211service.com
Säkerhetsexperter hackar teleopererad kirurgisk robot
En avgörande flaskhals som förhindrar att livräddande operationer utförs i många delar av världen är bristen på utbildade kirurger. Ett sätt att komma runt detta är att bättre utnyttja de som finns.
Att skicka dem över stora avstånd för att utföra operationer är helt klart ineffektivt på grund av den tid som måste läggas på att resa. Så ett allt viktigare alternativ är möjligheten till telekirurgi med en expert på ett ställe som styr en robot på en annan som fysiskt utför nödvändig skärning och tärning. Faktum är att försäljningen av medicinska robotar ökar med en takt på 20 procent per år.
Men även om fördelarna är tydliga, har nackdelarna varit mindre väl utforskade. Telekirurgi förlitar sig på spjutspetsteknik inom så olika områden som datorer, robotteknik, kommunikation, ergonomi och så vidare. Och alla som är bekanta med dessa områden kommer att berätta att de är långt ifrån felsäkra.
Idag undersöker Tamara Bonaci och kompisar vid University of Washington i Seattle de speciella fallgropar som är förknippade med den kommunikationsteknik som är involverad i telekirurgi. I synnerhet visar de hur en illvillig angripare kan störa beteendet hos en telerobot under operation och till och med ta över en sådan robot, första gången en medicinsk robot hackats på detta sätt.
Den första telekirurgin ägde rum 2001 med en kirurg i New York som framgångsrikt tog bort gallblåsan från en patient i Strasbourg i Frankrike, mer än 6 000 kilometer bort. Kommunikationen gick över en dedikerad fiber tillhandahållen av ett teleföretag specifikt för verksamheten.
Det är ett dyrt alternativ eftersom dedikerade fibrer kan kosta tiotusentals dollar.
Sedan dess har kirurger utfört många fjärroperationer och börjat experimentera med vanliga kommunikationslänkar över Internet, som är betydligt billigare.
Även om det inte finns några registrerade incidenter där kommunikationsinfrastrukturen har orsakat problem under en telekirurgioperation, finns det fortfarande frågor om säkerhet och integritet som aldrig har besvarats fullt ut.
Så Bonaci och co gav sig i kast med att utforska några av dessa frågor med hjälp av en telekirurgirobot som heter Raven II, som utvecklades vid University of Washington. Raven II är designad med målet att dramatiskt minska storleken på dessa robotar samtidigt som de förbättrar deras hållbarhet så att de kan användas i extrema miljöer.
Roboten består av två kirurgiska armar som manipuleras av en kirurg med hjälp av en toppmodern kontrollkonsol som inkluderar video och haptisk feedback.
Roboten själv körs på en enda PC som kör programvara baserad på öppna standarder, som Linux och Robot Operating System. Den kommunicerar med kontrollkonsolen med hjälp av ett standardkommunikationsprotokoll för fjärrkirurgi, känt som Interoperable Telesurgery Protocol.
Denna kommunikation sker över offentliga nätverk som potentiellt är tillgängliga för vem som helst. Och eftersom roboten är designad för att fungera under extrema förhållanden kan den här kommunikationslänken vara en anslutning av låg kvalitet till internet, kanske till och med trådlöst.
Och däri ligger risken. På grund av kommunikationsnätverkens öppna och okontrollerbara karaktär blir det lätt för skadliga enheter att störa, störa eller ta över kommunikationen mellan en robot och en kirurg, säger Bonaci och co.
Så det var precis vad de försökte göra. Bonaci och co har försökt olika typer av cyberattack mot roboten för att se hur lätt den är att störa.
Deras experiment är relativt okomplicerat. Istället för en verklig operation har operatören uppgiften att flytta gummiblock från en del av en pinnbräda till en annan. Teamet mäter sedan hur snabbt operatören kan utföra denna uppgift under en attack och hur svårt olika operatörer bedömer uppgiften.
Kontrollkonsolen ansluter till roboten över ett standardnätverk, vilket även den attackerande datorn är kopplad till. Denna uppsättning tillåter den attackerande datorn att fånga upp och manipulera signalerna som skickas i båda riktningarna mellan kontrollkonsolen och roboten.
Laget provar tre typer av attacker. Den första ändrar de kommandon som operatören skickar till roboten genom att radera, fördröja eller ombeställa dem. Detta gör att robotens rörelser blir ryckiga och svåra att kontrollera.
Den andra typen av attack modifierar avsikten med signaler från operatören till roboten genom att ändra till exempel avståndet en arm ska röra sig eller graden den ska rotera och så vidare. De flesta av dessa attacker hade en märkbar inverkan på Raven direkt efter lanseringen, säger Bonaci och co.
Den sista attackkategorin är en kapning som helt tar över roboten. Detta visar sig vara relativt enkelt eftersom Interoperable Telesurgery Protocol är allmänt tillgängligt. Vi tog effektivt kontroll över den teleopererade proceduren, säger de.
De utarbetade till och med hur man genererade rörelser som utlöste en automatisk stoppmekanism inbyggd i roboten. Detta inträffar när en rörelse tar armarna längre än ett fördefinierat avstånd eller gör att de rör sig för snabbt.
Genom att ständigt skicka kommandon som utlöste denna mekanism kunde teamet utföra ett slags överbelastningsattack. Vi kan enkelt stoppa roboten från att någonsin återställas korrekt, vilket i praktiken omöjliggör ett kirurgiskt ingrepp, säger de.
Och om den här typen av cyberattack inte var tillräckligt illa, var videoanslutningen också allmänt tillgänglig så att nästan vem som helst kunde se operationen i realtid.
Det är inte svårt att föreställa sig hur cyberattacker av det här slaget kan få dödliga konsekvenser. Även överbelastningsattacken vid en avgörande punkt under ett kirurgiskt ingrepp kan vara dödlig.
Efter att ha sett hur effektiva dessa typer av cyberattacker kan vara, föreslår Bonaci och co också sätt att förhindra dem. Det mest uppenbara är att kryptera kommunikationen mellan kontrollkonsolen och roboten.
De testade till och med denna idé och sa att roboten fungerade som förväntat. Användningen av kryptering och autentisering har låg kostnad och höga fördelar för telerobotkirurgi, vilket mildrar många analyserade attacker, avslutar de.
Kryptering kan dock inte förhindra alla slags attacker. I synnerhet tillåter det fortfarande man-in-the-middle-attacker där en avlyssnare fångar upp signaler i båda riktningarna samtidigt som de lurar båda parter att de fortfarande pratar med varandra.
Och videokryptering är förmodligen inte praktiskt över den typ av nätverkslänkar som är tänkta för fjärrkirurgi på extrema platser. Det kanske inte är ett säkerhetsproblem men det väcker viktiga frågor om integritet.
Det är intressant arbete som har djupgående konsekvenser inte bara för hur telekirurgi kommer att utföras utan för hur allmänheten uppfattar säkerheten och integriteten i dessa system.
Telekirurgioperatörer måste ta en syn på hur säker deras utrustning kommer att behöva vara. Och beslutsfattare och allmänheten måste dra sina egna slutsatser om vilken typ av säkerhet och integritet som är acceptabel. Oavsett vilket kommer katt- och råttaleken med cybersäkerhet att fortsätta
Ref:arxiv.org/abs/1504.04339: Att göra en robot säker: en experimentell analys av cybersäkerhetshot mot teleopererad kirurgisk robotik