такжедобавляемдвухвнешнихпользователей:пациента,использую- щего помпу, и медсестру, обслуживающую сервер управления.

Обратите внимание, что такая конфиденциальная информация, как данные пациента из помпы, может поступать на сервер обновле- ний стороннего поставщика через управляющий сервер. Наш метод работает: мы уже обнаружили первую угрозу – небезопасный меха- низм обновления, который может раскрыть данные пациента неав- торизованным системам.

Выявление угроз

Сейчас мы применим модель STRIDE к компонентам диаграммы, благодаря чему получим более полный список угроз. Хотя в этом упражнении для краткости будут обсуждаться лишь некоторые из этих компонентов,вам следуетрассмотретьих все как частьпроцесса моделирования угроз.

Для начала исследуем общие требования безопасности­ продукта. Часто поставщик устанавливаетэтитребования в процессе разработ- ки.Если у нас нет конкретного списка требований поставщика,мож- но изучитьдокументацию к устройству,чтобы выявить их самостоя- тельно.Например,как медицинское устройство инфузионная помпа должна обеспечивать безопасность­ и конфиденциальность пациен- та. Кроме того, все медицинские изделия должны быть зарегистри- рованы и сертифицированы по стандартам рынка страны-произво- дителя.Так,устройства,продаваемые в Европейской экономической зоне,должны иметь сертификационный знак Conformité Européenne (CE).Мы будем учитывать эти требования при анализе каждого ком- понента.

Пользовательский интерфейс с ограничениями

Пользовательский интерфейс с ограничениями (Restrictive user in- terface, RUI) – это приложение, которое работает в режиме киоска и взаимодействует со службой сервера управления.Оно существен- но ограничивает действия пользователя и по сути своей похоже на приложение для банкомата: вы можете взаимодействовать с про- граммой, но в допустимых пределах. Помимо общих требований безопасности­ RUI предусматривает соблюдение особых норм. Во-первых, у пользователя не должно быть возможности выйти из приложения. Во-вторых, для доступа к нему пользователь должен пройти аутентификацию, введя действительные учетные данные. Теперь давайте пошаговым образом применим модель STRIDE для выявления угроз.

Подмена: RUI аутентифицирует пользователей с помощью слабых четырехзначных пин-кодов, которые злоумышленники могут легко подобрать.Еслизлоумышленникиугадалипин-код,ониполучаютдо-

Вмешательство: RUI допускает способ ввода, отличный от тех не- многих, которые разрешены. Например, ввод может осуществляться через внешнюю клавиатуру. Даже если большинство клавиш отклю- чено, система может разрешать различные комбинации клавиш, в частности «горячие клавиши» или даже специальные сочетания, предусмотренныебазовойоперационнойсистемой(такиекакзакры- тие окна нажатием ALT+F4 в Windows). Это может позволить пользо- вателям обойти RUI и выйти из режима киоска. Мы опишем этот тип атаки в главе 3.

Сокрытие: RUI поддерживает только одну учетную запись поль- зователя для медицинского персонала, ввиду чего файлы журналов, если таковые существуют, теряют смысл: вы не можете определить, кто на самом деле использовал устройство. Поскольку RUI не может работать в многопользовательском режиме, любой сотрудник из ме- дицинской бригады может получить доступ к серверу управления и управлять инфузионной помпой; система не сможет распознать, кто именно это делает.

Утечка информации: вполне возможно, что некоторые сообщения об ошибках или отладочная информация, представленные пользо- вателю, могут раскрыть важную информацию о пациентах или вну- треннем устройстве системы. Злоумышленникам ничто не мешает декодировать эти сообщения,обнаружитьтехнологии,используемые базовой системой, и выяснить способ их использования.

Отказ в обслуживании (атакитипа D.o.S) небезопасен для RUI из-за его механизма защиты от брутфорса (прямой подбор, метод «грубой силы»): доступ пользователя к системе блокируется после пяти по- следовательных неправильных попыток входа в систему. После сра- батывания защиты отбрутфорса всем пользователям втечение неко- торого времени запрещается входить в систему. Если медицинская бригада случайно активирует эту функцию, доступ к системе будет заблокирован, создавая риски для пациента. Хотя встроенные функ- ции безопасности­ защищают от ряда угроз, они в то же время могут порождать другие. Найти баланс между защитой, безопасностью­ и удобством использования – сложная задача.

Что касается повышения привилегий, критически важные медицин- ские системы часто имеют решения для удаленной поддержки, кото- рые позволяют техническим специалистам поставщика мгновенно получать доступ к программному обеспечению. Наличие этих функ- ций автоматически увеличивает масштаб угрозы, поскольку подоб- ные службы уязвимы и злоумышленники могутиспользоватьих,что- бы получить удаленный административный доступ в пределах RUI или службы управления сервером. Даже если эти функции требуют аутентификации, учетные данные могут быть общедоступными или одинаковыми для всех продуктов линейки. А иногда и аутентифика- ция не предусмотрена.

которые могут включать в себя изолированную программную среду приложений, разрешения файловой системы и существующие сред- ства контроля доступа на основе ролей.

Используя STRIDE,мы можем идентифицировать следующие угро- зы. Подмена: атаки с использованием спуфинга могут происходить из-за того, что сервер управления не имеет надежного метода иден- тификации инфузионных помп. Если вы хотя бы поверхностно про- анализируете протокол связи, то можете имитировать помпу и свя- заться с сервером управления, что влечет за собой новые угрозы.

Вмешательство: злоумышленникможетвзломатьсервис,посколь- ку у сервера управления нет надежного метода проверки целостно- сти данных, отправляемых инфузионной помпой. Это означает, что сервер управления уязвим для атак типа man-in-the-middle («человек посередине»), когда злоумышленник изменяет данные, отправляе- мые на сервер, и предоставляет ему ложные показания. Если сервер управления основывает свои действия на фальсифицированных по- казаниях, атака может напрямую повлиять на здоровье и безопас­ ность пациентов.

Сервер управления может допускать сокрытие действий пользова- теля,потому что использует общедоступные журналы,которые любой пользователь системы может перезаписать по своему усмотрению. Эти файлы журналов могут подвергаться инсайдерскому вмешатель- ству со стороны злоумышленника, который хочет скрыть в них опре- деленные операции.

Что касается утечки информации, управляющий сервер без необхо- димости отправляет конфиденциальную информацию о пациенте на сервер обновлений или инфузионную помпу. Эта информация может включатьрезультаты важных измерений,персональныеданные ит.п.

могут заглушить его сигнал и отключить любой вид беспроводной связи с помпой, в результате чего вся система станет бесполезной.

Сервер управления может быть уязвим и для Elevation of privilege (повышения привилегий), если он непреднамеренно предоставляет службы API, которые позволяют неаутентифицированным злоумыш- ленникам выполнять действия с высокими привилегиями, включая изменение настроек инфузионной помпы.

Библиотека препаратов

Библиотека препаратов – это основная база данных системы. Она содержит всю информацию, относящуюся к лекарствам, которые ис- пользует помпа.Эта база данных также может оперировать системой управления пользователями.

Подмена: пользователи, взаимодействующие с базой данных через RUI или помпу, могут выдавать себя за пользователей другой базы данных. Например, они могут использовать уязвимость приложения, связанную с отсутствием элементов управления для ввода данных пользователем из RUI.

Вмешательство: библиотека препаратов может быть уязвима

вслучае, если библиотека не способна качественно очищать вводи- мые пользователем RUI данные. Это может привести к атакам типа SQL injection,которые позволяютзлоумышленникам манипулировать базой данных или внедрить SQL-код.

База данных можетдопускать сокрытие,если пользовательские за- просы,исходящие от инфузионной помпы,через запросы программ- ного агента пользователя, передаваемые незащищенным образом, позволяют злоумышленникам засорять файлы журнала базы данных (например, с помощью символов перевода строки для вставки фаль- шивых записей логов).

Information disclosure (раскрытие информации): база данных может содержать функции или хранимые процедуры, которые выполняют внешние запросы (например DNS-или HTTP-запросы).Злоумышлен- ник может использовать их для кражи данных с помощью атаки SQL injections. Этот метод чрезвычайно полезен для злоумышленников, которые могут выполнять только слепые атаки SQL injections, в ко- торых выходные данные сервера не содержат данных, полученных

врезультате введенного запроса. Например, злоумышленники могут переправить конфиденциальные данные, создав URL-адреса и поме- стив эти данные в поддомен, который они контролируют. Затем они могутпредоставить этотURL-адрес одной из этих уязвимых функций и заставить базу данных выполнить внешний запрос к их серверу.

Атаки на отказ в обслуживаниитакже могутпроисходитьв случаях, когда злоумышленник пользуется компонентами системы, позволя- ющими выполнять сложные запросы.Вынуждая эти компоненты вы- полнять ненужные вычисления, база данных может прервать работу, когда не останется доступных ресурсов для выполнения запроса.

Выполняя определенный набордействий через компонентRUI,поль- зователь может вызывать эти функции и повышать свои привилегии до уровня суперпользователя базы данных.

Операционная система

Операционная система получает входные данные от службы сервера управления,поэтомулюбые угрозыдля нее исходятнепосредственно от сервера управления. В операционной системе должны быть пред- усмотрены механизмы проверки целостности, а ее базовая конфигу- рация должна учитывать определенные принципы безопасности­ : на- пример,защитунеактивныхданных,процедурыобновления,сетевой экран (файрвол) и обнаружение вредоносного кода.

Компонент допускает подмену, если злоумышленник может за- грузить собственную кастомную операционную систему, которая намеренно не поддерживает необходимые элементы управления безопасностью­ , такие как «песочница», разрешения файловой систе- мы и управление доступом на основе ролей. Затем злоумышленник может изучить приложение и извлечь важную информацию, которая в противном случае была бы ему недоступна.

Вмешательство: имеялокальный или удаленныйдоступ к системе, злоумышленник может манипулировать ОС – например, изменять текущие настройки безопасности­ , отключать сетевой экран и уста- навливать обходной путь для исполнимой программы.

Сокрытие: такая угроза возникает, если системные логи хранятся только локально и если злоумышленник с высокими привилегиями может их изменить.

Утечка информации: сообщения об ошибках и отладочные сообще- ния могут раскрывать информацию об операционной системе, что позволяет злоумышленникам внедряться в систему все глубже.Сооб- щения могуттакже содержатьконфиденциальную информацию о па- циенте, которая не должна передаваться третьим лицам.

Компонент может быть подвержен атакам отказам в обслужива- нии, если злоумышленник инициирует нежелательный перезапуск системы (во время процесса обновления, например) или намеренно выключает систему, вызывая сбой в работе устройства.

Повышение привилегий: злоумышленники могут воспользоваться уязвимостями функционала, дизайном программного обеспечения или неправильной конфигурацией высокопривилегированных служб иприложенийдляполучениярасширенногодоступакресурсам,кото- рыми могут распоряжаться только пользователи с особыми правами.

Прошивка компонентов устройства

Далее рассмотрим прошивку всех компонентов устройства,таких как привод CD/DVD, контроллеры, дисплей, клавиатура, мышь, материн- ская плата, сетевая карта, звуковая карта, видеокарта и т. д. Прошив-

в энергонезависимой памяти компонентов или загружается в компо- ненты драйвером во время инициализации. Поставщик устройства, как правило, разрабатывает и поддерживает собственное микропро- граммное обеспечение. При этом он должен подписать микропро- грамму, а устройство должно проверить эту подпись.

Подмена: злоумышленники могут использовать логические ошиб- ки, которые понижают версию микропрограммы до более ранней, содержащей известные уязвимости. Еще один вариант вредоносного воздействия – установить специальную прошивку, которая маскиру- ется под последнююдоступную версию отпоставщика,когда система запрашивает обновление.

Вмешательство: установка вредоносного ПО на прошивку – рас-

пространенный метод для атак с целенаправленной устойчивой угро-

зой (Advanced Persistent Threat,APT),когда злоумышленник пытается остаться незамеченным в течение длительного периода и переждать переустановку операционной системы или замену жесткого диска. Например,модификацияпрошивкижесткогодиска,содержащаятро- ян (особый род вируса), позволяет хранить данные в местах, которые останутся незатронутыми даже при форматировании или удалении диска. Устройства интернета вещей часто не проверяют целостность цифровой подписи и микропрограмм, что упрощает такие атаки. Кроме того, изменение переменных конфигурации определенной прошивки (например, BIOS или UEFI1) может позволить злоумыш- ленникам отключить определенные аппаратные средства безопас­ ности,такие как Secure Boot (защищенная загрузка).

Утечка информации: любая прошивка, которая устанавливает канал связи с серверами сторонних поставщиков (например, для аналитиче- ских целей илидля запроса информации об обновлениях),также может раскрыватьличные данные пациентов,втом числе относящиеся к раз- ряду конфиденциальных. Кроме того, иногда прошивка предоставляет ненужные функции API, связанные с безопасностью­ , которыми злоу- мышленники могут воспользоваться для извлечения данных или по- вышения своих привилегий. Сюда относится утечка содержимого ОЗУ модуля системного управления (System Management Random Access Memory–SMRAM),используемогорежимомсистемногоуправления(sys- tem management mode, SMM), который выполняет код с самыми высо- кими привилегиями и управляет загрузкой центрального процессора.

Отказ в обслуживании: некоторые поставщики компонентов устройствпредусматриваютобновленияпобеспроводнойсети(такна- зываемоеобновлениеповоздуху–over-the-air,OTA)дляраспростране- ния прошивки и надежной настройки соответствующего компонента. Злоумышленники могут блокировать эти обновления, оставляя систе- мувнебезопасномилинестабильномсостоянии.Крометого,вероятны

Повышение привилегий: возможно использование известных уязви- мостей в драйверах и злоупотребление недокументированными, от- крытыми интерфейсами управления, такими как SMM. Кроме того, многие компоненты устройства поставляются с паролями по умол- чанию, встроенными в прошивку. Злоумышленники могут использо- вать эти пароли для получения привилегированного доступа к пане- лям управления компонентов или к действующей хост-системе.

Физическое оборудование

Теперьоценимбезопасность­ физическогооборудования–втомчисле корпус, в котором размещен процессор сервера управления и экран RUI. После того как злоумышленники получают физический доступ к системе, следует предположить, что они наделят себя правами ад- министратора.Полностью защититься от этого маловероятно.Тем не менее вы можете реализовать механизмы, которые значительно ус- ложнят этот процесс.

Требований к безопасности­ физического оборудования гораздо больше,чемклюбымдругимэлементамсистемы.Во-первых,клиника должна хранить сервер управления в помещении, к которому имеют доступ только уполномоченные сотрудники. Каждый компонент дол- жен поддерживать аттестацию оборудования и предусматривать без- опасный процесс загрузки,основанный на ключах,записанных в CPU. Наустройстведолжнабытьвключеназащитапамяти.Онодолжнообе- спечивать безопасное управление ключами с аппаратной поддерж- кой, хранение и генерацию, а также безопасные криптографические операции, такие как генерация случайных чисел, шифрование дан- ных открытым ключом и безопасная подпись.Крометого,все важные компоненты должны быть покрыты эпоксидной смолой или другим клейкимвеществом,котороенепозволяетлегкоизучитьконструкцию схемы и затрудняет реверс-инжиниринг (обратную разработку).

Подмена: злоумышленники могут заменить критически важные части оборудования неисправными или небезопасными. Эти атаки мы называем атаками на цепочку поставок, потому что они часто происходят на этапах производства или доставки продукта.

Вмешательство: пользователь может подключить внешние USBустройства, такие как клавиатура или флешка, чтобы предоставить системе ненадежные данные. Кроме того, злоумышленник может заменить существующие физические устройства ввода (например, клавиатуру, кнопки управления, порты USB или Ethernet) вредонос- ными, которые передают данные вовне. Открытые интерфейсы ап- паратного программирования, такие как JTAG, тоже могут позволить злоумышленникам изменить текущие настройки устройства и из- влечь прошивку или даже сбросить настройки, переведя устройство в небезопасное состояние.

Утечка информации: злоумышленники могут обнаружить инфор- мацию о системе и ее работе, просто наблюдая за ней. Кроме того,

поминающие устройства и извлечь сохраненные данные. Злоумыш- ленники также могут пассивно выводить конфиденциальную инфор- мацию о пациентах, пароли в открытом виде и ключи шифрования, используя потенциальные утечки из побочного канала в аппаратной реализации (например, электромагнитные помехи или энергопотре- бление CPU) либо проводя анализ разделов памяти при выполнении

атаки с холодной перезагрузкой (cold-boot attack).

Служба можетбытьуязвимадля атакотказа вобслуживаниивслуча- ях,когдапроисходитотключениепитанияисистемапрекращаетфунк- ционировать. Эта угроза напрямую затрагивает все компоненты, для работы которых требуется сервер управления. Кроме того, злоумыш- ленники,имеющиефизическийдоступкоборудованию,могутвоздей- ствовать на внутреннюю схему устройства,вызывая неисправности.

Повышение привилегийвозможно ввидутаких уязвимостей,как гонка фронтовсигналовинебезопаснаяобработкаошибок.Этипроблемыха- рактерныдля конструкции со встроенными процессорами ипозволяют злоумышленнику читать всю память или производить запись в произ- вольные участки памяти,даже если у него неттаких полномочий.

Служба управления помпой

Служба управления помпой (служба помпы) – это программное обе- спечение,управляющеепомпой.Оносостоитизпротоколасвязи,под- ключающегося к серверу управления, и микроконтроллера, который управляетпомпой.Вдополнениекобщимтребованиямбезопасности­ помпа должена идентифицировать и проверять целостность службы сервера управления. Протокол связи между сервером управления и инфузионной помпойдолжен бытьбезопасным и недопускатьатак повторением или перехвата.

Подмена: может повлиять на компонент, если помпа не использует проверки, достаточныедляподтверждениятого,чтоонадействитель- но обменивается данными с легитимным сервером управления. Не- надежная проверка можеттакже привести к вмешательству,если,на- пример, помпа примет несанкционированные запросы на изменение ее настроек.Что касается сокрытия событий,инфузионная помпа мо- жет использовать пользовательские лог-файлы – если они доступны не только для чтения,возможно неправомерное вторжение и в них.

Служба помпы допускает утечку информации, если протокол связи между сервером управления и инфузионной помпой не использует шифрование.Вэтомслучаезлоумышленникимогутперехватитьдан- ные, включая конфиденциальную информацию о пациентах.

Атаки отказа в обслуживании окажутся успешными, если после тщательного анализа протокола связи злоумышленник обнаружит команду выключения. Кроме того, если помпа имеет в системе права суперпользователя и полный контроль над устройством, она может быть подвержена угрозе повышения привилегий.