阻礙網(wǎng)絡(luò)安全的三大關(guān)鍵因素

物聯(lián)之家網(wǎng)
冬夜編譯
生活中,我們經(jīng)常聽說一些網(wǎng)站受到黑客攻擊,其實一些智能設(shè)備更容易受到黑客攻擊,只是我們不知道而已。據(jù)悉,Abbott公司生產(chǎn)的心臟起搏器和其它心臟設(shè)備存在很大的安全問題,現(xiàn)如今已被美國食品和藥物管理局(FDA...

生活中,我們經(jīng)常聽說一些網(wǎng)站受到黑客攻擊,其實一些智能設(shè)備更容易受到黑客攻擊,只是我們不知道而已。據(jù)悉,Abbott公司生產(chǎn)的心臟起搏器和其它心臟設(shè)備存在很大的安全問題,現(xiàn)如今已被美國食品和藥物管理局(FDA)召回。

美國食品和藥物管理局(FDA)最近召回了由Abbott公司生產(chǎn)的大約465,000個心臟起搏器,這些心臟起搏器容易受到黑客攻擊,而這種情況也表明了一個持續(xù)存在的安全問題。

召回的原因是什么?這些設(shè)備可能會被黑客遠(yuǎn)程入侵,以增加心臟活動量或縮短電池壽命,進(jìn)而可能危及病人生命。另據(jù)報道,很大一部分心臟起搏器可能裝在澳大利亞患者身上。

然而,使遠(yuǎn)程可訪問的人體植入物成為理想選擇必須具備——低成本、低維護(hù)電池、小尺寸、遠(yuǎn)程訪問,這進(jìn)而使得確保此類設(shè)備的安全成為一個嚴(yán)峻挑戰(zhàn)。

三個關(guān)鍵問題阻礙了網(wǎng)絡(luò)安全:

1、大多數(shù)嵌入式設(shè)備沒有內(nèi)存或電源來支持正確的加密、安全性或訪問控制。

2、醫(yī)生和患者更喜歡方便和易于訪問而不是安全控制。

3、遠(yuǎn)程監(jiān)控是嵌入式設(shè)備的一項寶貴功能,也使它們?nèi)菀资艿焦簟?/p>

Abbott公司的處境

根據(jù)FDA的規(guī)定,召回Abbott的心臟起搏器不涉及手術(shù)。相反,可以通過醫(yī)生更新設(shè)備的固件。

心臟起搏器的弱點似乎是哪些擁有“商用設(shè)備”的人可以向起搏器發(fā)送命令,更改其設(shè)置和軟件。“修補(bǔ)”版本可以防止這種情況發(fā)生——它只允許授權(quán)的硬件和軟件工具向設(shè)備發(fā)送命令。

Abbott公司淡化了風(fēng)險,堅稱465,000臺設(shè)備中沒有一臺被報告為泄密。

但是,對個人醫(yī)療設(shè)備的網(wǎng)絡(luò)安全攻擊擔(dān)憂并不是新鮮事。

醫(yī)療設(shè)備現(xiàn)在是物聯(lián)網(wǎng)(IoT)的一部分,其中小型電池供電的傳感器與嵌入式和定制計算機(jī)以及無線電通信(Wi—Fi、藍(lán)牙、NFC等技術(shù))相結(jié)合,正在以前沒有考慮過網(wǎng)絡(luò)安全領(lǐng)域得到廣泛應(yīng)有。

這場世界沖突帶來了特殊的挑戰(zhàn)。

1、權(quán)力與安全

大多數(shù)嵌入式醫(yī)療設(shè)備目前沒有內(nèi)存、處理能力或電池壽命來支持適當(dāng)?shù)拿艽a安全、加密或訪問控制。

例如,根據(jù)卡內(nèi)基梅隆研究人員的說法,使用HTTPS(一種加密網(wǎng)絡(luò)流量以防止竊聽的方式)而不是HTTP,會因為代理的丟失而使一些手機(jī)的能耗增加30%。

傳統(tǒng)的加密套件(用于證明身份和保密傳輸?shù)乃惴ê兔荑€)是為計算機(jī)設(shè)計的,涉及復(fù)雜的數(shù)學(xué)運算,超出了小型廉價物聯(lián)網(wǎng)設(shè)備的能力。

一個新興的解決方案是將加密技術(shù)轉(zhuǎn)移到專用硬件芯片中,但是這會增加成本。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)也正在開發(fā)專為低功耗物聯(lián)網(wǎng)設(shè)備設(shè)計的“輕量級”加密套件。

2、便利與安全

醫(yī)生和患者不希望總是必須登錄這些醫(yī)療設(shè)備。必須保持用戶名、密碼和加密密鑰方便和安全的前景與他們打算使用它們的方式相反。

也沒有人希望必須登錄他們的烤面包機(jī)或冰箱。幸運的是,智能手機(jī)的普及以及它們作為“智能”物聯(lián)網(wǎng)設(shè)備的接口,正在改變用戶在這方面的行為。

然而,當(dāng)您的心臟起搏器失靈并且救護(hù)車到達(dá)時,您是否真的有時間(或能力)找到設(shè)備序列號和身份驗證詳細(xì)信息以便提供給醫(yī)護(hù)人員?

3、遠(yuǎn)程監(jiān)控與安全性

外科植入物在需要移除或替換時存在明顯的醫(yī)療風(fēng)險。因此,對于使用這些設(shè)備的患者來說,遠(yuǎn)程監(jiān)控?zé)o疑是一項拯救生命的技術(shù)。

患者不再依賴低電量時的“嗡嗡”警告,如果設(shè)備出現(xiàn)故障,醫(yī)生可以順利遠(yuǎn)程更新其軟件。

不幸的是,這個遠(yuǎn)程控制功能產(chǎn)生了一種全新類型的漏洞,如果您的醫(yī)生可以遠(yuǎn)程更新軟件,其他人也可以。

未來的安全設(shè)備

連網(wǎng)嵌入式醫(yī)療設(shè)備的安全性是一個“邪惡”問題,但解決方案即將出現(xiàn)。

未來,我們可以期待為低功耗、低內(nèi)存和低容量設(shè)備設(shè)計的低成本加密硬件芯片和標(biāo)準(zhǔn)化密碼套件。

原文作者:James H.Hamlyn-Harri

(原標(biāo)題:心臟起搏器容易受到黑客攻擊的三個原因)

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論