MITコース「コンピューターシステムのセキュリティ」。 講義15：医療ソフトウェア、パート3

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3

講義12：ネットワークセキュリティパート1 / パート2 / パート3

講義13：「ネットワークプロトコル」 パート1 / パート2 / パート3

講義14：「SSLおよびHTTPS」 パート1 / パート2 / パート3

講義15：「医療ソフトウェア」 パート1 / パート2 / パート3



次のスライドは、実際には発生しませんでしたが、デバイスがそれを見ると見なしたことを示しています。 患者がいなく、心拍がないため、直線が必要であることに留意してください。







興味を引くために、正弦波パルスを表すいくつかの異なる信号を試しました。 それは想像を絶する速さで打ち上げられた本当に正弦波でしたが、それでも心拍のリズムと一致しています。 毎秒パルスを送信しました-左側に表示され、右側に変調された信号が表示されていますが、少しうるさいです。



そのため、これはペースメーカープログラマーのスクリーンショットであり、リアルタイムでテレメトリー出力を示しています。 VPの上部にある小さな緑色のマークは、プログラマーがペースメーカーを心室のリズムに合わせて送ることを示しています。 ペースメーカーの意味は、人工心拍を作成すること、つまり、心臓組織の脈動を引き起こすことです。



興味深いのは、干渉を送信し始めたときに、プログラマーがVSまたは心室活動の感覚を受け取ったことです。 これらは、一番上の行にある3つの小さな紫色のマークです。 このおかげで、ペースメーカーは心臓が自然に鼓動していると考えたため、エネルギーを節約するために刺激をオフにすることにしました。 干渉の送信を停止すると、彼は再び心臓刺激を開始しました。



右側には、干渉が始まる場所と、刺激装置がそれに送信される心室活動の感覚をどのように知覚するかが表示されます。 彼は、心臓はそれ自体で機能し、心臓の活動を維持するためにエネルギーを費やす必要がないと考え始めます。 したがって、干渉を引き起こし、それによってマイクロプロセッサを欺くことができるため、彼は患者の心臓の良好な状態を信じています。



良いニュースは、生体外で生体外でのみ機能することです。 生理食塩水で、またはパラメータが実際の人体に近いものすべてでこれを行おうとした場合、これは基本的に機能しませんでした。 これは、人体が電波のエネルギーを吸収し、センサーによって実際に捕捉されないためです。 何よりも、3 cmの距離にある生理食塩水を使用した実験が得られました。スライドは、さまざまな研究グループが実験中に得たさまざまな媒体でのノイズの伝播の距離を示しています。







一般的に、これは、外部干渉によるインプラントの動作モードの変更を心配する特別な理由がないことを意味します。 しかし、他の重要な医療機器が干渉にどのように反応するかはわかりません。 インスリンポンプの動作はテストしていませんが、このようなデバイスにはさまざまな種類があります。 経皮グルコースセンサーがあり、誰かがそれを使用しても驚くことはありません。それらは非常に一般的ですが、外部干渉にどのように反応するかはわかりません。



アナログフィルターが良い信号と悪い信号を区別できるとは思わないので、フィルターをアプリケーションレベルに近づける必要があります。 テストした保護方法の1つは次のとおりです。 この方法にも制限がありますが、主なアイデアは次のとおりです。 あなたがペースメーカーであり、信頼できる信号を受信して​​いるかどうかを知りたいと想像してください。



これを行うには、時々、テストパルスを送信して敵の活動を制御し続けます。 電気生理学者と仕事をしたとき、私たちはそのような興味深いことを学びました。 最近、200ミリ秒以内のどこかですでに収縮した、つまり打った心臓に衝動を送ると、心組織は、休止状態にあるため、分極により電気的衝動を物理的に送ることができないことを学びました。







それで、心室収縮の直後に余分なインパルスが送信されたらどうなるかを尋ねました。 あなたのセンサーがあなたに言ったように、心臓が本当に打たれたなら、あなたは何の答えも得ないだろうと言われました。

したがって、心臓が200ミリ秒前に当たった後に心臓から電気信号が送信されることがわかった場合、これは前の脈拍についてだまされていたことを証明します。 これが発生した場合、意図的な電磁干渉を受けます。







したがって、主な考え方は、結果の信頼性を高めるために人体の生理学に関する知識に依存して、この問題を再度調査することです。 別のアプローチは、電磁干渉が光の速度で伝播するため、心臓のリズムの遅延の伝播の場合を考慮しなかったことです。 体の異なる部分に2つのペースメーカーセンサーがあり、同時に同じ心臓信号を受信する場合、明らかに何か問題があります。 電気化学的遅延は、迷走神経からの電気信号のように、心臓を上下に移動するためです。



生理学的信号が信頼できるかどうかを確立しようとする方法は他にもありますが、これはまったく新しい理論です。 この分野ではほとんど何も行われていないので、大学院および学部の研究における多くの興味深いプロジェクトを提供しています。







次に、コンセントからマルウェアを検出できる別のプロジェクトについて説明します。 数年前、私の生徒の一人であるシェーンは、「ねえ、私はこのコンセントを設計したので、今どのサイトを見ているのかわかるようになった」と言った。 彼は、無効電力のいわゆる位相シフトを測定する従来のコンセントに敏感な抵抗器を挿入しました。 これは主に、コンピューターに情報をダウンロードするためのプロキシに関係します。







このセンサーのおかげで、彼はコンピューターのプロセッサーが負荷をどのように変化させ、これが消費電力のパラメーターにどのように影響するかを知ることができます。 これは新しいことではありません。 誰がそのような用語を聞いたことがあります-テンペスト保護？ 私はあなたを知っています。 テンペストは長年にわたって存在しています。 あらゆる場所から信号が漏れるので、信号漏れを止めるための技術があります。 私はすべての古いコンピューターを保持するのが好きです-exoコアを備えたマシンも持っています。これは古いPentium 4です。これらは、高度な電源管理ができる前にリリースされました。 したがって、古いPentiumの電力消費量を測定した場合、プロセッサの負荷に関係なく、電力消費量は変化しません。



彼が閉ループで働いていたか、計算プロセスの処理に従事していたかは関係ありません。 しかし、デスクトップコンピューターであろうとスマートフォンであろうと、最新のコンピューターを購入する場合、エネルギー消費はワークロードに依存します。 そこで、ショーンはこの事件で何が起こっているのかを発見した。



変更が非常に難しい組み込みシステムがあり、安全機能を装備したい場合は、インテリジェントな延長コードを使用できます。







機械学習を使用して、消費電力の周波数領域を分類します。 どのくらいの電力を消費するかではなく、どのくらいの頻度で消費するかを追跡します。



ヒントを教えてください。 マルウェアに感染した医療機器があると想像してください。 このウイルスが数分ごとに起動してスパムを送信するとします。 これはどのように電力消費を変えることができますか？

そうです、数分ごとにスリープ割り込みがトリガーされ、プロセッサーが起動します。 これにより、おそらくメモリリソースの必要性が高まります。 彼は、いくつかのサイクルを完了するか、以前は一定の作業指示のセットだったものにいくつかの追加サイクルを挿入します。



医療機器は、汎用コンピューターとは異なり、少数の命令セットを実行しますが、これは彼らの仕事の一般的な状況です。 したがって、マルウェアを突然取得すると、すぐに電力消費パターン、電力動作が変更され、これにより、マルウェアを追跡できます。 フーリエ変換を行い、機械学習を含む他の「マジック」テクノロジーを適用します。 悪魔は詳細にあります。 機械学習を使用して、非常に高い精度と最小限のエラーでマルウェアやその他の異常の存在を判断できます。







これは、ショーンが数年間取り組んでいるプロジェクトです。 彼はもともとこのプロジェクトを作成して、閲覧しているWebサイトを判別しました。 残念なことに、彼はまさにこの目的のために会議の山でそれを発表し、誰もが彼に言った：「さて、なぜあなたはこれが必要なのですか？」 ただし、Alexaが評価した上位50サイトを選択したため、これは非常に有用であることが判明しました。 そして、コンピューターのエネルギープロファイルを編集して機械学習に使用し、非常に高い精度で、他のコンピューターのどのサイトにアクセスしたかを判断することができました。 これが一般的に機能することに本当に驚きました。 そして、なぜこれが可能かを正確に知ることはできませんが、Drupalウェブサイトのコンテンツ管理システムが原因であると強く疑っています。



まだEmacs HTMLを書いているのは誰ですか？ 素晴らしい、私も。 私のサイトでこれらすべてのエラーが発生しているのはそのためです。 しかし、数年前、特に教育機関で活発な動きがあったため、コードは自動的に通常の構造に従うWebページコンテンツファイルを作成しました。 たとえば、cnn.comにアクセスすると、右上隅に広告が常に表示され、フラッシュアニメーションがちょうど22秒続きます。 したがって、このページに入ると、コンピューターのプロセッサが処理を開始します。つまり、Webブラウザーは通常のエネルギー消費パターンに影響し、その変更はこの特定のサイトの特性として修正できます。



自信を持って分類できなかった唯一のサイトはGoDaddyでした。 この問題はセキュリティの問題とはほど遠いため、理由はわかりませんが、それほど気にしません。







さまざまなクリニックの同僚を助けるとき、彼らはしばしば助けを求めてあなたに再び話します。 私たちは、発展途上国、特にガーナでペースメーカーを提供する際の問題に関連する興味深いプロジェクトの1つに取り組み、文字通り患者に第二の人生を与えました。 あなたの国にヘルスケアシステムがない場合、ペースメーカーと外科医のチームで40,000ドルを得るのは非常に難しいからです。



彼らは欠陥のあるペースメーカーと除細動器の修復に従事し、その後滅菌されました。 これはかなり興味深いです。 すべての発熱物質（発熱の原因となる物質）を除去するには、エチレンオキシド付きのガス室を使用して滅菌する必要があります。 これらのデバイスは滅菌され、患者に再移植されます。 写真のこの紳士は、彼にとっては死刑判決である、遅い心拍数に苦しんでいました。 しかし、彼はペースメーカーを手に入れることができたので、これは彼に余命を与えました。



そのため、彼らが私たちのところに来た問題は、これらのデバイスがまだ使用されていなかったので、それらがまだ安全であることを彼らがどのようにして見つけることができるかでした。 明らかに、バッテリーの寿命を見ることができます-これが最初にすることです。 電荷が低すぎると、デバイスを移植できません。 他のことはどうですか？ たとえば、金属が少し錆びている場合はどうなりますか？ 不整脈を正しく認識できるかどうかを確認するために、デバイスを最初から最後までどのように確認できますか？



私の研究室の学生は、ペースメーカーに心臓の不整脈、正常な心拍数の正弦波以外の異常に相当する電気を送る特別なテスターを作成しました。



ペースメーカーは、自分が患者とつながっていると考え、反応し始めます。 次に、答えをチェックして、実際に心臓不整脈を診断するかどうか、および実際に救助ストロークを正しく送信するかどうかを確認します。



この開発は現在、使用の承認を得るために完全なFDA監査プロセスを受けています。 これまでのところ、これは「私の心はあなたの心」と呼ばれる不完全なプログラムです。 興味がある場合は、彼女に関する詳細情報を見つけることができます。



さらに、医療機器メーカーのコミュニティと頻繁にやり取りします。 毎年夏に彼らをアナーバーの医療機器安全センターに招き、診療所の管理を担当する診療所とともに、一般的なテーブルで医療機器に関する苦情や懸念を共有します。 私たちには、既存のすべての問題を単純に示した会社が1つありましたが、医療機器のメーカーに頼る人はいません。 これはコミュニケーションの新しい文化です。



したがって、セキュリティ分析やリバースエンジニアリングを行った人がいるかどうかはわかりません。 数人の人がいます。 これは非常に細心の注意を払ったもので、ほとんど芸術です。命が危険にさらされているため、生産、特に医療機器の生産において社会的要素を扱っているからです。 この種の問題を実際に修正できる人と共有することは非常に困難です。 したがって、これにはしばしば個人的な連絡が必要です。



もっと時間を節約したいです。 私たちは5分か10分あると思うので、私たちはいくつかの質問があることを願っています。 しかし、私はいくつかの神話を払拭したいと思います。 おそらく、ハッカーが医療機器に侵入する方法に関する多くの新聞の見出しとテレビ番組をご存知でしょう。 おそらくこれは問題ですが、これが唯一の問題ではなく、さらに最も重要な問題でもありません。 実際にさらに2つの重要な問題があるため、セキュリティを分析するときにこれを問題と考えることは困難です。



1つ目は、患者ケアが利用できないために、デバイスに大規模にアクセスできないことです。 したがって、外部の敵については忘れてください。同じオペレーティングシステムで動作するため、医療機器に偶然侵入する悪意のあるプログラムがある場合はどうでしょうか。 50,000個の注入ポンプが同時に故障するとどうなりますか？ この場合、適切な患者ケアを確保することは非常に困難です。



同僚の一人が、彼のカテーテル検査室が閉鎖されたと書いてくれました。



カテーテル検査室は比較的新しい専門分野です。 これは、最小侵襲手術のための特別なタイプの手術室です。 看護師が偶然USBドライブからウイルスを持ち込み、そこから家族の写真をYahooに転送したかったため、彼らは診療所のそのような実験室を閉鎖しなければなりませんでした。 どういうわけかマルウェアは内部に入り、カテーテル検査室に感染しました。 したがって、彼らはそれを閉じて、すべての作業を停止する必要がありました。



血管形成術を待っている場合、この特定の医療センターは利用できません。 バックアップセンターの1つを使用する必要があります。 したがって、医療スタッフが医療機器を利用できるかどうかは、安全性の観点から忘れられがちな重要事項の1つです。







2番目の重要な問題は、センサーの完全性です。 医療機器がマルウェアに感染している場合、その作業は、開発者が予見できなかった方法で変化します。 これは非常に簡単な例です。 いくつかのマルウェアがタイマーに入るとしましょう。 彼らは彼を起こして、ネットワークパケットとスパムを送信します。 少し時間がかかります。 医療機器がセンサーの中断を完全に制御して測定値を収集し、中断がスキップされると想定した場合はどうなりますか？ おそらく、このセンサーは医療機器の電力設定を調整しますが、マルウェアのために次の証言を逃しました。 このため、デバイスがセンサーから誤ったデータを受信したため、患者の誤った診断を開始する可能性があります。 したがって、私は医療用センサーの完全性について非常に心配しています。

ハイリスク妊娠モニターがウイルスに感染し、誤った測定値を示したという報告がいくつかありました。 高度な資格を持つ医師がそのような証拠を見て、これはナンセンスだと言うことができるのは良いことです、私のデバイスはそのような数字を出すことができません。 また、センサーの完全性を確保し始めない場合、センサーの安全マージンを減らすことに注意する必要があります。



前述したように、医療機器がリリースされた後に医療機器に変更を加えることは非常に困難です。 インターネット上のソフトウェアを変更するのは難しいと思いますか？



医療機器でこれを試してください。 私は彼のMRIがまだWindows 95で実行されている病院の男性に会いました。OS/ 2で実行され、ごく最近Windows XPにアップグレードされたペースメーカープログラマがいます。



したがって、医師は本当に古いものを持っているので、実際に彼らの安全性を変えることは非常に難しいです。 不可能ではありませんが、臨床ワークフローを中断する必要があるため困難です。







- , . , , . .



, , Gmail . , «», .



- , «». , . : « Dos Equis, ?», – , -, .



, , . , . , , — . , « , ». . , , , , «» , ?



– , . , , , . , , , , , ? ? , , … .



, , , , . , , .

, , , , . , CBC, , . , .



, , « ». . , , ? , ?







, , . , , , !



: « , . , . , -? ? , ? , 30 ». , , . , . . -, , . , , .



, . -, . .



. , , . , .



, , , , . . — . , .



, 5-10 , . . , . , , , - .







: ?



: , , . , , — . . , . . . , , , . , , .



. , . . , . , , , , . . , , .



: , , — , , , . .



: , , , , , ? . , , . — , .







, , , .



, , . — , , . -, «- » CHS, Mandiant. , . , , . — , ? , , (, 2013 , 180 206 29 ).



. , , , , .



, , , . , , . , , , .





コースの完全版はこちらから入手できます 。



, . 私たちの記事が好きですか？ ? 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？