保护你的植入神经刺激器等医疗设备很重要 小心黑客劫持大脑

利用植入式医疗设备入侵他人大脑已经不再是遥不可及的幻想，这类概念一度只是好莱坞电影的专利，如今比利时科学家们发现一种被称为“神经刺激器”的无线大脑植入物，攻击者可利用现成材料实施攻击，通过远程入侵调整电压，进而重创受害者大脑，致其感官中断、残疾甚至死亡。

大脑劫持攻击原理

深度脑部刺激（简称DBS）是一种用于植入神经刺激器的程序，攻击者可借此将电脉冲送入大脑。目前，DBS 已被用于缓解帕金森病、慢性疼痛、震颤以及其它医学疾病症状，也有被用于治疗诸抑郁症及强迫症等疾病。

由于缺乏对此类植入式设备的加密与认证保护，个人医疗信息亦可能因此遭到外泄。预计未来的神经传递介质将能够从 P-300 等脑电波当中提取信息，并用于实现定制化治疗。一旦黑客捕获并分析此类信号，受害者的个人思维将有可能面临曝光。

其它更为常见的医疗设备，例如胰岛素泵与除颤器等，同样有可能遭到黑客入侵。一旦上述设备被接入互联网，很可能引发恶性后果，也就是所谓“大脑劫持”。

这类劫持事件的发生动机可能受多种因素驱使，例如勒索、报复、战争、政治等。此外，大脑劫持亦可能成为一种新的欺凌手段。Fast 公司在报告中所指出，2008年，某癫痫患者的常用网站遭到攻击，对方在网站中散布能够触发癫痫病症的闪光图像，而其动机明显只是出于“好玩”。

保护医疗设备

比利时研究人员们在题为《保护无线神经刺激器》的论文当中介绍了其首选医疗设备保护方法。这篇论文被提交至2018年3月召开的第八届 ACM 数据与应用安全及隐私大会，其中提到对一种未具名的植入式医疗设备进行逆向工程，并利用廉价装置实现同样的消息收发功能。

研究人员们使用的廉价天线

据报道：“为了缓解这种风险，研究人员们提出了一种新颖的安全架构，其中包括会话密钥初始化、密钥传输以及安全数据通信机制。其将大脑作为真正的随机数生成器，而这正是安全密钥生成流程中的核心要素。”

这篇论文解释称，“我们建议使用患者大脑中所谓局部场电位（简称LFP）的生理信号，即指神经元周边细胞外空间的电位。”

“为了将密钥传输至外部设备，建议利用来自神经刺激器的密钥位电信号作为载体，该信号可由接触患者皮肤的设备进行接收，因为声音信号等其它传播方式往往较易被恶意人士拦截。此外，植入式医疗设备制造商应将现有安全性低下的封闭式专有解决方案转化为开放并接受全面评估的安全解决方案，并根据相关指导进行使用。”

如果这些设备遭到恶意入侵，黑客将得以直接进入患者大脑，并对受害者进行相当程度的控制。

美国政府发布警报

美国国土安全部也加入倡议阵营，发布了针对医疗设备中使用硬编码（不可更改）密码类作法的警告。

但有人认为，最根本的解决办法应该是要求制造商在设计过程中即引入安全性考量，从而至少缓解部分潜在的后果。可充电植入物的使用正代表着这样一种改进举措，其能够防止攻击者发动电池漏电攻击。

美国食品与药物管理局（简称FDA）指出，目前所有医疗器械都存在一定程度的风险，经验证后，一旦患者从中获得的收益超过风险时，监管机构即会允许相关医疗器械投放市场。

随着无线技术的使用范围越来越广，安全风险水平也在逐步提高，而此类产品的上市也主要考虑到其对医疗护理质量作出的积极贡献。这样一来，风险永远无法被完全消除，这将是一道权衡题而非单选题。

FDA 在发布的缓解与管理网络安全问题建议当中指出：

“医疗设备制造商与医疗卫生机构应采取措施确保推行适当的保护措施。制造商应负责确保发现与其医疗设备相关的网络安全相关等风险与危害。制造商需要负责制定适当的缓解措施，以解决患者面临的安全风险并保证设备能够正常运作。”

“医院与医疗机构则应评估自身网络安全水平，并对医疗系统进行保护。”

FDA 正在监控目前已经上市的各类设备，并鼓励公众向其上报与医疗设备相关的一切网络安全问题，公众也可以查看 FDA 收集到的各类信息，以确保这项重要且往往能够彻底改变民众生活的技术以安全可靠的方式发挥积极作用。