据《麻省理工科技评论》报道,一组安全学术研究人员成功实现远程入侵并控制外科手术机器人。
远距手术(可能更为人所知的叫法是”遥控手术”)确如其名。简单地说,就是医生端坐在位于世界某个地方的计算机跟前(装有高度专业化的软硬件),控制世界另一端的机器人为病人进行手术。要是有人看过远距手术的帐单就会发现,这种在医生操控下由机器人进行的手术的费用,实际上要比医生直接动手术便宜,尤其是涉及车马费的情况。
因此,高水平医生可以利用远距手术对位于世界某个地方的病患进行重要手术,而不必亲自前往。运用这种技术后,全球会出现(相对)便宜的医疗流程,有潜力带来非常高的收入。但是,正如您所猜测到的,某些远距手术设备和协议脆弱不堪,很容易受到危险的电子攻击。
在此案例中,华盛顿大学的研究人员在信息物理交互专家Tamara Bonaci的领导下,有针对性地研究了开展远距手术所必需的通信技术。研究人员发现,不仅能对远程开展的手术进行监视或破坏,甚至可以全面劫持这些手术。
如《麻省理工科技评论》中所述,早期的远距手术是通过专用光纤线路进行的。假设手术中涉及的所有机器都没有中间件,那么这种策略是非常安全的,但费用也出奇的高。很不幸,在外科医生与病患之间采用了直接的专用线路后,远距手术的这种高额收入就逐渐消失了。为了使远距手术顺利进行,从财务角度说,远距手术必须试着采用较便宜的通信解决方案,比如互联网。
Security Experts Hack Teleoperated Surgical Robot http://t.co/WiK6Efh05e
— MIT Technology Review (@techreview) April 24, 2015
到目前为止,现实世界中还没有以远距手术为目标的攻击,但我们都知道,互联网并不是那么安全。所以Bonaci及其朋友着手研究对Raven II手术机器人的攻击课题。在医生这边有机械装置,通过这些装置医生才能观察并控制在另一端实施手术的机器人。除了视频外,高级控制台还会向医生反馈触摸感觉,让医生能有在真实世界中做手术的感觉。
在医生这边是大型基于Linux的系统,而在病患这边是机器人操作系统,这两套系统通过公共互联网进行通信,在互联网中将使用专门设计的协议,称为”可互操作的远距手术协议”。
研究人员告诉《麻省理工科技评论》,全面接管远距手术设备非常简单,因为”可互操作的远距手术协议”是完全开放的公开可用协议。除此之外,研究人员还能够使发送给机器人设备的信号延迟,或者对医生通过互联网发送的信号进行更改,使信号不稳定。在许多案例中,研究人员都能触发机器人的自动停止安全机制,相当于执行拒绝服务攻击。
研究人员#攻击并全面#劫持Raven II远距#手术系统:
Tweet
也许最让人吃惊的是,Raven II的远距手术视频会在未加密的情况下在互联网上公开播放,这意味着任何人都能看到素材。
在测试中,研究人员针对命令在远距协议中构建了加密。构建加密后,对Raven II的手术能力(包括财务和性能)没有任何重大负面影响。但是,研究人员表示,加密视频对于Raven II系统来说行不通,因为这些系统通常会尝试使用在一定程度上受限的数据联网设备在世界远端开展手术。
据《麻省理工科技评论》报告称,远距医疗设备的销量以每年20%的速率在增长。