Tu corazón podría ser hackeado Seguridad en Dispositivos Médicos

Tu corazón podría ser hackeado Seguridad en Dispositivos Médicos

Tu corazón podrı́a ser hackeado
Seguridad en Dispositivos Médicos Implantables
Pedro Peris-Lopez
Departamento de Informática
Madrid
c
COSEC
Lab
Mayo, 2013
Seguridad en DMIs
Background: Accidentes médicos NO intencionados
Importancia del SW en dispositivos médicos.
“An investigation of the Therac-25 Accidents” (N.G. Leveson
and C.S.Turner, 1993)
Importancia de la estandarización
“Hospital Bracelets Face Hurdles as They Fix Hazard” (NYT,
Sept 2008)
c
COSEC
Lab
Seguridad en DMIs
Background: Accidentes médicos intencionados (I)
c
COSEC
Lab
Seguridad en DMIs
Background: Accidentes médicos intencionados (II)
c
COSEC
Lab
Seguridad en DMIs
¿Qué es un DMI?
Definición
Dispositivo electrónico permanente o semi-permanente implantado
en un paciente, cuya función puede ser el tratamiento de patologı́as,
la mejora en el funcionamiento de alguna parte del cuerpo humano,
o el desarrollado de funcionalidad o habilidad que antes no se tenı́a.
c
COSEC
Lab
Seguridad en DMIs
Cronologı́a de los DMIs
c
COSEC
Lab
Seguridad en DMIs
Salud: Implantes y Tecnologı́a
c
COSEC
Lab
Seguridad en DMIs
Modos de Acceso
Pasado
Programación local
Monitorización remota
Presente/Futuro
Programación remota
c
COSEC
Lab
Seguridad en DMIs
DMIs Inteligentes
Conectividad Inalámbrica
c
COSEC
Lab
Seguridad en DMIs
Análisis de Seguridad
Las amenazas a DMIs son una precupación real? Sı́
Amenazas de Seguridad
Conocer información privada
Deshabilitar terapias
Drenar la baterı́a
c
COSEC
Lab
Seguridad en DMIs
Amenaza 1. Información Privada
Note: “Pacemakers and Implantable Cardiac Defibrillators: Software
Radio Attacks and Zero-Power Defenses” (Halperin et al. 2008).
c
COSEC
Lab
Seguridad en DMIs
Amenaza 2. Deshabilitar Terapias (I)
Note: “Pacemakers and Implantable Cardiac Defibrillators: Software
Radio Attacks and Zero-Power Defenses” (Halperin et al. 2008).
c
COSEC
Lab
Seguridad en DMIs
Amenaza 2. Deshabilitar Terapias (II)
Note: “Hacking Medical Devices for Fun and Insulin: Breaking the
Human SCADA System” (J. Radcliffe. 2011).
c
COSEC
Lab
Seguridad en DMIs
Amenaza 3. Drenar la Baterı́a
Estás despierto?
Estás despierto?
Estás despierto?
Note: “Pacemakers and Implantable Cardiac Defibrillators: Software
Radio Attacks and Zero-Power Defenses” (Halperin et al. 2008).
c
COSEC
Lab
Seguridad en DMIs
Tensiones
Seguridad DMI
vs
Seguridad Fı́sica
Recursos DMI
vs
Vida de la Baterı́a
c
COSEC
Lab
Seguridad en DMIs
Medidas de Seguridad
Son válidas las soluciones criptográficas existentes? NO
Modos de Operación:
Modo Emergencia
Modo Normal
c
COSEC
Lab
Seguridad en DMIs
Modelo del Atacante
Atacante Pasivo
Presencia
Trazabilidad
Información
confidencial
Atacante Activo
Atacante pasivo +
Drenar baterı́a
Cambiar programación
Inducir daños
c
COSEC
Lab
Seguridad en DMIs
Limitaciones
Energı́a limitada
9 años (neuroestimuladores) / 4-7 años (marcapasos)
Sustitución de la baterı́a: requiere cirugı́a.
Almacenamiento limitado
Episodios
Ej. Reveal DX 9528: 22,5 minutos de de almacenamiento de
ECG
Baja capacidad de cómputo y comunicación
La comunicación inalámbrica es muy costosa
c
COSEC
Lab
Seguridad en DMIs
Medidas de Protección
c
COSEC
Lab
Seguridad en DMIs
Medidas de Protección (I)
Seguridad Nula
Válido para generaciones antiguas de DMIs
Riesgo nuevos DMIs
Auditorı́a
Registro de eventos autorizados y no autorizados
Detección (no protección / puede disuadir)
Ej. RFID Guardian (Rieback et al., 2005)
c
COSEC
Lab
Seguridad en DMIs
Medidas de Protección (II)
Medidas de Notificación
Emisión alertas (accesos + parámetros biómedicos )
Informativas (no evita ataques)
c
COSEC
Lab
Seguridad en DMIs
Medidas de Protección (III)
Dispositivos Externos
No implantados en el paciente
Asumen parte o la totalidad de la seguridad
Funcionalidad: auditorı́a, gestión de claves, autenticación
c
COSEC
Lab
Seguridad en DMIs
Medidas Protección (IV)
Medidas Fı́sicas
Mágnetico
Botón Subcutáneo
c
COSEC
Lab
Seguridad en DMIs
Medidas Protección (V)
Protocolos de Autenticación
c
COSEC
Lab
Seguridad en DMIs
Medidas Protección (VI)
Canales No convencionales
Ondas acústicas
Note: “Pacemakers and Implantable Cardiac Defibrillators: Software
Radio Attacks and Zero-Power Defenses” (Halperin et al. 2008).
c
COSEC
Lab
Seguridad en DMIs
Medidas Protección (VII)
Medidas Biómetricas
Biometric-based
two-level secure access
control for implantable
medical devices during
emergencies. (Hei and
Du, 2011)
IMDGuard: Securing
Implantable Medical
Devices with the External
Wearable Guardian (Xu
et al., 2011)
c
COSEC
Lab
Seguridad en DMIs
Medidas Protección (VIII)
Tendencias en el diseño hardware
c
COSEC
Lab
Seguridad en DMIs
ISO/IEC 11770-2 Key Establishment Mechanism 6
B → A : NB
A → B : {NA , NB , B, FAB }K AB
B → A : {NB , NA , FBA }K AB
Nota: {·} confidencialidad + integridad
c
COSEC
Lab
Seguridad en DMIs
Autenticación mutua + Intercambio Seguro
c
COSEC
Lab
Seguridad en DMIs
Autenticación mutua
c
COSEC
Lab
Seguridad en DMIs
Intercambio Seguro
c
COSEC
Lab
Seguridad en DMIs
Medidas Protección (IV)
Distance Bounding
Soluciones de comprobación de la distancia
Basadas en la velocidad de la luz
Introducidas por Beth and Desmedt [Crypto90]
c
COSEC
Lab
Seguridad en DMIs
Hancke and Kuhn’s Protocol
c
COSEC
Lab
Seguridad en DMIs
Proximity-based Access Control for IMDs
c
COSEC
Lab
Seguridad en DMIs
Medidas Protección (XI)
Medidas contra agotamiento de recursos
Soluciones en redes de sensores:
Ampliamente estudiadas
No aplicables
Soluciones basadas en patrones
Dispositivo externo (ej.
móvil)
Support Vector Machines
(SVM)
Patrones: frecuencia de
comunicación, localización
c
COSEC
Lab
Seguridad en DMIs
Conclusiones
Nuevas generaciones de DMIs son una realidad
Problemas de seguridad son serios (no ficción)
Particularidades no existentes en otras áreas
Nuevas soluciones pendientes
c
COSEC
Lab
Seguridad en DMIs
¿Preguntas?
Muchas gracias
[email protected]
http://www.lightweightcryptography.com
http://www.seg.inf.uc3m.es/
c
COSEC
Lab
Seguridad en DMIs