當黑客侵入了某台裝置後,他們就潛伏在那裡,将這台儀器作為永久基地,從那裡偵測整個醫院的網絡
“fda似乎要等到真的有人被殺死才會說,‘好吧,是的,這是我們需要擔憂的問題’”
2013年秋,比利·裡奧斯(billy rios)從他位于加利福尼亞州的家中飛往明尼蘇達州的羅切斯特,來到全球最大的非營利性綜合醫療機構梅奧診所(mayo clinic)接受一項任務。裡奧斯是一位“白帽”黑客,也就是說客戶會雇用像他這樣的人侵入自己的電腦系統。他的客戶名單包括五角大樓、主要的國防承包商、微軟、谷歌和其他一些他不友善透露的名字。他擺弄的對象包括武器系統、飛機零件甚至電網,侵入華盛頓州最大的公用事業區的網絡,向官員們展示他們可以如何改進公共安全。相比之下,梅奧診所的這項任務顯得平淡得多。他猜想自己隻需要做一些例行的尋找漏洞的工作,單獨一人在整潔安靜的房間裡忙活一周就行了。
但當他抵達這裡時,他驚訝地發現會議室裡滿是熟悉的面孔。梅奧診所召集了一個全明星陣容,這些人裡面有大約一打電腦高手、來自這個國家最大的一些網絡安全公司的調查員以及在黑帽技術大會(black hat)和年度黑客大會(def con)這類會議上技驚四座的那種黑客。這些研究人員被分成幾組,醫院管理人員将大約40種不同的醫療裝置擺在他們面前。竭盡所能搞破壞,使出一切黑客手段來攻擊它們——這就是研究人員接到的指令。
如今醫療裝置都聯網了,就像手提電腦和智能手機,這些裝置運作着标準的作業系統,活在網際網路上。和包括汽車與花園噴灑器在内的物聯網的其他組成部分一樣,它們與伺服器相通,許多裝置可以被遠端控制。對裡奧斯來說,有一點變得顯而易見,就是醫院的管理人員的确有很多理由擔心黑客。
裡奧斯稱:“每一天,那場面就好像是菜單上的每一台裝置都被碾壓了一樣。情況非常糟糕。”這些工作小組沒有時間去深入研究他們所發現的這些裝置的弱點,這在一定程度上是因為他們發現了太多這樣的問題——毫無防禦能力的作業系統、無法更改的通用密碼等。
從這些白帽黑客的入侵活動中發現問題的梅奧診所向其醫療裝置供應商提出了新的安全要求,規定在簽訂采購合同前對每台裝置都進行測試,以確定它們符合标準。裡奧斯對這家醫院的舉動表示贊賞,但他知道隻有為數不多的醫院擁有足夠的資源和影響力可以做到這一點,而且他在完成這項工作時已經深信不疑:醫院遲早會被黑客入侵,受到傷害的會是病人。由于職業關系,他獲得了深入窺探各種敏感行業的特權,而醫院看起來至少比标準的安全水準落後了10年。裡奧斯稱:“有人會采取進一步舉動。隻要有人開始嘗試,他們就能夠做到這一點。阻止他們下手的唯一手段就是指望他們能良心發現。”
裡奧斯現年37歲,曾在美國海軍陸戰隊效力,而且參加過伊拉克戰争。在海軍陸戰隊服役期間,裡奧斯為信号情報部門工作,後來在美國國防部資訊系統局謀得差事。他的家庭辦公室被電腦、一台焊接機和大量醫療裝置擠得滿滿的。
在完成梅奧診所的工作後不久,裡奧斯訂購了他的第一台醫療裝置——hospira公司制造的一台symbiq打點滴泵。他沒有刻意針對某個特定的制造商或産品型号展開調查;他隻是碰巧在ebay上看到了售價大約為100美元的這麼一台裝置。在沒有得到某種許可的情況下購買這樣一台裝置是合法的嗎?他感到困惑。
在每一間病房裡幾乎都可以看到打點滴泵,通常它們被固定在病人床邊的一個金屬架上,自動将靜脈滴注、可注射藥物或其他液體輸入病人的血流當中。hospira于2015年被輝瑞制藥公司(pfizer)收購,該公司在打點滴泵市場上占據主導地位。在該公司網站上,有文章解釋說,這種“智能打點滴泵”旨在通過實作靜脈藥物輸送自動化來提高病人的安全保障,文章稱,打點滴不當在所有用藥錯誤當中占56%。
裡奧斯把買來的打點滴泵連接配接到網絡上後發現,對這台裝置進行遠端控制并在觸摸屏上“按下”按鈕可以做到,就像真的有人站在這台裝置前操作一樣,可以将儀器設定為把整瓶藥水都輸入病人體内。他說,如果有醫生或護士站在儀器面前,或許可以發現裝置被遠端操控,能夠在整瓶藥水滴空前停止這種輸入,但如果由醫院員工在集中監測站負責照看打點滴泵,就不會注意到這點。
2014年春,裡奧斯将他的發現打成定稿,發送給美國國土安全部下屬的工業控制系統網絡應急響應小組(ics-cert)。他列出了自己發現的弱點,并建議hospira進行進一步分析以回答兩個問題:在hospira的其他裝置中是否也存在同樣的脆弱性問題?這種漏洞可能給病人帶來什麼樣的潛在後果?美國國土安全部轉而聯系了美國食品藥品監督管理局(fda),後者把這份報告轉給了hospira。幾個月後,裡奧斯沒有收到任何回應。裡奧斯稱:“fda似乎要等到真的有人被殺死才會說,‘好吧,是的,這是我們需要擔憂的問題。’”
裡奧斯是近幾年來針對醫療裝置領域展開獨立調查的一小群人士之一,他們利用自己發現的安全漏洞來引發巨大影響。傑伊·拉德克利夫(jay radcliffe)是一名研究人員,也是糖尿病患者,他現身2011年的年度黑客大會,向觀衆展示了他如何操縱自己的美敦力(medtronic)胰島素泵,讓它釋放出可能緻命的劑量。第二年,來自紐西蘭的黑客巴納比·傑克(barnaby jack)在澳洲舉行的會議上展示了他如何遠端入侵一台起搏器,讓它發出一次危險的顫動。2013年,在原定參加黑帽技術大會的前一周,傑克死于藥物過量。他原本許諾将在此次會議上公布一個系統,這個系統能夠将任何通過無線連接配接的胰島素泵精确定位在90米的半徑範圍内,然後改變這些裝置所管理的胰島素劑量。
這種攻擊行為令裝置制造商和醫院管理者感到憤怒,他們說,這種表演出來的黑客行為讓公衆因為恐慌而對那些利遠大于弊的科技敬而遠之。在2014年的行業論壇上,某家醫院的資訊技術管理人士猛烈抨擊裡奧斯和其他研究人員,稱他們在沒有任何一例患者傷害事故可歸咎于醫療裝置網絡安全松懈的情況下就歇斯底裡地煽風點火。美國聯盟醫療體系(partners healthcare system)的無線通信經理裡克·漢普頓(rick hampton)稱:“我很感謝你們想要參與進來,但是坦白說,你們在《國民問詢》(national enquirer)周刊上拟出的标題帶來的隻有問題,而沒有任何作用。”還有一次,在一個有很多業内管理人士和聯邦官員旁聽的電話會議上,裝置供應商們沖着裡奧斯大聲呼叱。
裡奧斯說:“他們所有的裝置都名不副實,所有的系統都名不副實。所有的臨床應用也都名不副實——但沒人在乎。這很荒唐,對吧?任何試圖證明這種現狀合理的人都不是生活在現實世界中,他們生活在幻境中。”
2014年秋天,總部位于加州聖馬特奧的trapx security的分析師開始在60多家醫院安裝追蹤醫療裝置黑客行為的軟體。trapx建立了特定醫療裝置的虛拟副本,然後進行安裝,就好像它們在網上而且在運作一樣。對黑客來說,由trapx安插的虛拟ct掃描器的作業系統看起來和真的沒有差別。但是,虛拟裝置可以讓trapx監控黑客們在整個醫院網絡的活動。6個月後,trapx得出結論,所有醫院裡面都有曾經被惡意軟體感染過的醫療裝置。
在多起案例中,黑客們對醫院員工實施“魚叉式網絡釣魚”攻擊,誘使他們打開看起來像是來自已知發件人的電子郵件,當他們上鈎之後,病毒就會感染醫院的電腦。在一個案例中,黑客滲透到一個護士站的電腦裡,從那裡開始将惡意軟體散播到整個網絡,最終溜進放射性儀器、血氣分析儀和其他裝置。許多儀器運作的是便宜、老舊的作業系統,如windows xp,甚至windows 2000。醫院的防病毒保護系統很快對電腦進行了殺毒清洗,但這些醫療裝置就沒有這麼好的防禦系統了。
trapx的總經理卡爾·賴特(carl wright)稱,參與這項研究的醫院都依賴裝置制造商來維護儀器的安全。這種服務是不定期的,而且是應對性的而不是預防性的。賴特稱:“醫療裝置不會在遭受攻擊時向醫療保健提供商發出警告,它們根本沒有自我保護能力。”賴特以前曾是美國軍方的資訊安全官員。
當黑客侵入了某台裝置後,他們就潛伏在那裡,将這台儀器作為永久基地,從那裡偵測整個醫院的網絡。賴特稱,他們的目标是竊取個人醫療資料。
醫療檔案常常包含信用卡資訊,還有社會保險号碼、位址、生日、家族關系和醫療病史——這些資訊可以用來建立虛假身份與信貸額度,進而實施保險詐騙甚至敲詐勒索。單單一個信用卡号在網絡黑市上的售價往往不超過10美元;而醫療檔案能夠賣出10倍于它的價格。對于黑客來說,他們在乎的就是轉售價值。
trapx的分析師在醫院裡設定的誘捕裝置可以讓他們觀察那些試圖通過受感染裝置将醫療記錄偷出醫院的黑客。賴特稱,這種追蹤把他們帶到東歐的一台伺服器,這台伺服器被認為是受控于一個臭名昭著的俄羅斯幫派。總的說來,他們會從東歐的這台控制伺服器登入,侵入一台血氣分析儀;然後,他們會從這台儀器進入一個資料源,把資料記錄拖回到血氣分析儀,然後偷走。賴特稱,之是以能夠斷定黑客是通過醫療裝置來竊取資料,是因為在一台血氣分析儀中發現了本不該在那裡出現的病人資料。
除了這種指令與控制惡意軟體可以令資料記錄失竊外,trapx還發現了一種名叫citadel的勒索軟體,它能限制電腦使用者使用文檔,這樣黑客就會要求電腦使用者付款,才能重新獲得使用權。研究人員發現,沒有證據表明黑客真的在這些儀器上安裝了勒索軟體,但僅僅是這種軟體的存在就足以令人不安。
醫院對網絡入侵行為一般都秘而不宣。即使是這樣,還是會有一些關于惡意軟體帶來破壞的零星報道出現。2011年,佐治亞州勞倫斯維爾的醫療中心gwinnett medical center對所有非急診病人關閉3天,因為一種病毒使其電腦系統陷入癱瘓。美國和澳洲的醫生辦公室曾報告過一些網絡犯罪行為的案例,在這些案例中,黑客對病人資料庫加密并索取贖金。審計公司畢馬威(kpmg)在2015年8月公布的一項調查顯示,81%的醫療資訊技術管理人士曾表示,他們工作場所的電腦系統在過去兩年内曾經遭受過網絡攻擊。
目睹這一切,裡奧斯變得很焦慮,希望聯邦監管機構能注意到他在hospira打點滴泵上發現的弱點。2014年夏季,他向國土安全部發去提醒函,詢問hospira是否已經響應他的建議。據國土安全部回複的郵件顯示,該公司“對于驗證其他打點滴泵是否易受攻擊不感興趣”。幾周後,裡奧斯發現自己也處在一個容易受攻擊的位置:躺在一張病床上動彈不得,竟然要完全依賴一台打點滴泵。
2014年7月底,裡奧斯開始在睡覺時鼾聲大作,嚴重幹擾了他的睡眠,迫使他跑去看醫生,醫生在他的鼻腔裡靠近腦膜的地方發現了一塊息肉。這塊息肉被切除了——這隻是一個簡單的門診手術——但是幾天之後,裡奧斯出現了發燒症狀,還發現有透明的液體從他的鼻子裡流出來。
他在斯坦福醫院待了兩周,病房裡滿是各種曾經被他侵入的醫療裝置。他的病床和一個網絡接口相連。他的腿上纏繞着壓力綁帶,定時擠壓他的小腿以促進血液循環,它們也是和一台電腦相連的。他數了一下,他的病房裡一共有16台聯網裝置,還有8個無線接入點。在這些裝置中,最顯眼的一台就是carefusion打點滴泵。這台機器控制着輸入他手臂的液體。他注意到同屋的另一位病人使用的是一台hospira打點滴泵。裡奧斯說:“我不停地想,‘我該告訴他嗎?’”最終,他選擇保持沉默。
當他能夠掙紮着爬下床時,裡奧斯把他的打點滴泵推進了浴室,在這裡好好觀察了一下。他回憶說:“我看着無線網卡,按下上面的按鈕,看看我能進入什麼樣的菜單。”結果更加深了他的憂慮。“無論他們使用什麼wi-fi密碼來讓這台打點滴泵加入網絡,我總能輕而易舉地破解。 ”
在走廊裡,裡奧斯發現了一個由電腦控制的藥品櫃。醫生和護士通常使用編碼身份識别卡來進行操作。但是裡奧斯知道這個系統有内置漏洞:一個寫死密碼就能打開櫃子裡的所有抽屜。這種通用密碼在很多醫療裝置中很常見,而且其中的許多密碼是無法更改的。裡奧斯和一位工作夥伴已經就這些密碼的脆弱性向國土安全部發出了警告,該機構也将他的發現通知了供應商。但是,他們什麼也沒有做,至少在這家醫院是這樣。他很快發現,這台裝置抽屜裡的所有藥品他原本都可以自由拿取。“這個時候他們還沒有修複這個問題,是以我在上面試了幾個密碼,然後我的反應是,‘還真能打開啊!’”
當他出院之後,他試圖重新給hospira以壓力。他已經告訴聯邦政府他知道如何破壞這些打點滴泵,但當他傳回家中後,他決定錄制一個視訊來說明他可以如何輕易地做到這一點。他把攝像頭直接對準打點滴泵的觸摸屏,然後示範如何遠端按動按鈕,快速突破密碼保護,給注入器解鎖,然後随心所欲地進行操控。然後,他寫出了樣本計算機代碼,把它發送給國土安全部和美國食品藥品監督管理局,這樣他們就可以親自測試一下他的工作。
裡奧斯稱:“我們不得不拍攝視訊,寫出可能真正緻人于死地的漏洞代碼,才能讓這件事受到認真對待。事情不該是這樣的。”
但是,此舉引起了fda的注意。最終,在裡奧斯提出警告一年多之後,fda于2015年7月釋出了一份公告,敦促醫院停止使用hospira公司的symbiq打點滴泵,因為這種裝置可能允許未經授權的使用者控制它并改變打點滴泵輸送的藥品劑量。fda下屬機構醫療器械與輻射健康中心負責協調網絡安全動議的蘇珊娜·施瓦茨(suzanne schwartz)稱:“此舉開創了先例,這是我們第一次專門因為網絡安全問題而召回一種産品。”輝瑞公司發言人麥凱·吉姆森(mackay jimeson)稱:“臨床情況下,還沒有已知的hospira産品被黑客入侵的案例,而且公司已經與業内利益相關者合作,確定這種情況不會發生。”
醫學研究界沒有因為這份公告而歡慶勝利。hospira表示,它将和供應商合作以糾正任何存在的問題,而且symbiq型号的産品已經從市場下架。但是,fda這份公告的作用僅此而已:它沒有強迫該公司修複已經在醫院和診所使用的這種儀器,它也沒有要求該公司證明類似的網絡安全漏洞不會影響其他型号的打點滴泵。對于一些研究人員來說,這份公告所代表的勝利不具任何實質意義。
fda面臨棘手的挑戰:它所要拟定的規則既要有足夠的具體性,使其能真正發揮作用,又要有足夠的普遍性,比不斷突變的威脅更能持久,而且對規則修訂的速度要比該機構必須認證的産品的更新速度快得多。該機構于2014年10月敲定了一套指導方針,建議——而不是要求——醫療裝置制造商在他們的設計和開發階段考慮網絡安全風險,還要求他們向該機構遞交檔案資料,确認他們已經發現的任何潛在風險。但是,這個義務不僅僅落在制造商的肩上;施瓦茨強調,醫療保健提供商和監管機構也必須參與解決這個難題,她把這個挑戰稱為“一項共擔的責任和一份共享的所有權”。
說到分攤責任,麻煩就來了。在這套指導方針公布之後,美國醫院協會(american hospitalassociation)緻信fda稱,醫療保健提供商很樂于做好自己份内的事,但它敦促該機構采取更多措施“讓裝置制造商為網絡安全負起責任”。該協會稱,裝置供應商必須更迅速地對弱點做出反應,在問題發生時及時進行修複。與此同時,裝置供應商指出,犯罪分子如果不能首先突破醫院和診所的防火牆,就無法侵入他們的裝置;那麼,在醫療保健提供商顯然有必要增強他們自己的網絡保護措施的情況下,為什麼每個人談論的都是對裝置的監管?fda釋出公告之後,hospira在一份聲明中将醫院防火牆和網絡安全列為“抵禦醫療裝置篡改行為的主要防線”,還表示它自己内部的保護隻是“額外增加了一層安全系數”。還有人認為,裡奧斯等安全研究人員正在迫使這個行業采取的安全措施可能會給患者護理帶來阻礙。
在由fda發起的論壇上,來自波士頓麻省總醫院的麻醉師引用了自動藥品櫃(類似于裡奧斯成功打開的那一個)為例來說明自己的觀點。在裡奧斯告訴政府這些密碼容易遭受攻擊之後,有些醫院開始實行指紋掃描作為備用的安全措施。朱利安·戈德曼醫生(dr.julian goldman)說:“現在,手術室裡的人員通常會戴手套。”他指出,手忙腳亂地摘下手套,擺弄存放藥品的抽屜,還要確定被污染的血液不沾在裸露的手上,再重新套上手套——這不但麻煩,而且有可能是一種危險的、浪費時間的行為。戈德曼稱:“當你轉過身去想要夠着這些抽屜時,你聽到喀喀喀喀的聲音,它們鎖住了——就在你想要打開抽屜取一件重要藥品的時候。”
裡奧斯稱,隻要制造商或醫院真的行動起來,他不在乎他們到底如何修複這個問題。hospira的事例讓他相信,要實作這個目标的唯一途徑就是繼續向制造商施壓,大聲喊出他們的名字,直到他們被迫關注這個問題。自動藥品櫃并不是他發現的唯一使用寫死密碼的裝置;裡奧斯和研究夥伴特裡·麥科克爾(terry mccorkle)一起,發現由大約40家不同公司制造的約300種不同裝置存在這同一個弱點。當政府在釋出關于這個問題的通告時,沒有公布這些供應商的名字,裡奧斯稱,這些供應商都沒有修複密碼問題。他說:“現狀告訴我,如果不對某家特定的供應商施壓,他們是不會采取任何行動的。”
自fda關于hospira的公告于2015年7月釋出以來,成箱的醫療裝置被不斷運抵裡奧斯的家門口。沒有人付錢來讓他侵入自己的系統,也沒有人為他報帳費用。他說:“我很幸運,我一直做得很成功,是以購買一台2000美元的打點滴泵對我來說沒什麼大不了的,隻要有時間我就會研究它。”
然而,對于新晉的獨立研究人員來說,無法擷取裝置可能成為阻止他們跨入研究門檻的障礙。打點滴泵相對來說還比較便宜,但核磁共振成像裝置至少要花上幾萬美元。而且購買放射性裝置還需要有特别許可證。為了鼓勵更多人來研究這些裝置,裡奧斯正在努力建立一個出租醫療裝置的圖書館;他和研究夥伴已經開始遊說醫院讓他們使用舊裝置,他們還希望通過衆籌方式購買新裝置。
和裡奧斯的努力相比,2015年圍繞hospira公告所産生的喧嚣也許更能吸引新的研究人員加入這個領域。密歇根大學阿基米德醫療裝置安全研究中心(archimedes research center for medical device security)的負責人、工程教授kevin fu十多年來一直在調查醫療裝置安全問題,他發現2015年人們對這個領域的興趣比以往任何時候都要強烈。他說:“每天我都會聽到一個以往從未聽說過的名字,這個人以前從未做過和醫療裝置有關的研究。然後出人意料地,他們發現了一些問題。”
在一個陽光燦爛的秋日,裡奧斯從市中心一家星巴克匆匆購買了一杯冰咖啡。他要讓自己振作起來。也許在空閑的時候,他會抓起辦公室裡的某台裝置,看看自己能找到裡面的什麼漏洞。這些裝置當中的一台正在強有力地吸引着他,就像在請求被黑一樣。2014年出院之後,他在網上閑逛,發現了一台carefusion打點滴泵,和束縛了他兩周時間的那台裝置一模一樣。現在,這台裝置就立在他辦公室的檔案櫃邊上。
“它是我的下一個目标。”裡奧斯說。
原文釋出時間為:2016-05-14
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号