遠端手術儀器存在遭駭風險

2015-05-12 根據麻省理工學院的科技創業雜誌報導,學術安全研究人員團體遠端駭入並控制用來執行遠距離手術的機器人。 遠距離手術名符其實,較為人所知的名稱是遠程手術。簡單來說,就是醫生在電腦前,以極為專門的軟體及硬體裝置,從世界的某處操控機器人來執行世界另一端的手術。對尋求經濟的手術、人類操控、機器執行的手術的人而言並不奇怪,且實際上比由人類親自執刀的手術來得便宜,特別是需要跨海求醫的情況下。 因此,遠程手術提供高水準的專業醫生,對居住在缺乏高醫療水準外科醫生區域的病患執行緊急手術,不需遠渡重洋。這項科技開啟了全世界對於價格相對低廉的醫療手術的巨大潛在性商機。不過,您應該也猜想到了,有些遠程手術的裝置及通訊協定在電子干擾攻擊面前仍然是有弱點的。 在此情形下,網路實體互動專家Tamara Bonaci所帶領的華盛頓大學研究人員,對通訊技術之於執行遠程手術的必要性為目標進行研究。研究人員不僅發現有監視或干擾遠程手術的可能性之外,還有可能會面臨手術執行遭到全面劫持。 如同麻省理工學院科技創業雜誌的記載,早期遠程手術是透過專用光纖線路進行。此作法成本高昂,同時若所有機器皆未受到惡意程式感染則為安全。不幸的是,若當外科醫生和病患之間使用專線時,遠程手術的經濟效益便會消失殆盡。為了使遠程手術維持經濟效益並運作順利,遠程外科醫生不得不利用相對便宜的通訊方式,像是網際網路來作業。 關於這一點,實際生活尚未發生以遠程手術作業為目標的攻擊,但我們都知道網路並不安全,所以Bonaci和他的朋友們去攻擊Raven II醫療機器人。醫生端可透過機器設備觀查並控制另一端的機器人執行手術,除了影像,較為先進的主控台也可提供觸控感應的回饋給外科醫生,讓醫生擁有實際執刀的感受。以Linux作業系統為基礎的大型機器位於醫生端,機器人作業系統則在另一端,利用特別設計的通訊協定,稱為互通式遠程手術通訊協定的公共網路連線。 研究人員告訴麻省理工學院科技創業雜誌,要完全的控制遠端手術裝置是非常容易的,因為互通式遠程手術通訊協定完全開放給大眾使用。除此之外,研究人員也能延遲傳送給機器人裝置的訊號,或修改外科醫生透過網路傳送的訊號使其運行異常。多數案例中,研究人員都能觸發機器人的自動停止安全機制,執行多次的阻斷服務攻擊。 大部分的人或許好奇,Raven II遠程手術作業的影像可透過未加密的網路公開播放,代表每個人都能觀看手術實況。 在測試案例中,研究人員在遠程手術通訊協定中使用指令建立加密機制。它對Raven II執行手術的能力在經濟或效能面不會產生重大不良影響,然而,他們提到嘗試對在世界偏遠地區以有限的資料傳輸設備執行Raven II系統的遠程手術影像加密,作法並不可行。 麻省理工學院科技創業雜誌報導中亦提及了遠程醫療手術裝置的銷售量每年正以20%的比率持續攀升。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 來源:卡巴斯基官方部落格 原文網址:https://blog.kaspersky.com/hacking-robotic-surgeons/ 原文標題:Hacking the Robotic Surgeon’s Hands and Eyes