são mais usadas para a computação global, então eu me perguntava o que poderia dar errado aqui?
Felizmente, existem muitos engenheiros que também estão preocupados com esse problema nas empresas médicas, mas aqui a segurança exige uma mentalidade completamente diferente. E eu vou lhe contar como esse pensamento mudou.
Se você desmontar um desses dispositivos, encontrará um grande número de coisas que limitam a operação. Portanto, se você precisar de um problema de engenharia complexo, desmonte um desses dispositivos. Mais da metade do volume do desfibrilador é ocupado por uma bateria muito grande, que custa US $ 40.000. Ele também usa metal prateado - óxido de vanádio.
Os microcontroladores estão localizados na parte superior do estimulador e, geralmente, possuem antenas de comunicação com o dispositivo de controle do desfibrilador. Tudo isso é hermeticamente selado e implantado em seu corpo.
Estamos falando de uma das condições operacionais mais adversas de um dispositivo eletrônico. Se você quiser recarregar a bateria do seu corpo, só poderá desejar boa sorte. Você sabia que as baterias carregam calor e gás durante o carregamento? Portanto, ao projetar esses dispositivos, existem sérias limitações e, ao adicionar segurança, é bastante difícil.
No entanto, há uma boa razão para controlar sem fio um dispositivo médico. Existem boas razões, mas há riscos sérios. Para ilustrar isso, quero que você veja como eram os primeiros desfibriladores implantáveis.
Este é um desfibrilador do Museu Medtronic em Minneapolis. Alguém pode adivinhar que tipo de cilindro de metal pequeno está do lado direito? Qual é a sua função? Antena? Controlar? A gerência é um palpite muito próximo! Alguma outra sugestão?
Essa "protrusão" foi usada mesmo antes do advento das comunicações sem fio para controlar o desfibrilador. Anteriormente, para alterar as configurações do dispositivo, o médico disse: “Paciente, por favor, levante sua mão. Vou inserir uma agulha na axila e girar o botão de alteração da frequência cardíaca. "
Assim, uma das principais vantagens da comunicação sem fio é que ela realmente reduz o número de objetos estranhos que entram no corpo, porque quanto mais objetos estranhos entram no corpo, maior a probabilidade de infecção. Este é um risco sério. De fato, 1% dos implantes apresentam complicações sérias, e cerca de 1% deles são fatais. Portanto, o controle de infecções é uma das coisas mais importantes que você deve garantir ao implantar e substituir um dispositivo.
Obviamente, se você for para o outro extremo e apenas disser que deseja estabelecer comunicação sem fio em qualquer lugar, receberá outros tipos de riscos. Eu chamei de teoria sem fio do bacon. Minha mãe do Centro-Oeste disse que o bacon melhora tudo.
Percebi que existem alguns fabricantes de dispositivos que parecem usar a tecnologia sem fio em todos os lugares, sem considerar os perigos de uma solução desse tipo. Ele tem suas vantagens, mas você precisa pensar estrategicamente antes de adicionar esse recurso a um dispositivo bastante inseguro. Por exemplo, pense em quais riscos podem surgir ao longo do tempo.
Não vou falar muito sobre redes da Internet, mas acho que essa citação merece menção. Alguém se lembra do navio Costa Concordia na costa da Itália? Seu capitão disse: "Hoje em dia tudo é muito mais seguro graças às ferramentas modernas e à Internet". Este é um quadro do espaço, que mostra sua nave capotada.
Portanto, quando você adiciona a Internet e a conexão sem fio ao seu dispositivo médico, corre um novo risco. Mas você não deve ter medo disso, basta fornecer o controle de possíveis consequências negativas.
Quero mostrar em fotos como funciona a operação típica de um dispositivo médico, como é usado nos cuidados clínicos, como ele pode mudar seu pensamento, se você agir do ponto de vista da segurança e o que você deve pensar sobre o risco. Primeiro, vamos falar sobre um mundo em que não há ameaças reais e existem apenas métodos inseguros, acidentes perigosos e alguma negligência sem sabotagem consciente.
O FDA mantém um banco de dados de erros, mau funcionamento, danos e mortes. Esta é uma informação aberta, você pode ver por si mesmo. Este exemplo é chamado MAUDE - "A experiência do uso de dispositivos por fabricantes e consumidores".
Este slide descreve um caso de uso de um dispositivo chamado “bomba de infusão volumétrica”, um dispositivo que injeta mecanicamente drogas no corpo através de uma veia. Nesse caso, o paciente morreu e, se você olhar atentamente este texto, verá que um dos motivos da tragédia foi um estouro de buffer. Acho que você sabe tudo sobre estouros de buffer desde sua primeira palestra. Então, isso acontece na vida real em todas as áreas que usam tecnologia de computador.
Nesse caso em particular, um estouro de buffer foi detectado durante a verificação de erros de software, mas a reação a esse erro foi desligar a bomba, ou seja, colocá-la no modo de segurança. Mas os criadores do software não levaram em conta o fato de que, para alguns pacientes, desligar a bomba é uma sentença de morte. Portanto, esse paciente morreu após um aumento na pressão intracraniana, seguido de morte cerebral, e tudo isso aconteceu devido ao transbordamento do buffer.
Então não há nada complicado aqui, certo? Todos vocês sabem que não desejam um estouro de buffer no software e, nesse caso, não há impacto externo. Isso simplesmente ilustra o estado do software, pelo menos para esse dispositivo específico. Esta é uma tarefa muito difícil.
Outro desafio de segurança é a necessidade de considerar o fator humano. Existem várias universidades que se concentram neste lado da questão, mas, na minha opinião, não são suficientes. Portanto, confio na minha própria experiência de vida.
Minha esposa me pediu para permanecer anônimo, então eu não vou revelar o nome dela. No slide, você me vê, minha esposa, há uma bomba de infusão na parte de trás e nosso filho ainda está dentro da esposa. Felizmente, a bomba funcionou bem. Em geral, as bombas são ótimas para fornecer assistência médica, mas ainda causam mais de 500 mortes e devido a vários tipos de mau funcionamento.
Portanto, vou falar sobre outro mau funcionamento. O slide a seguir mostra uma vista implantável da bomba. Possui uma membrana semi-permeável através da qual é possível reabastecer os estoques de medicamentos e uma interface de usuário usada por uma enfermeira ou médico para alterar a dose.
Alguém vê onde você está tomando a quantidade da droga? Você tem que apertar os olhos, certo? Você precisa olhar muito de perto essa figura.
.
Aqui, no número seis, diz que vamos dosar um bolus. Um bolus é um período de administração gradual de uma dose diária de um medicamento, mais de 20 minutos e 12 segundos, e tudo isso é implantado, para que o paciente não sinta o processo de administração do medicamento.
Essa interface do usuário entrou em vigor depois que o FDA revogou a versão anterior da interface e exigiu desenvolvimento adicional. Antes do recall, no parágrafo 6 da interface de controle desta bomba, oito elementos-chave estavam ausentes: HH: MM: SS, são horas, minutos e segundos.
O que você acha que aconteceria quando essa designação estivesse faltando? Nesse caso, é muito fácil cometer um erro nas unidades de medida e na ordem de magnitude.
Infelizmente para esse paciente, sua bomba foi programada incorretamente, de modo que o medicamento foi administrado em 24 minutos em vez de 24 horas. O erro foi causado pela falta de uma designação dos números inseridos: horas, minutos, segundos. Isso foi descoberto somente após a morte do paciente - tendo saído da instituição médica, ele sofreu um grave acidente de carro e depois morreu devido ao fato de sua família concordar em desativar o sistema médico de suporte à vida.
Se você olhar de um ponto de vista técnico, o problema é bastante simples, certo? Simplesmente não havia "rótulo" na interface. Mas aqui o fator humano é muito fácil de rastrear, embora nem sempre seja visível, o foco dos processos de engenharia. Mas este é um elemento muito importante para melhorar a confiabilidade dos dispositivos que dependem de software. Portanto, peço que você leve em consideração o fator humano ao desenvolver seu software, mesmo que ele não tenha um impacto crítico.
Eu também quero falar sobre o emocionante mundo do gerenciamento de programas. Eu montei neste slide todas essas pequenas caixas de diálogo que aparecem sempre que meu computador recebe uma atualização de software, mas tudo acontece em segundo plano. Como meu iPhone, que está constantemente recebendo atualizações e está ficando "mais forte". Os dispositivos médicos também recebem atualizações de software; em princípio, não diferem dos dispositivos de computação tradicionais. Eles simplesmente controlam as funções vitais do seu corpo.
Há um caso interessante que ocorreu há cerca de 4 anos. Existem empresas que produzem software antivírus usado por hospitais, em particular a McAfee. Portanto, na próxima atualização crítica do Windows, esse antivírus o considerou malicioso, colocou-o em quarentena e decidiu isolar o sistema. Isso causou uma reinicialização de emergência dos computadores e o aparecimento de BSOD nas telas.
Como resultado, o hospital parou de receber pacientes, com exceção de casos graves, como ferimentos a bala, porque seus sistemas de registro não funcionavam corretamente.
Portanto, o atendimento clínico depende muito dos recursos do software e, às vezes, esquecemos o papel da segurança.
A Microsoft tem um enorme impacto em muitos usuários como o maior desenvolvedor de sistemas operacionais. Acredite ou não, ainda existem muitos dispositivos médicos executando o Windows XP, que parou de oferecer suporte há meio ano. Portanto, você não deve usar este sistema operacional, porque ele não produz mais atualizações de segurança e recursos. Este é um software desatualizado. Mas até agora, novos equipamentos de computador pré-instalados com o Windows XP continuam sendo entregues às instalações médicas.
Nessa situação, os ciclos de vida do software são levemente tendenciosos. É bom que você esteja acostumado a baixar atualizações de software de código aberto diariamente, mas pense em dispositivos médicos. Você não poderá recusá-lo em um ano, ele poderá ser usado por 20 anos. , 20- , .
FDA , . , .
, , , . , , ? , .
, , , . , . , , .
, , . ( : , , , ).
, , , . , , , , . , , . , , , .
, , , , . ? , . , . , , -, , . . , . , , .
, , , . , Wand, . , , , 802.11.
90 . , , . , , . — , .
, , . , , . . - – , , . , USB-, ?
, , . , , « ». .
, , «», , . , , , : « , , ».
, – , .
, , , « » . , : «, »!
. , , , , , , .
, , , , , , , , . . , 10 , . , , .
, , , . ? ? , « ». , , . 10 USRP GNU. , .
, , . . , 500. . 32 , .
, . , , , , , . , , ? , , . « ». , , , , . , , .
, , . , .
. , , .
. , , .
, – . , , , .
, Beth Israel Deaconess. . . , , , .
, :
«, Windows XP SP1, SP2 SP3, 0+15+1 600, 16, »! : „, , , 600 Windows XP“.
, , . , , , Windows XP 15 .
, . , , , , .
, 12 , . 1 , .
25:00
Curso MIT "Segurança de sistemas de computadores". 15: « », 2A versão completa do curso está disponível aqui .Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes? Ajude-nos fazendo um pedido ou recomendando a seus amigos, um
desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps de US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD de 1Gbps até dezembro de graça quando pagar por um período de seis meses, você pode fazer o pedido
aqui .
Dell R730xd 2 vezes mais barato? Somente nós temos
2 TVs Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 a partir de US $ 249 na Holanda e nos EUA! Leia sobre
Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?