Beveiliging en privacy van implanteerbare medische apparaten

Dit proefschrift behandelt de beveiliging en privacy van Implantable Medical Devices (IMDs). Concreet analyseren we de beveiliging van veelgebruikte IMD's en stellen we praktische en effectieve tegenmaatregelen voor om de beveiligingsproblemen aan te pakken die we hebben vastgesteld.

We stellen eerst een protocol voor waarmee een IMD een end-to-end beveiligd kanaal met een ziekenhuis kan opzetten met behoud van de privacy van de patiënt. Dit maakt monitoring op afstand en herprogrammering van de IMD van de patiënt mogelijk via een basisstation dat bij de patiënt thuis is geïnstalleerd. Onze oplossing voorkomt onder andere dat ongeautoriseerde entiteiten en tegenstanders leren van wie de gegevens zijn en naar welk ziekenhuis de medische gegevens worden verzonden. We presenteren ook een nieuw sleuteluitwisselingsprotocol waarmee het basisstation en de IMD overeenstemming kunnen bereiken over een symmetrische sessiesleutel zonder voorafgaand geheimen te hoeven delen. Deze doelen worden bereikt door een fysiologisch signaal te gebruiken dat geëxtraheerd wordt uit het lichaam van de patiënt, in combinatie met fuzzy extractors.

Vervolgens voeren we een beveiligingsanalyse uit van een insulinepompsysteem en presenteren we verschillende aanvallen. Verder bestuderen we de haalbaarheid van het gebruik van cryptografie om de draadloze communicatie tussen de insulinepomp en een bijbehorende afstandsbediening te beschermen. Hiertoe presenteren we een op AES gebaseerde cryptografische oplossing met een geüpdatete berichtindeling die is geoptimaliseerd voor energieverbruik. We stellen meerdere alternatieven van onze oplossing voor en implementeren deze in een openMSP430, een 16-bits microcontroller die gelijkaardig is aan die van de insulinepomp. Voor elk van deze alternatieven meten we hoeveel energie er extra verbruikt wordt in zowel de afstandsbediening als de insulinepomp voor berekeningen en communicatie. Ten slotte identificeren we mogelijke manieren om de energieconsumptie van de communicatie te verlagen.

Vervolgens voeren we de eerste beveiligingsanalyse en reverse engineering uit van het gepatenteerde protocol tussen een apparaatprogrammeur en enkele van de nieuwste generatie Implantable Cardioverter Defibrillators (ICDs) via een langeafstands draadloos kanaal. Ons doel is om de haalbaarheid te evalueren van het reverse-engineeren van het gepatenteerde protocol door tegenstanders met beperkte middelen die geen fysieke toegang tot de apparaten hebben maar alleen de berichten kunnen onderscheppen die draadloos worden verzonden. Daarnaast demonstreren we aanvallen die de beschikbaarheid van de ICD en de privacy van de patiënt in gevaar kunnen brengen, en kunnen we aantonen dat herhaling en spoofing-aanvallen ook mogelijk zijn. Al onze bevindingen zijn van toepassing op ten minste 10 soorten ICD's die momenteel op de markt zijn. We bespreken ook verschillende manieren waarop tegenstanders de activeringsprocedure kunnen omzeilen - waarvoor men zich normaal dicht bij de patiënt moet bevinden - om vanaf enkele meters schadelijke berichten naar de ICD te sturen. Ten slotte worden verschillende kortetermijn en langetermijn tegenmaatregelen voorgesteld om de bestaande kwetsbaarheden te reduceren of op te lossen, waaronder een nieuw semi-offline sleutelovereenkomstprotocol dat we formeel verifiëren met behulp van ProVerif.

Verder beschrijven we het proces van het reverse engineeren van het gepatenteerde protocol tussen een apparaatprogrammeur en een neurostimulator om te communiceren over een korteafstandskanaal. Vervolgens beoordelen we de haalbaarheid en voeren we verschillende soorten aanvallen uit op neurostimulatoren. Om deze aanvallen te verhinderen, presenteren we een complete beveiligingsarchitectuur die het genereren en transporteren van sleutels van de neurostimulator naar de apparaatprogrammeur mogelijk maakt en de noodzakelijke cryptografische protocollen omvat om de communicatiestroom te beveiligen. Voor het genereren van de sleutel op de neurostimulator, onderzoeken we het potentieel van het gebruik van een signaal uit de hersenen van de patiënt als een bron van willekeur. We stellen ook een nieuwe techniek voor om de sleutel veilig en betrouwbaar van de neurostimulator naar de apparaatprogrammeur te transporteren, waarbij gebruik wordt gemaakt van het feit dat zowel de huid van de patiënt als de behuizing van de neurostimulator geleidend zijn.

Om af te sluiten, bieden we een kritische evaluatie van tegenmaatregelen die berusten op de fysiologische signalen van de patiënt voor het genereren van cryptografische sleutels tussen twee apparaten. Ons werk onthult ernstige beveiligingszwakheden in twee pairing protocollen die in de literatuur worden voorgesteld. Bovendien laten we zien dat de meeste van de bestaande tegenmaatregelen steunen op onrealistische veronderstellingen die de capaciteiten van de aanvaller onderschatten. Dit werk wordt afgesloten met een reeks aanbevelingen voor het veilig gebruik van fysiologische signalen in cryptografische protocollen.