Beveiligingsexperts hacken op afstand bediende chirurgische robot

Een cruciaal knelpunt dat voorkomt dat in veel delen van de wereld levensreddende chirurgie wordt uitgevoerd, is het gebrek aan opgeleide chirurgen. Een manier om dit te omzeilen is door beter gebruik te maken van de beschikbare middelen.





Ze over grote afstanden sturen om operaties uit te voeren is duidelijk inefficiënt vanwege de tijd die nodig is om te reizen. Een steeds belangrijker alternatief is dus de mogelijkheid van telechirurgie waarbij een expert op de ene plaats een robot bestuurt op een andere die fysiek het noodzakelijke snijden en in blokjes snijden uitvoert. De verkoop van medische robots stijgt namelijk met 20 procent per jaar.

Maar hoewel de voordelen duidelijk zijn, zijn de nadelen minder goed onderzocht. Telechirurgie vertrouwt op geavanceerde technologieën op uiteenlopende gebieden als computers, robotica, communicatie, ergonomie, enzovoort. En iedereen die bekend is met deze gebieden zal u vertellen dat ze verre van faalveilig zijn.

Vandaag onderzoeken Tamara Bonaci en haar vrienden van de Universiteit van Washington in Seattle de bijzondere valkuilen die samenhangen met de communicatietechnologie die bij telechirurgie betrokken is. Ze laten met name zien hoe een kwaadwillende aanvaller het gedrag van een telerobot tijdens een operatie kan verstoren en zelfs zo'n robot kan overnemen, de eerste keer dat een medische robot op deze manier is gehackt.



De eerste telechirurgie vond plaats in 2001, waarbij een chirurg in New York met succes de galblaas verwijderde van een patiënt in Straatsburg in Frankrijk, meer dan 6.000 kilometer verderop. De communicatie verliep via een speciale vezel die speciaal voor de operatie werd geleverd door een telecommunicatiebedrijf.

Dat is een dure optie, aangezien speciale vezels tienduizenden dollars kunnen kosten.

Sindsdien hebben chirurgen talloze operaties op afstand uitgevoerd en zijn ze begonnen te experimenteren met gewone communicatieverbindingen via internet, die aanzienlijk goedkoper zijn.



Hoewel er geen geregistreerde incidenten zijn waarbij de communicatie-infrastructuur problemen heeft veroorzaakt tijdens een telechirurgische operatie, zijn er nog steeds vragen over veiligheid en privacy die nooit volledig zijn beantwoord.

Dus gingen Bonaci en co op zoek naar een aantal van deze vragen met behulp van een telechirurgische robot genaamd Raven II, die werd ontwikkeld aan de Universiteit van Washington. Raven II is ontworpen met het doel om de afmetingen van deze robots drastisch te verkleinen en tegelijkertijd hun duurzaamheid te verbeteren, zodat ze in extreme omgevingen kunnen worden gebruikt.

De robot bestaat uit twee chirurgische armen die door een chirurg worden gemanipuleerd met behulp van een ultramoderne bedieningsconsole met video- en haptische feedback.



De robot zelf draait op een enkele pc met software op basis van open standaarden, zoals Linux en het Robot Operating System. Het communiceert met de bedieningsconsole via een standaard communicatieprotocol voor chirurgie op afstand, bekend als het Interoperable Telesurgery Protocol.

Deze communicatie vindt plaats via openbare netwerken die mogelijk voor iedereen toegankelijk zijn. En omdat de robot is ontworpen om in extreme omstandigheden te werken, kan deze communicatieverbinding een slechte verbinding met internet zijn, misschien zelfs draadloos.

En daarin schuilt het risico. Vanwege het open en oncontroleerbare karakter van communicatienetwerken, wordt het gemakkelijk voor kwaadwillende entiteiten om de communicatie tussen een robot en een chirurg te blokkeren, te verstoren of over te nemen, zeggen Bonaci en co.



Dus dat is precies wat ze probeerden te doen. Bonaci en co hebben verschillende soorten cyberaanvallen op de robot geprobeerd om te zien hoe gemakkelijk het is om te verstoren.

Hun experiment is relatief eenvoudig. In plaats van een echte operatie heeft de operator de taak om rubberen blokken van het ene deel van een ophangbord naar het andere te verplaatsen. Het team meet vervolgens hoe snel de operator deze taak tijdens een aanval kan voltooien en hoe moeilijk verschillende operators de taak beoordelen.

De bedieningsconsole maakt verbinding met de robot via een standaard netwerk, waaraan ook de aanvallende computer is gekoppeld. Met deze opstelling kan de aanvallende computer de signalen die in beide richtingen tussen de bedieningsconsole en de robot worden verzonden, onderscheppen en manipuleren.

Het team probeert drie soorten aanvallen uit. De eerste verandert de commando's die de operator naar de robot stuurt door ze te verwijderen, uit te stellen of opnieuw te ordenen. Hierdoor wordt de beweging van de robot schokkerig en moeilijk te controleren.

Het tweede type aanval wijzigt de intentie van signalen van de operator naar de robot door bijvoorbeeld de afstand die een arm moet bewegen of de mate waarin hij moet draaien te veranderen, enzovoort. De meeste van deze aanvallen hadden direct na de lancering een merkbare impact op de Raven, zeggen Bonaci en co.

De laatste aanvalscategorie is een kaping die de robot volledig overneemt. Dit blijkt relatief eenvoudig te zijn aangezien het Interoperable Telesurgery Protocol openbaar beschikbaar is. We hebben effectief de controle over de tele-operated procedure overgenomen, zeggen ze.

Ze hebben zelfs bedacht hoe ze bewegingen konden genereren die een automatisch stopmechanisme in de robot activeerden. Dit gebeurt wanneer een beweging de armen voorbij een vooraf bepaalde afstand brengt of ze te snel laat bewegen.

Door constant commando's te sturen die dit mechanisme activeerden, kon het team een ​​soort denial of service-aanval uitvoeren. We kunnen eenvoudig voorkomen dat de robot ooit correct wordt gereset, waardoor een chirurgische ingreep feitelijk onmogelijk wordt, zeggen ze.

En alsof dit soort cyberaanvallen niet erg genoeg waren, was de videoverbinding ook openbaar beschikbaar, waardoor bijna iedereen de operatie in realtime kon bekijken.

Het is niet moeilijk voor te stellen hoe dit soort cyberaanvallen dodelijke gevolgen kunnen hebben. Zelfs de denial-of-service-aanval op een cruciaal punt tijdens een chirurgische ingreep kan fataal zijn.

Nadat ze hebben gezien hoe effectief dit soort cyberaanvallen kunnen zijn, stellen Bonaci en co ook manieren voor om ze te voorkomen. De meest voor de hand liggende is om de communicatie tussen de bedieningsconsole en de robot te versleutelen.

Ze hebben dit idee zelfs getest en zeiden dat de robot presteerde zoals verwacht. Het gebruik van codering en authenticatie heeft lage kosten en grote voordelen voor telerobotische chirurgie, waardoor veel geanalyseerde aanvallen worden verminderd, concluderen ze.

Versleuteling kan echter niet elke vorm van aanval afslaan. In het bijzonder staat het nog steeds man-in-the-middle-aanvallen toe waarbij een afluisteraar signalen in beide richtingen onderschept terwijl beide partijen voor de gek worden gehouden dat ze nog steeds met elkaar praten.

En video-encryptie is waarschijnlijk niet praktisch voor het soort netwerkverbindingen dat is voorzien voor operaties op afstand op extreme locaties. Dat is misschien geen veiligheidsprobleem, maar het roept wel belangrijke privacykwesties op.

Dat is interessant werk dat ingrijpende gevolgen heeft, niet alleen voor de manier waarop telechirurgie zal worden uitgevoerd, maar ook voor de manier waarop het publiek de veiligheid en privacy van deze systemen ervaart.

Telechirurgische operators zullen zich moeten afvragen hoe veilig hun apparatuur moet zijn. En beleidsmakers en het publiek zullen hun eigen conclusies moeten trekken over wat voor soort beveiliging en privacy acceptabel is. Hoe dan ook, het kat-en-muisspel van cyberbeveiliging gaat door

Referentie:arxiv.org/abs/1504.04339: Een robot beveiligen: een experimentele analyse van cyberbeveiligingsbedreigingen tegen op afstand bediende chirurgische robotica

zich verstoppen