五年前，2013年7月25日，Barnaby Michael Douglas Jack，被女友發(fā)現(xiàn)時，已經死于舊金山 Nob Hill 公寓中。距離 BlackHat 大會開幕僅剩一周時間。

Jack 在那一年準備的演講題目是 Hacking Humans，Jack 是新西蘭人。

新西蘭，英聯(lián)邦成員國之一，獨立國家，人口400多萬，北京人口2000多萬，是北京人口的五分之一。在世界政治舞臺上，幾乎沒有存在感。近年，除了在去年上任的歷任中最年輕的80后女***Jacinda Ardern，才使得新西蘭在全球新聞榜單上好不容易刷得一條，女***還上榜該國最性感、最想睡的女性第九名。

在世界黑客舞臺上，Jack 卻為新西蘭刷得“頭彩”般的存在感：

2010年，BlackHat大會，Jack 把兩臺銀行 ATM 機器搬上舞臺，然后通過破解程序，讓ATM瘋狂吐鈔。此舉讓他名聲大噪，成為當年大會的黑客明星；

2012年，Jack在墨爾本的一個安全會議上，演示了心臟起搏器被黑掉后變成了殺人武器；

2013年，Jack準備重返BlackHat，并于早些時候提交了演講議題，BlackHat也已經掛出議題簡介預告，Jack準備在當年8月再放異彩。議題是關于心臟起搏器和植入型心臟復律除顫器的，大家本來有機會在8月1日看到他演示如何在9米遠外“遙控殺人”。

人算不如天算，警方后來公布死亡原因是吸食毒品過量，他女朋友也證實 Jack 有吸毒史。如今，我們還能在 BlackHat 官網看到13年的議題簡介，其中就有 Jack 準備的內容：IMPLANTABLE MEDICAL DEVICES: HACKING HUMANS，植入式醫(yī)療設備：入侵人體。

天妒英才，上帝那里也許有幾臺ATM機需要他去幫個忙。意外離去，讓Jack的演講預告成為他與這個世界匆忙告別的注腳，也是他最后給世界發(fā)出的預警——不要讓物聯(lián)網設備成為殺人武器。

互聯(lián)網，改變了人類，而物聯(lián)網，植入了人體。

植入式醫(yī)療設備，當嵌入了無線功能，方便了醫(yī)生無線操作，采集數據，實時監(jiān)測。也吸引了黑客前來尋找漏洞。互聯(lián)網時代，頭號黑客凱文.米特尼克說過“沒有進不去的電腦”，物聯(lián)網時代，新一代黑客同樣發(fā)現(xiàn)，“沒有什么醫(yī)療設備是入侵不了的”。

Jack 并非第一個研究醫(yī)療設備漏洞的黑客，當然，更不是最后一個。

2011年，安全研究人員 JayRadcliffe 演示了關閉佩戴的胰島素泵；

2015年，BillyRios 宣布，可入侵和控制眾多電腦化的聯(lián)網藥物注射器，還能改變系統(tǒng)設定的注射劑量；

2018年，在今年的 BlackHat和Def Con 大會上，安全專家們再次帶來了入侵醫(yī)療設備的議題，就是今天這篇所講的。

曾記得有個段子，記不太清了，大意是：領導問，我們應該把有限的資金投到哪個口，有人說教育，有人說食品安全，有人說醫(yī)療。領導說，都錯了，應該投入到監(jiān)獄改善，因為那可能是未來我們都要去的地方。

段子好笑，可是，哪個段子又不是源于現(xiàn)實呢，真作假時假亦真。我們未來可能都要去的地方，是醫(yī)院。

社會務必加大投入物聯(lián)網安全，特別是醫(yī)療物聯(lián)網設備。人類會生病，可不想因黑掛機。

一、不能補丁

在今年拉斯維加斯舉辦的Black Hat和Def Con會議上，研究人員展示了如何入侵心臟起搏器、胰島素泵、以及現(xiàn)實病人實時生命體征的儀器。

醫(yī)療設備存在的安全隱患。仿佛是揮之不去的痼疾，難以救治，不放防范。而且，大多數物聯(lián)網設備的特點是，連補丁都沒法打，除非廠商召回。

二、黑死病人

十年前，我們已經知道起搏器可以被入侵，但是現(xiàn)在能救人一命的植入式醫(yī)療設備仍然可能因被入侵而害死病人。本屆BlackHat大會，攻擊者可以讓心臟起搏器對心臟產生致命沖擊，或是無法給予病人需要的起搏沖擊力；攻擊者還可以妨礙胰島素泵工作。

在要求體內有植入式醫(yī)療設備的與會者離場后，來自WhiteScope的研究員Billy Rios和來自QED Secure Solutions的Jonathan Butts，向觀眾演示了攻擊者在一個醫(yī)療設備上遠程安裝惡意固件以控制病人的起搏器。他們之所以能成功，是因為美敦力醫(yī)療公司的固件升級沒有加密，兩位研究員還討論了該公司提供軟件服務網絡基礎設施存在哪些漏洞。

三、寬容惡意

他們展示了如何入侵美敦力的CareLink 2090 編輯器，這是一個運行于Windows XP的編程設備，供醫(yī)生控制病人的植入式起搏器。他們演示了兩種入侵方式，且都改變了設備的程序編寫，其操作可危及使用這種設備的病人。Butts解釋稱，攻擊者可以觸發(fā)起搏器，也可以在必要時阻止起搏器工作。

該設備的固件無需數字簽名，編輯器的升級信息通過一個加密的HTTPS連接推送。美敦力設備會把惡意的重新編輯威脅視為“低風險”行為。醫(yī)生能做的只能是祈禱設備沒被攻擊。如果覺得情況還不糟糕，想想有多少病人已經受到數據泄露的影響，或是多少醫(yī)院已經被勒索軟件攻擊，那么美敦力設備的這種“寬容”確實過于滑稽了。

Rios和Butts指出，如果美敦力能數字簽發(fā)代碼，在保護病人生命安全方面就能有很大改善。

四、胰島素泵

但除此之外，研究人員還展示了針對美敦力胰島素泵的攻擊。用軟件定義的無線電波，他們阻止了胰島素泵的正常注射。

美國工業(yè)控制系統(tǒng)網絡緊急響應小組(ICS-CERT)指出，攻擊者還可以截取遠程控制器和胰島素泵之間的無線信號，篡改信息后再觸發(fā)胰島素注射。

ICS-CERT還通報了下列美敦力設備存在的安全隱患：

1、MiniMed 508 胰島素泵

2、MyCareLink 24950 和 24952 病人監(jiān)視器；

3、Carelink 2090 編輯器 和 N'Vision 臨床編輯器。

五、干擾醫(yī)生

在Def Con大會上，研究員向與會者演講如何篡改病人的實時生命體征。

前面講的是植入式醫(yī)療設備的漏洞，可能危害病人健康，甚至生命。其他醫(yī)療設備就不用擔心嗎，當然不是，研究員展示了如何篡改病人的實時生命體征，讓醫(yī)生施以不必要的治療。

在進行實際攻擊操作之前，McAfee高級威脅研究團隊的高級安全研究員Doug McKee咨詢過Shaun Nordeck醫(yī)生，以確定病人的生命體征對于醫(yī)生進行準確施救有多么重要。Nordeck醫(yī)生表示，生命體征是臨床決策中不可或缺的部分。并非所有醫(yī)療專家在作出治療決策前，都會跑到每個病房來驗證體征監(jiān)控指標。

在Def Con大會上，McKee討論了RWHAT協(xié)議的弱點，這是監(jiān)控類醫(yī)療設備使用的網絡協(xié)議之一。很多醫(yī)院使用的大部分重要醫(yī)療系統(tǒng)都使用這一協(xié)議。McKee演示了如何利用協(xié)議漏洞，實時篡改傳輸的數據，混淆醫(yī)生的判斷。他認為，缺乏授權驗證會導致一些流氓設備加入網絡中，模擬病人的監(jiān)控信號。

McAfee發(fā)布了兩個視頻向觀眾演示病人體征被實時篡改的情況。其中一個把心跳指標改成了一條直線，另一個則把正常心跳改成了劇烈跳動的指標，這些都會影響醫(yī)生的決策。

Nordeck醫(yī)生在解釋這種攻擊帶來的影響時，說：“虛假的心跳曲線，即便只是間歇性的，也可能因干擾醫(yī)生判斷，而導致病人延長住院，增加病人額外的測試，而醫(yī)生如果開出控制心律的藥物，也會給病人帶來副作用。醫(yī)院還要承受不必要的資源消耗。”

McKee建議，醫(yī)療設備廠商必須對設備數據進行加密，并增加驗證授權，這樣會增加黑客攻擊設備、篡改數據的難度。

六、結語

物聯(lián)網時代，物聯(lián)網安全研究必須要趕上物聯(lián)網的發(fā)展速度，植入人體的IoT設備可不僅僅只有醫(yī)療設備，還會有更多其他需求的植入式IoT涌現(xiàn)。