麻省理工学院的课程“计算机系统安全”。 第15课：医疗软件，第3部分

麻省理工学院。 讲座课程＃6.858。 “计算机系统的安全性。” Nikolai Zeldovich，James Mickens。 2014年

计算机系统安全是一门有关开发和实施安全计算机系统的课程。 讲座涵盖了威胁模型，危害安全性的攻击以及基于最新科学研究的安全技术。 主题包括操作系统（OS）安全性，功能，信息流管理，语言安全性，网络协议，硬件安全性和Web应用程序安全性。

第1课：“简介：威胁模型” 第1 部分 / 第2 部分 / 第3部分
第2课：“控制黑客攻击”， 第1 部分 / 第2 部分 / 第3部分
第3讲：“缓冲区溢出：漏洞利用和保护” 第1 部分 / 第2 部分 / 第3部分
讲座4：“特权分离”， 第1 部分 / 第2 部分 / 第3部分
讲座5：“安全系统从何而来？” 第1 部分 / 第2部分
讲座6：“机会” 第1 部分 / 第2 部分 / 第3部分
讲座7：“本地客户端沙箱” 第1 部分 / 第2 部分 / 第3部分
讲座8：“网络安全模型” 第1 部分 / 第2 部分 / 第3部分
讲座9：“ Web应用程序安全性” 第1 部分 / 第2 部分 / 第3部分
讲座10：“符号执行” 第1 部分 / 第2 部分 / 第3部分
第11课：“ Ur / Web编程语言” 第1 部分 / 第2 部分 / 第3部分
讲座12：网络安全性第1 部分 / 第2 部分 / 第3部分
讲座13：“网络协议” 第1 部分 / 第2 部分 / 第3部分
第14课：“ SSL和HTTPS” 第1 部分 / 第2 部分 / 第3部分
第15课：“医疗软件” 第1 部分 / 第2 部分 / 第3部分

下一张幻灯片显示该设备认为它可以被看到，尽管实际上这没有发生。 请记住，我们必须走一条直线，因为没有病人，也没有心跳。



为了引起兴趣，我们尝试了几个不同的信号来描述正弦脉冲。 这确实是一个正弦波，以难以想象的速度发动，但仍与心律一致。 我们每秒钟发送一次脉冲-您在左侧看到它，在右侧显示一个已调制的信号，有点吵。

因此，这是起搏器程序员的屏幕截图，实时显示遥测输出。 顶部的小绿色标记VP表示程序员将心室的节奏发送给起搏器。 起搏器的意思是产生人造心跳，即引起心脏组织的搏动。

有趣的是，当我们开始发送干扰时，程序员会收到VS或心室活动的感觉。 这是第一行中的三个紫色小标记。 因此，起搏器以为心脏在跳动，因此他决定关闭刺激以节省能量。 当我们停止传播干扰时，他再次开始进行心脏刺激。

在右侧，您可以看到干扰从何处开始，以及刺激器如何感知传递给它的心室活动的感觉。 他开始认为心脏是独立运作的，不需要花费精力来维持心脏活动。 因此，我们可能会造成干扰，从而欺骗微处理器，使他相信患者心脏的状况良好。

好消息是，它只能在体外，体外，在活的人体之外起作用。 当我们尝试在生理盐水或参数接近真实人体的一切物体中进行此操作时，这基本上不起作用。 这是因为人体吸收了无线电波的能量，而实际上并没有被传感器捕获。 最重要的是，我们在3 cm处的盐溶液中进行了实验，幻灯片显示了不同研究小组在实验过程中获得的各种介质中噪声传播的距离。



通常，这意味着没有特别的原因要担心由于外部干扰而更改植入物的工作模式。 但是我们不知道其他重要的医疗设备将如何应对干扰。 尽管有许多不同类型的胰岛素泵，但我们尚未测试过胰岛素泵的操作。 有经皮葡萄糖传感器，如果在场的人使用它们，我不会感到惊讶，它们很常见，但我们只是不知道它们如何对外部干扰做出反应。

我认为模拟滤波器无法区分好信号和坏信号，因此您应该使滤波器更接近应用程序级别。 我们测试的一种保护方法如下。 该方法也有其局限性，但主要思想如下。 想象一下，您是一名心脏起搏器，想知道您是否正在接收可靠的信号？

为此，您不时开始发送测试脉冲，以控制敌人的活动。 当我们与电生理学家一起工作时，我们学到了一件有趣的事情。 我们了解到，如果您向近200毫秒前某个地方已经收缩（即已击中）的心脏发送脉冲，则心脏组织由于处于静止状态而实际上由于极化而无法发送电脉冲。



因此，我们问他们，如果在心室收缩后立即发出额外的冲动，会发生什么情况？ 有人告诉我们，如果心脏确实跳动了，就像您的传感器告诉您的那样，那么您将不会得到任何答案，这在生理上是不可能的。
因此，如果我们发现心脏在不到200毫秒前发出电信号，则心脏会向我们发送电信号，这证明我们被先前的脉搏信号欺骗了。 如果发生这种情况，那么我们将受到故意的电磁干扰。



因此，主要思想是我们将再次依靠人体生理学知识来研究这个问题，以提高结果的可靠性。 另一种方法是，我们没有考虑延迟心率传播的情况，因为电磁干扰以光速传播。 如果您在身体的不同部位有两个起搏器传感器，并且它们同时接收到相同的心脏信号，那么显然存在问题。 因为电化学延迟就像迷走神经发出的电信号一样，在您的心脏中上下移动。

还有其他方法可以确定生理信号是否可靠，但这是一个全新的理论。 这个领域几乎没有什么进展，因此它提供了许多有趣的研究生和本科研究项目。



现在，我想向您介绍另一个项目，该项目可以通过电源插座检测到恶意软件。 几年前，我的一个学生Shane说：“嘿，我设计了这个电源插座，现在我可以知道您正在查看哪个站点。” 他在常规插座内插入了一个敏感电阻，用于测量所谓的无功功率相移。 这主要涉及用于将信息下载到计算机的代理。



多亏了这个传感器，他才能知道计算机处理器如何改变负载以及它如何影响耗电量的参数。 这不是什么新鲜事。 有人听说过这样的术语-TEMPEST保护吗？ 我知道你。 TEMPEST已经存在了很多年。 由于信号从任何地方泄漏，因此有一种整体技术可以阻止信号泄漏。 我喜欢保留所有旧计算机-我什至有一台具有exo内核的计算机，它是一台旧的Pentium4。它们在发布高级电源管理之前就已发布。 因此，如果您测量旧奔腾的功耗，则无论处理器负载如何，它都将保持不变。

他是闭环工作还是参与计算过程都没关系。 但是，如果您购买现代计算机（无论是台式计算机还是智能手机），那么能耗将取决于工作量。 因此，肖恩发现了在这种情况下发生的事情。

如果您有一个很难更改的嵌入式系统，并且想为其配备安全功能，则可以使用智能延长线。



它使用机器学习对能耗的频域进行分类。 它不跟踪您消耗多少电量，而是跟踪您多久一次消耗一次。

让我给你一些提示。 想象您有一个感染了恶意软件的医疗设备。 假设该病毒每隔几分钟醒来发送一次垃圾邮件。 这如何改变功耗？
没错，每隔几分钟就会触发一次睡眠中断，处理器将唤醒。 这可能会增加他对内存资源的需求。 他将完成几个周期，或者将几个额外的周期插入到以前的工作指令集中。

与通用计算机不同，医疗设备仅执行少量指令，这是其工作的常见情况。 因此，当您突然收到恶意软件时，它会立即更改功耗模式，电源行为，并因此而受到跟踪。 您进行傅立叶变换，并在机器学习的参与下应用其他“魔术”技术。 细节在于魔鬼。 您可以使用机器学习来以非常高的准确性和最小比例的错误来确定是否存在恶意软件和其他异常。



这是Sean从事多年的项目。 他最初创建此项目是为了确定您正在浏览的网站。 不幸的是，正是出于这个目的，他在一大堆会议上介绍了它，每个人都对他说：“嗯，你为什么需要这个？” 但是，这非常有用，因为他选择了Alexa评选的前50个站点。 然后，他编译了计算机的能量配置文件，以将其用于机器学习，然后再次以非常高的精度确定了其他计算机上访问过的站点。 我们真的对此工作感到惊讶。 而且我们仍然不知道为什么这是可能的，但是我们强烈怀疑应该归咎于Drupal网站的内容管理系统。

谁还在写Emacs HTML？ 太好了，我也是。 这就是为什么我的网站上出现所有这些错误。 但是几年前，特别是在机构中，出现了积极的运动，因此代码自动创建了遵循常规结构的网页内容文件。 例如，如果您访问cnn.com，则它们始终在右上角带有Flash动画的广告，持续时间精确为22秒。 因此，当您进入此页面时，计算机的处理器将开始对其进行处理，也就是说，Web浏览器会影响熟悉的能耗模式，并且其更改可以固定为该特定站点的特征。

我们唯一不能自信分类的站点是GoDaddy。 我们不知道为什么，这不会给我们带来太大的麻烦，因为这个问题远非安全问题。



当您帮助来自不同诊所的同事时，他们经常会再次与您联系以寻求帮助。 我们开展了一个有趣的项目，该项目与发展中国家（尤其是加纳）的起搏器供应问题有关，从字面上讲使患者重获新生。 因为如果您所在的国家/地区没有医疗保健系统，那么很难获得起搏器加外科医生团队的40,000美元。

他们从事有缺陷的起搏器和除颤器的修复，然后进行了消毒。 这很有趣。 您必须使用带有环氧乙烷的气室进行灭菌，以去除所有热原-引起发热的物质。 这些设备经过消毒，然后重新植入患者体内。 图片中的这位先生心律缓慢，对他来说是死刑。 但是，由于他能够获得起搏器，这给了他额外的生命。

因此，他们遇到的问题是他们如何才能发现这些设备仍然安全，因为它们甚至都没有使用过。 显然，您可以看看电池寿命-这是您要做的第一件事。 如果电荷太低，则无法植入该设备。 那其他事情呢？ 例如，如果金属有点生锈？ 我们如何从头到尾检查设备，以了解其是否可以正确识别心律不齐？

我实验室的学生创建了一个特殊的测试仪，可以向起搏器发送等效于心律不齐的异常心律失常的电子等效信号。

起搏器认为他已与患者建立联系并开始做出反应。 然后，我们检查答案，看看它是否真的可以诊断出心律不齐，以及它是否确实可以正确发送急救信号。

目前，此开发正在进行完整的FDA筛选过程，以获取使用许可。 到目前为止，这是一个名为“我的心就是你的心”的不完整程序。 如果您有兴趣，可以找到有关她的详细信息。

此外，我们经常与医疗设备制造商社区互动。 我们每年夏天邀请他们和负责诊所管理的诊所一起到安阿伯（Ann Arbor）的医疗设备安全中心，他们在总桌旁分享他们对医疗设备的投诉和担忧。 我们只有一家公司，向我们简单地展示了所有存在的问题，没有人会求助于医疗设备制造商。 这是一种新的交流文化。

因此，我不知道你们中的任何人是否进行过安全分析或逆向工程。 我看到几个人。 这是一件非常谨慎的事情，几乎是一门艺术，因为您正在处理生产中的社会因素，尤其是在医疗器械生产中，因为生命受到威胁。 与真正有能力解决这些问题的人共享这类问题可能非常非常困难。 因此，这通常需要个人联系。

我想节省更多时间。 我希望我们有一些问题，因为我认为我们有五到十分钟的时间。 但是我想消除一些神话。 您可能知道很多报纸头条和电视节目，内容涉及黑客如何侵入医疗设备。 也许这是一个问题，但这不是唯一的，而且不是最大的问题。 分析安全性时，很难将其视为一个问题，因为实际上还有两个更重要的问题。

首先是由于无法获得患者护理而无法大规模使用设备。 因此，不要理会外部对手-如果您只是因为恶意程序会在同一操作系统下工作而意外进入医疗设备，该怎么办？ 如果同时有50,000个注射泵出现故障，会发生什么情况？ 在这种情况下，很难确保适当的患者护理。

我的一位同事给我写信说，他的导尿管实验室关闭了。

导管实验室是一个相对较新的专业。 这是用于微创手术的一种特殊类型的手术室。 他们不得不在诊所关闭这样的实验室，因为一名护士不小心从USB驱动器中带入了病毒，她希望通过该病毒将家庭照片传输到Yahoo。 恶意软件不知何故进入了他们的导管实验室。 因此，他们不得不关闭它并停止所有工作。

因此，如果您正在等待血管成形术，则现在无法使用该特定的医疗中心。 您将必须使用备份中心之一。 因此，医务人员可获得的医疗设备是安全性常被遗忘的关键因素之一。



第二个重要问题是传感器的完整性。 如果您的医疗设备感染了恶意软件，其操作将以其开发人员无法预料的方式发生变化。 这是一个非常简单的示例。 假设某些恶意软件进入了计时器。 他们叫醒他发送网络数据包和垃圾邮件。 需要一些时间。 如果您的医疗设备假定其完全控制传感器的中断来收集读数，然后跳过这些中断，会发生什么情况？ 也许此传感器可调节医疗设备的电源设置，但由于存在恶意软件，因此错过了下一个证词。因此，由于设备从传感器接收到不正确的数据，您可能开始错误地诊断患者。因此，我非常担心医疗传感器的完整性。
有几份报告称高危妊娠监测仪已感染该病毒，并给出了错误的读数。一位高素质的医生可以查看这些证据并说这是胡说八道，我的设备不能给出这些数字，这是很好的。还应注意，如果不开始确保传感器的完整性，我们将减少传感器的安全裕度。

正如我提到的，在医疗设备发布后，很难对其进行任何更改。您认为很难在Internet上更改软件吗？

. , Windows 95. , OS / 2, Windows XP.

, , . , , .



- , . , , . .

, , Gmail . , «», .

- , «». , . : « Dos Equis, ?», – , -, .

, , . , . , , — . , « , ». . , , , , «» , ?

– , . , , , . , , , , , ? ? , , … .

, , , , . , , .
, , , , . , CBC, , . , .

, , « ». . , , ? , ?



, , . , , , !

: « , . , . , -? ? , ? , 30 ». , , . , . . -, , . , , .

, . -, . .

. , , . , .

, , , , . . — . , .

, 5-10 , . . , . , , , - .



: ?

: , , . , , — . . , . . . , , , . , , .

. , . . , . , , , , . . , , .

: , , — , , , . .

: , , , , , ? . , , . — , .



, , , .

, , . — , , . -, «- » CHS, Mandiant. , . , , . — , ? , , (, 2013 , 180 206 29 ).

. , , , , .

, , , . , , . , , , .


.

感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们， 为我们为您发明的入门级服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

VPS（KVM）E5-2650 v4（6核）10GB DDR4 240GB SSD 1Gbps至12月免费，在六个月内付款时，您可以在此处订购。

戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？