麻省理工学院的课程“计算机系统安全”。 第15课：医疗软件，第1部分

麻省理工学院。 讲座课程＃6.858。 “计算机系统的安全性。” Nikolai Zeldovich，James Mickens。 2014年

计算机系统安全是一门有关开发和实施安全计算机系统的课程。 讲座涵盖了威胁模型，危害安全性的攻击以及基于最新科学研究的安全技术。 主题包括操作系统（OS）安全性，功能，信息流管理，语言安全性，网络协议，硬件安全性和Web应用程序安全性。

第1课：“简介：威胁模型” 第1 部分 / 第2 部分 / 第3部分
第2课：“控制黑客攻击”， 第1 部分 / 第2 部分 / 第3部分
第3讲：“缓冲区溢出：漏洞利用和保护” 第1 部分 / 第2 部分 / 第3部分
讲座4：“特权分离”， 第1 部分 / 第2 部分 / 第3部分
讲座5：“安全系统从何而来？” 第1 部分 / 第2部分
讲座6：“机会” 第1 部分 / 第2 部分 / 第3部分
讲座7：“本地客户端沙箱” 第1 部分 / 第2 部分 / 第3部分
讲座8：“网络安全模型” 第1 部分 / 第2 部分 / 第3部分
讲座9：“ Web应用程序安全性” 第1 部分 / 第2 部分 / 第3部分
讲座10：“符号执行” 第1 部分 / 第2 部分 / 第3部分
第11课：“ Ur / Web编程语言” 第1 部分 / 第2 部分 / 第3部分
讲座12：网络安全性第1 部分 / 第2 部分 / 第3部分
讲座13：“网络协议” 第1 部分 / 第2 部分 / 第3部分
第14课：“ SSL和HTTPS” 第1 部分 / 第2 部分 / 第3部分
第15课：“医疗软件” 第1 部分 / 第2 部分 / 第3部分

问候，我也于90年代在麻省理工学院学习，很高兴再次回到这里。 今天，我们将讨论一种稍有不同的安全性类型，将技术部分放在一边，并讨论这种安全性的深远影响。 告诉您，我本人来自Midnightoffeehouse俱乐部区，您在屏幕上看到的马萨诸塞州阿默斯特大学位于密歇根州，但我们的校园不如您的校园大。



今天，我们将讨论一些研究，并讨论从除颤器爆炸到医疗设备隐私问题的所有内容。 这将主要涉及我以前的研究生的一个研究领域，在这里展示的照片中，他对可植入的除颤器进行了消毒，今天我们将主要讨论医疗器械的安全性。

下面的幻灯片显示了参与这些研究的许多人的名单，我将尝试从各种角度总结一些有关医疗设备安全性的最新规定。 我也有义务在本演讲中包含有关可能的利益冲突的此模板幻灯片，因此现在您可以了解我的思想中的任何潜在偏见。 但是我想认为我没有一个普通人那么偏见。

大约一年前，发生了一个有趣的事件。 FDA，食品药品监督管理局（FDA）已发布文件草案，指出他们现在将检查制造商是否遵守网络安全或我们所谓的安全性和隐私规定，而不仅仅是在软件实施方面提供医疗设备，甚至在编写程序的第一行之前就涉及该软件的开发。



因此，我们将讨论这如何影响医疗器械制造商社区的思想。 最新的医学软件设计指南是在几周前发布的，我们最近参加了FDA组织的有关此问题的视频会议。 总共有650多人参加了这次会议。 对于医疗设备制造商来说，关于如何应用您在课堂上学习的一些概念，有很多有趣的事情。

但是，这确实很困难。 我注意到该站点上的问题之一是关于如何改变医学界的文化，以便它了解安全的重要性。 这张幻灯片对此进行了说明。



幻灯片显示了无菌的创始人之一，伊格纳兹·塞梅尔维斯（Ignaz Semmelweis）博士，他说医生必须洗手。 他遭到美国妇产科医生查尔斯·梅格斯（Charles Meigs）的反对，他说：“由于医生是绅士，所以他们总是干净的手！”

今天早上谁洗了手？ 好吧，我不认识麻省理工学院！ 因此，在165年前，有一位著名的妇产科医生Ignaz Semmelweis研究了一种叫做“产后败血症”的疾病。 他发现，如果早上在太平间工作的医科学生去找病人，那么这些病人通常死得更多。 他得出的结论是，如果医生在处理尸体后洗手，那么在他们协助下的分娩后的死亡率将大大降低。 因此，他建议医生洗手。 但是，医生界对此建议的反应主要由产科医生查尔斯·梅格斯（Charles Meigs）的意见所表达，他声称所有医生都是绅士，因此他们的双手总是干净的。

在某种程度上，我们今天对安全有类似的态度，因此这并不奇怪。 在整个对话中，我将尝试与此相提并论。
我对此主题的材料过多，因此我将跳过一些事情。 但是我想问的第一件事是-你们中的任何一个都想成为医生吗？ 不行吗 很好，很好，在这种情况下，您可以通过鸡尾酒与朋友医生谈论一些事情。

我们将谈论一些有关植入式医疗设备的内容。 我会让你把它拿在手中，它很安全，只是不必舔它。 这是一位前病人的植入式除颤器。 实际上，这些设备已经使用了大约50年，就在那时，第一台心脏除颤器开始出现。 当时，他们在外面，患者不得不将装有该设备的推车推到他们面前，并在他们旁边有一个坚固的护士。



数十年过去了，除颤器变得足够小，可以完全植入体内。 在幻灯片上，您可以看到使用感应耦合的所谓“ wand”图像。 从技术上讲，它是无线的，没有电线。 该设备经过编程，可提供每分钟60次的心跳速率。

作为安全研究人员，我对2003年前后的除颤器的出现很感兴趣，例如我使用无线技术和网络传递给您的除颤器。 我们已经习惯了网络越来越多地用于全球计算的事实，所以我想知道这里可能出什么问题吗？

幸运的是，医疗公司中有许多工程师也关注此问题，但是在这里安全性需要完全不同的思维方式。 我将告诉您这种想法是如何改变的。

如果拆解这些设备之一，则会发现其中有很多东西会限制操作。 因此，如果您需要一个复杂的工程问题，只需拆卸这些设备之一即可。 除颤器的一半以上被一个非常大的电池占据，这花费了40,000美元。 它还使用银金属-氧化钒。

微控制器位于刺激器的上部，通常具有用于与除颤器控制设备通信的天线。 所有这些都被密封并植入您的体内。



我们正在谈论电子设备最严酷的工作条件之一。 如果您想给体内的电池充电，则只能祝您好运。 您是否知道电池在充电时会产生热量和气体？ 因此，在设计这样的设备时，存在严重的局限性，并且增加安全性非常困难。

但是，有一个很好的理由来无线控制医疗设备。 有充分的理由，但存在严重的风险。 为了说明这一点，我希望您看到第一批植入式除颤器的外观。



这是来自明尼阿波利斯的美敦力博物馆的除颤器。 谁能猜到右侧是哪种小型金属圆筒？ 它的作用是什么？ 天线？ 控制吗 管理是一个非常接近的猜测！ 还有其他建议吗？

甚至在无线通信出现之前，就已经使用了这种“突起”来控制除颤器。 以前，要更改设备设置，医生说：“患者，请举手。 我将把一根针穿过您的腋窝，并扭转心率变化表盘。”

因此，无线通信的主要优点之一是它实际上减少了进入人体的异物的数量，因为异物进入人体的次数越多，感染的可能性就越大。 这是一个严重的风险。 实际上，有1％的植入物会带来严重的并发症，其中约1％是致命的。 因此，感染控制是植入和更换设备时必须确保的最重要的事情之一。

当然，如果您走到另一个极端，只是说您想在任何地方建立无线通信，那么您将面临其他类型的风险。 我称它为培根无线理论。 我来自中西部的母亲说，培根可以使一切变得更好。
我注意到，有些设备制造商似乎在各处都使用无线技术，而没有考虑这种解决方案的危险性。 它具有其优点，但是在将此功能添加到相当不安全的设备之前，您需要进行战略性思考。 例如，考虑一下随着时间的推移可能会出现哪些风险。

关于互联网网络，我将不多说，但我认为这句话值得一提。 有谁记得哥斯达黎加康科迪亚（Costa Concordia）在意大利海岸外的船只？ 他的队长说：“如今，借助现代工具和互联网，一切都变得更加安全。” 这是从太空拍摄的一幅画框，显示了他的飞船



因此，当您将Internet和无线网络添加到医疗设备中时，您将面临新的风险。 但是您不必担心，您只需要提供对可能的负面影响的控制。

我想在图片中向您展示医疗设备的典型操作方式，其在临床护理中的使用方式，如何改变您的想法，从安全角度出发以及应该考虑的风险。 首先，让我们谈谈一个没有真正威胁的世界，那里只有不安全的方法，危险的事故和一些疏忽而没有任何有意识的破坏。



FDA维护着未命中，故障，损坏和死亡的数据库。 这是开放信息，您可以自己查看。 该示例称为MAUDE-“制造商和消费者使用设备的经验”。

本幻灯片介绍了使用称为“体积输液泵”的设备的情况，该设备通过静脉将药物机械地注入您的体内。 在这种情况下，患者死亡，如果仔细阅读本文，您会发现造成悲剧的原因之一是缓冲区溢出。 我想您从第一堂课就了解缓冲区溢出的全部知识。 因此，这在使用计算机技术的每个领域中都会发生。



在这种特殊情况下，在检查软件错误时检测到缓冲区溢出，但是对这种错误的反应是关闭泵，即将其置于安全模式。 但是软件的创建者没有考虑到以下事实：对于某些患者，关闭泵是死刑。 因此，该患者在颅内压升高后死亡，随后死于脑部死亡，所有这些都是由于缓冲液溢出而发生的。

所以这里没有什么复杂的，对吧？ 大家都知道，您不希望软件中出现缓冲区溢出，在这种情况下，不会受到外部影响。 这仅说明了软件状态，至少对于该特定设备而言。 这是一项非常困难的任务。

另一个安全挑战是需要考虑人为因素。 有几所大学专注于这一方面，但我认为还不够。 因此，我依靠自己的生活经验。

我妻子要求我保持匿名，所以我不会透露她的名字。 在幻灯片上，您看到我，我的妻子，后面有一个输液泵，我们的孩子仍在妻子的体内。 幸运的是，泵工作得很好。 通常，泵非常适合提供医疗服务，但由于各种故障，它们仍然导致500多人死亡。



因此，我将告诉您另一个故障。 下一张幻灯片显示了泵的可植入视图。 它具有半透膜，您可以通过该膜来补充药品库存，以及护士或医生用来更改剂量的用户界面。

有人看到您在哪里服用该药吗？ 你必须斜视吧？ 您需要非常仔细地观察这个数字。
。


在第六下，它表示我们将进行大剂量注射。 推注是指逐渐服用每日剂量的药物的时间，超过20分钟12秒，并且将所有这些药物植入体内，因此患者不会感觉到药物的给药过程。

该用户界面在FDA撤销了先前版本的界面并需要进一步开发之后才生效。 在召回之前，在此泵的控制界面的第6段中，缺少了八个关键要素：HH：MM：SS，分别是小时，分钟和秒。



您认为缺少该名称会发生​​什么？ 在这种情况下，很容易在测量单位中犯错误并在数量级上犯错误。

不幸的是，对于该患者，他的泵编程不正确，因此药物在24分钟而不是24小时内给药。 该错误是由于缺少输入的数字的小时，分​​钟，秒引起的。 这是在患者死亡之后才发现的-离开医疗机构后，他发生了严重的车祸，后来因家人同意关闭医疗生命支持系统而死亡。



如果从技术角度来看，问题很简单，对吧？ 界面中根本没有“标签”。 但是，尽管并不总是可见的，但是人为因素却很容易追踪，这是工程流程的重点。 但这是提高依赖软件的设备可靠性的非常重要的元素。 因此，我敦促您在开发软件时考虑人为因素，即使它不会产生重大影响。

我还想谈一谈令人兴奋的程序管理世界。 我将所有这些小对话框放到这张幻灯片上，每当我的计算机收到软件更新时，这些对话框都会出现，但是所有这些对话框都是在后台发生的。 就像我的iPhone一样，它一直在接收更新，并且变得“更坚固”。 医疗设备还接收软件更新；原则上，它们与传统的计算设备没有区别。 它们只是控制您身体的重要功能。

大约4年前发生了一个有趣的案例。 有一些公司生产防病毒软件，这些软件被医院使用，特别是McAfee。 因此，在下一个重要的Windows更新中，此防病毒软件将其视为恶意软件，将其隔离，然后决定隔离该系统。 这导致计算机紧急重启，并且屏幕上出现BSOD。

结果，除了枪击伤等严重病例，医院停止了收治病人，因为他们的登记系统无法正常工作。

因此，临床护理高度依赖软件功能，有时我们忘记了安全性的作用。

作为操作系统的最大开发商，Microsoft对许多用户产生了巨大影响。 信不信由你，仍有许多运行Windows XP的医疗设备在半年前停止支持。 因此，不应使用此操作系统，因为它不再产生安全更新和功能更新。 这是过时的软件。 但是到目前为止，预装有Windows XP的新计算机设备仍在交付给医疗机构。

在这种情况下，软件生命周期会略有偏差。 如果您习惯于每天为开源软件下载更新，但考虑一下医疗设备，那就太好了。 您将无法在一年内拒绝它，它可以使用20年。 , 20- , .

FDA , . , .



, , , . , , ? , .

, , , . , . , , .

, , . ( : , , , ).



, , , . , , , , . , , . , , , .

, , , , . ? , . , . , , -, , . . , . , , .

, , , . , Wand, . , , , 802.11.

90 . , , . , , . — , .



, , . , , . . - – , , . , USB-, ?



, , . , , « ». .



, , «», , . , , , : « , , ».

, – , .

, , , « » . , : «, »!

. , , , , , , .

, , , , , , , , . . , 10 , . , , .



, , , . ? ? , « ». , , . 10 USRP GNU. , .



, , . . , 500. . 32 , .

, . , , , , , . , , ? , , . « ». , , , , . , , .

, , . , .

. , , .

. , , .

, – . , , , .

, Beth Israel Deaconess. . . , , , .

, :

«, Windows XP SP1, SP2 SP3, 0+15+1 600, 16, »! : „, , , 600 Windows XP“.

, , . , , , Windows XP 15 .



, . , , , , .
, 12 , . 1 , .

25:00

麻省理工学院的课程“计算机系统安全”。 15: « », 2


.

感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们， 为我们为您发明的入门级服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

VPS（KVM）E5-2650 v4（6核）10GB DDR4 240GB SSD 1Gbps至12月免费，在六个月内付款时，您可以在此处订购。

戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？