@ 2012.12.16 , 20:13

心脏起搏器真的能被黑吗?

[-]

又是一个周日,又是众多美剧更新的日子,当然也包括 Showtime 最近热播的《国土安全》(Homeland)第二季。今天所更新的这集是第二季的 finale,虽然剧情变得越来越狗血,不过想看第三季的人想必还是占多数,而这可是长达10个月的漫长等待。

下面有第二季关键剧情,还没有看到第10集“Broken Hearts”的蛋友们,友情提醒,有剧透。

回忆近两周前大家看完第10集的感受,普遍是:一,剧情真是太扯淡了,Abu Nazir 作为一个受过高等教育,有理想有抱负的复仇者,竟然摇身一变成为了一个没有大脑的恐怖分子;二,副总统的死法真猎奇,心脏起搏器也能被黑

当时kb也怀着类似的心情疑惑了两天,最后在 Google 中输入“can a pacemaker be hacked?”,结果看见了一大堆结果。粗看了一下,发现副总统的死法还是有科学依据的。

[-]

副总统之死可能是第二季的一个剧情□□——在安保措施严密的华盛顿美国海军天文台(Naval Observatory in Washington D.C)内,美国副总统在办公室里,抓着自己的胸,无法呼吸,也无法叫医生,最后被心脏起搏器和 Brody 给杀死了。

在这个精心制作,煞费苦心的情节中,恐怖分子通过 Brody 获得了副总统心脏起搏器唯一的设备编号。之后恐怖分子方的黑客就开始对起搏器进行远程控制,然后给予起搏器产生强烈脉冲电流的命令,造成了致命的电击。

[-]

虽然黑客身在贝鲁特,几千里之外取人性命这一点听起来有点扯,但是黑客事件完全可行。在今天,全世界至少有几百万人依赖这些机器生活。但是随着人类体内的电子设备越来越多,它们的安全问题也变成了影响人类性命安危的重大问题。大家或许习惯了看网站被黑,电脑中毒的新闻,但是却没有想过我们体内的电脑也暴露在同样的风险中。

[-]

植入设备出现至今已有几十年历史,但是直到最近几年才走入寻常百姓家。医生可以从这些设备中采集有价值的数据——不过这些被使用的设备大部分都没有进行加密,也没有适当的防御机制。不像一般的电子设备可以进行固件升级,植入人体内的电子设备是无法简单进行更新的。另外,要在这些设备上添加安全模块,最大的一个限制是这类设备的“续航能力”。

到目前为止,还没有出现因为这样的黑客攻击而造成的死亡事件。不过从技术角度来说,如果有心怀恶意的人以攻击他人心脏起搏器等医疗电子设备的方法致人死地,这种攻击会是不留痕迹,无法被检测到的。

安全专家 Marc Goodman 解释了为什么这种黑客行为难以察觉:

“就算是死者的尸体同时被若干个顶尖验尸官检查,又有哪个验尸官能够做这种精密的计算机远程操控调查呢?另外,医疗设备被外界强制干预,在死者体内可能找不到证据,而验尸官的工作通常是在死者的身体里找到死亡的原因。他们一般来说,想到致死原因在几千公里以外的中东的某个服务器里的可能性可以说接近于零。”

自从2008年,医疗电子设备的安全缺陷逐渐被大众认识之后,此类攻击事件数量就陡然上升了很多。

曾经,黑掉一台无线电发射器的设备可能要花费几百万美元;去年一名研究者用一个 Arduino 无线通信模块黑掉了自己的胰岛素泵(insulin pump),该无线通信模块售价还不到20美元

[-]

迈克菲(McAfee)的研究员 Barnaby Jack 在今年4月演示了一个如何打乱胰岛素泵无线通信的系统。只需在自己电脑上按下一个键,它就能让在离自己半径300英尺范围内的所有胰岛素泵一次性将所有胰岛素全部注射给病人——这个操作甚至不需要设备识别码等信息。之后,在另一场会议上,Jack 又向大家展示了自己的反向工程成果:用电脑让一台距离在50英尺内的植入型心脏起搏器产生830伏特的电击。

[-]
Barnaby Jack 正在使用人性模特模拟如何黑掉一台胰岛素泵

近年来电子医疗设备的安全问题也受到了越来越多的重视。麻省理工学院的研究小组开发出了一种“噪音盾”("noise shield"),它能够屏蔽特定类型的攻击——但是这种技术却引起了一些电信运营商的不满,他们需要维护自己的频段。之前也曾有讨论建议使用超声波来测量无线电发射器离医疗设备的距离——这主要是用于抵御远距离的攻击。一研究小组针对那些体内有不只一个电子设备的病人,开发出了一种“生物统计心跳传感器”(biometric heartbeat sensors)。该传感器能让一个身体以内的电子设备保持“联络”,互相“监督”,不让其它设备和信号有机可乘。

不过这一领域的安全技术相对来说还十分落后。在美国各个州的医院里,恶意软件和病毒感染的发生率逐年攀高,一些办公用的电脑所运行的 Windows 系统比较老,很容易被攻破和感染病毒。另外,由于医疗器械的敏感性和特殊性,就算有了相应的安全模块,很多医疗器械厂商也拒绝安装和采用。他们对第三方的改动一直就非常警惕。

要阻止这种计算机犯罪活动,最好的方法是医疗器械厂商充分重视这个问题,并与计算机安全领域的专家取得合作,将安全模块内置在设备之中——至少这应该是第一步。

本文译自 Forbes ,由 keep_beating 编辑发布。

赞一个 (3)