Журнал "Компьютерра" N734
Шрифт:
Недавно группа исследователей "хакнула" имплантируемое медицинское устройство - а именно, сердечный дефибриллятор - через его канал беспроводной связи. В результате была похищена персональная информация о пациенте и история болезни, после чего были дистанционно изменены терапевтические настройки дефибриллятора. Итогом столь серьезной атаки вполне могла бы стать смерть пациента - если бы тот был настоящий, конечно. К счастью, все обошлось без жертв, поскольку демонстрация проводилась лишь на приборе, помещенном в условия, имитирующие реальные.
Описание и анализ этой атаки являются главной темой доклада["Pacemakers and Imp-lantable Cardiac Defibri-llators: Software Radio Attacks and Zero-Power Defenses", by Daniel Halperin et al.] на майской конференции IEEE Symposium on Security and Privacy. Авторы работы - большой коллектив ученых-исследователей из междисциплинарного научного проекта "Центр безопасности медицинских устройств" (www.secure-medicine.org), в котором участвуют сотрудники Гарвардской медицинской школы, Массачусетского университета в Амхерсте и Вашингтонского университета.
Насколько известно авторам работы, они первыми продемонстрировали подобный хакинг биомедицинского устройства. По словам Кевина Фу (Kevin Fu), профессора-компьютерщика из Массачусетского университета и одного из лидеров проекта, важнейший итог этого исследования в том, что наглядно продемонстрировано, каким образом можно скрытно от пациентов не только извлекать информацию из вживленного в них устройства, но и перепрограммировать его. Спектр проблем, порождаемых этим открытием, оказался столь широким, что в Центре всерьез занялись их систематическим изучением и поисками путей решения.
Суть дела - в продвинутых коммуникационных возможностях современных имплантируемых устройств. Беспроводная связь была добавлена в дефибриллятор для того, чтобы доктора могли проверять и перепрограммировать аппарат, не прибегая к хирургическому вмешательству для извлечения вживленного контейнера из тела. Но теперь стало ясно, что оборотной стороной этой бесспорно удобной возможности оказываются дополнительные риски для жизни пациента, исходящие от вредоносных хакерских атак.
Для экспериментов выбрали дефибриллятор-кардиостимулятор Maximo фирмы Medtronic как типичный по конструкции и распространенный на рынке аппарат. Демонстрация была проведена именно на типовом, серийном устройстве, однако исследователи подчеркивают, что обладателям медицинских имплантатов пока рано опасаться коварных преступников, замышляющих их изощренное убийство через канал беспроводной связи. Для реализации этой идеи ученым потребовалось около года работ и электронное оборудование на сумму около 30 тысяч долларов. По мнению Фу, крайне маловероятно, чтобы сегодня кто-нибудь сумел применить для перепрограммирования биомедицинских устройств общедоступные средства беспроводной связи. Как показали эксперименты, чтобы изменить рабочие параметры, нужно не только приблизиться к пациенту на расстояние около нескольких сантиметров, но и обеспечить сильное магнитное поле. На больших расстояниях создать поле достаточной интенсивности без специального оборудования крайне затруднительно.
Иначе говоря, подобная атака чересчур сложна, если рассматривать ее как способ изощренного убийства больного. Но ведь и цель исследовательской работы была отнюдь не в том, чтобы создать такой способ.
Имплантируемые медицинские устройства отслеживают и поддерживают определенные физиологические условия в организме, помогая пациентам вести нормальную жизнь. Сегодня применяются имплантаты множества разных типов, включая кардиостимуляторы и сердечные дефибрилляторы, системы подачи лекарств, нейростимуляторы, заглатываемые камеры-капсулы. Такого рода техника помогает лечить многие недуги - от сердечной аритмии, диабета и потери слуха до болезни Паркинсона, хронических болей, навязчивых неврозов, депрессии, эпилепсии и недержания. Количество людей с медицинскими имплантатами исчисляется десятками миллионов.
Кардиостимуляторы и дефибрилляторы созданы для лечения отклонений в работе сердца. Кардиостимулятор автоматически подает в сердечную мышцу слабые электрические импульсы, задавая нормальный ритм в те моменты, когда собственный ритм сердца замедляется. Современные дефибрилляторы тоже включают в себя функции кардиостимулятора, однако главная их задача состоит в ином. Дефибрилляторы - это устройства, подающие резкие электрические разряды в сердечную мышцу, если сердцебиение становится опасно быстрым или хаотическим. Такие разряды могут восстанавливать сердечный ритм, не доводя дело до приступа, то есть до остановки сердца, влекущей смерть человека в течение нескольких минут.
После того как клинические испытания показали, что подобные устройства могут ежегодно спасать жизнь многим тысячам людей с больным сердцем, имплантируемые дефибрилляторы превратились в очень прибыльный, многомиллиардный бизнес. Конструктивно аппарат представляет собой небольшой контейнер со встроенной батарейкой, который имплантируется в мышцу ниже ключицы (у пациентов-правшей обычно с левой стороны, у левшей справа), а к сердцу подключается изолированными проводами. Эти провода используются для работы сенсора, следящего за ритмом сердца, а также для подачи электроразряда при наступлении опасной для жизни ситуации. Когда заряд батарейки иссякает - сейчас этот срок составляет от 4 до 7 лет, - коробочку дефибриллятора приходится заменять, однако провода остаются на месте.
Технологии, лежащие в основе имплантируемых медицинских устройств, развиваются очень быстро. Поэтому практически невозможно предсказать, что будут представлять собой эти аппараты даже лет через пять-десять. Но специалисты уверены, что в будущем этим устройствам предстоит все больше опираться на беспроводную связь, Интернет и вычислительные способности новых процессоров. Электронные имплантаты смогут вести сложное общение с другими устройствами в их окружении, что, в свою очередь, обеспечит более эффективное лечение средствами телемедицины и дистанционное наблюдение врачей за состоянием здоровья пациентов. Также вполне возможно, что в тело пациентов будут вживлять сразу несколько взаимодействующих устройств-имплантатов.
Принимая во внимание все эти тенденции, эксперты по безопасности считают, что сейчас самое время озаботиться вопросами защиты информации и приватности, которые бесспорно важны для больных, использующих медицинские имплантаты. Ведь несмотря на очень быстрый и впечатляющий прогресс в технологиях, у создателей медимплантатов по сию пору имеется лишь смутное представление о том, как сочетать информационную безопасность и приватность с медицинской безопасностью и эффективностью лечения. Весьма продвинутые методы обеспечения охраны здоровья и недопущения случайных несчастий совсем не обязательно предотвращают преднамеренные сбои в работе и другие проблемы, относящиеся к сфере информационной безопасности. Отыскание оптимального баланса этих факторов со временем будет становиться все более важной задачей при обеспечении дальнейшего развития медицинских имплантатов.
До появления вышеупомянутой работы о хакинге дефибриллятора, по-видимому, не было ни одного строгого в научном смысле исследования, посвященного анализу инфозащиты в коммерческих устройствах-имплантатах. Авторы исследования считали одной из главных целей выяснение вопроса о том, могут ли злоумышленники создать свое собственное оборудование, способное осуществлять беспроводные коммуникации с вживленным в тело имплантатом. Используя доступные компоненты - антенну, радиоаппаратуру и персональный компьютер, - ученые обнаружили, что в принципе это возможно: посторонние могут подключаться к радиоканалу, передающему чувствительную информацию о пациенте и медицинские телеметрические данные о работе устройства.
Главная причина в том, что имплантаты передают информацию о больных и телеметрию без какого-либо шифрования. Благодаря этому перехватчик получает доступ к имени пациента, медицинской истории больного, дате рождения и тому подобным данным. С помощью созданного ими оборудования ученые смогли полностью отключать или перенастраивать терапевтические установки, хранящиеся в памяти имплантата. Это означает, что злоумышленник может сделать устройство неспособным к надлежащей реакции в случае опасных признаков сердечной активности. Более того, можно даже заставить устройство подавать электроразряды, способные вызвать желудочковую фибрилляцию, то есть аритмию сердца с потенциально смертельным исходом.