Take Two So)ware Updates and See Me in the Morning: - - PowerPoint PPT Presentation

take two so ware updates and
SMART_READER_LITE
LIVE PREVIEW

Take Two So)ware Updates and See Me in the Morning: - - PowerPoint PPT Presentation

Aug 17, 2023 100 likes •262 views

Take Two So)ware Updates and See Me in the Morning: The Case for So,ware Security Evalua6ons of Medical Devices Steve Hanna 1 , Rolf Rolles 4 , Andres

slide-1
SLIDE 1

Take ¡Two ¡So)ware ¡Updates ¡and ¡ See ¡Me ¡in ¡the ¡Morning: ¡ ¡

The ¡Case ¡for ¡So,ware ¡Security ¡Evalua6ons ¡of ¡Medical ¡Devices ¡

Steve ¡Hanna1, ¡Rolf ¡Rolles4, ¡Andres ¡Molina-­‑Markham2, ¡ Pongsin ¡Poosankam1,3, ¡Kevin ¡Fu2, ¡Dawn ¡Song1 ¡

University ¡of ¡California ¡– ¡Berkeley1, ¡University ¡of ¡MassachuseMs ¡Amherst2, ¡ ¡ Carnegie ¡Mellon ¡University3, ¡Unaffiliated4 ¡

slide-2
SLIDE 2

Changing ¡Medical ¡Device ¡Landscape ¡

  • Increased ¡so)ware ¡complexity ¡
  • So)ware ¡plays ¡an ¡increasing ¡role ¡

in ¡device ¡failure ¡

– 2005-­‑2009 ¡(18%) ¡due ¡to ¡so)ware ¡ failure, ¡compared ¡to ¡(6%) ¡in ¡1980s ¡

  • Increased ¡aMack ¡opportuniYes ¡
  • Medical ¡device ¡hardware ¡and ¡

so)ware ¡is ¡usually ¡a ¡ monoculture ¡within ¡device ¡ model ¡

2 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

Health ¡Data ¡ Connected ¡ ¡ Devices ¡ Medical ¡ ¡ Device ¡ 28,000 ¡adverse ¡event ¡reports ¡in ¡14 ¡Models ¡ recalled ¡2005-­‑2010. ¡ Automated ¡External ¡Defibrillators ¡

slide-3
SLIDE 3

To ¡be ¡clear… ¡

3 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

AEDs ¡ ICDs ¡

X ¡

slide-4
SLIDE 4

Wisconsin ¡requires ¡daycare ¡ providers ¡to ¡be ¡AED ¡proficient ¡

Global ¡Automated ¡External ¡Defibrillators ¡(AED) ¡Market: ¡Demand ¡to ¡Drive ¡Growth; ¡June ¡2009 ¡ ¡ ¡ ¡ ¡U.S., ¡European ¡and ¡Japanese ¡External ¡DefibrillaOon ¡(PAD) ¡Market ¡Report. ¡Frost ¡& ¡
  • Sullivan. ¡2000. ¡ ¡Valenzuela ¡TD, ¡et ¡al. ¡N ¡Engl ¡J ¡Med. ¡2000;343:1206-­‑1209. ¡ ¡
¡Caffrey ¡S, ¡et ¡al. ¡N ¡Engl ¡J ¡Med. ¡2002;347:1242-­‑1247. ¡ ¡ ¡ ¡

The ¡PopulaOon ¡of ¡AEDs ¡Has ¡ ¡ Increased ¡Significantly ¡Over ¡the ¡ Past ¡5 ¡Years ¡

Automated ¡External ¡Defibrillator ¡Milestones ¡ AEDs ¡Worldwide ¡

4 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

1,582,691 ¡ 1996 ¡ 1998 ¡ 2000 ¡ 2002 ¡ 2004 ¡ 2006 ¡ 2008 ¡

First ¡AED ¡with ¡biphasic ¡waveform ¡ First ¡save ¡on ¡US ¡airline ¡ 74% ¡survival ¡rate ¡in ¡casinos ¡ 75% ¡survival ¡rate ¡in ¡O’Hare ¡Airport ¡ PAD ¡Trial ¡Published ¡ New ¡York ¡requires ¡AEDs ¡ ¡in ¡public ¡places ¡

slide-5
SLIDE 5

Our ¡ObjecYves ¡

  • Explore ¡state ¡of ¡AED ¡so)ware ¡security ¡
  • Examine ¡for ¡standard ¡so)ware ¡security ¡flaws ¡

– Data ¡handling, ¡coding ¡pracYces, ¡developer ¡ assumpYons ¡

  • Give ¡insight ¡into ¡state ¡of ¡medical ¡device ¡

so)ware ¡and ¡potenYal ¡for ¡future ¡abuse ¡

5 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-6
SLIDE 6

Desirable ¡Medical ¡Device ¡ProperYes ¡

The ¡device ¡should: ¡

– Ensure ¡that ¡so)ware ¡running ¡on ¡a ¡ system ¡is ¡the ¡image ¡that ¡was ¡ verified ¡ – Detect ¡compromise ¡ – Verify ¡and ¡authenYcate ¡device ¡ telemetry ¡ – Be ¡robust: ¡defenses ¡and ¡updates ¡ weighed ¡with ¡risks ¡to ¡paYent ¡

6 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-7
SLIDE 7

Case ¡Study ¡ ¡

  • Analyzed ¡Cardiac ¡Science ¡G3 ¡Plus ¡model ¡9390A ¡
  • Performed ¡staYc ¡reverse ¡engineering ¡using ¡IDA ¡Pro ¡

– Analyzed: ¡MDLink, ¡AEDUpdate ¡and ¡device ¡firmware ¡

  • Analysis ¡using ¡BitBlaze ¡architecture ¡

– BitFuzz, ¡the ¡dynamic ¡symbolic ¡path ¡exploraYon ¡tool ¡

  • Remarks ¡

– Problems ¡likely ¡not ¡isolated ¡to ¡the ¡G3 ¡Plus ¡ – PotenYal ¡for ¡abuse ¡as ¡devices ¡become ¡more ¡connected ¡

7 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-8
SLIDE 8

VulnerabiliYes ¡Discovered ¡

  • 1. AED ¡Firmware ¡-­‑ ¡Replacement ¡
  • 2. AEDUpdate ¡ ¡-­‑ ¡Buffer ¡overflow ¡
  • 3. AEDUpdate ¡-­‑ ¡Plain ¡text ¡user ¡credenYals ¡
  • 4. MDLink ¡ ¡-­‑ ¡Weak ¡password ¡scheme ¡

Vulnerabili8es ¡were ¡verified ¡on ¡Windows ¡XP ¡SP2. ¡

8 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-9
SLIDE 9

Firmware ¡Replacement ¡

  • Firmware ¡update ¡uses ¡custom ¡

CRC ¡to ¡verify ¡firmware ¡

  • Modified ¡firmware, ¡with ¡

proper ¡CRC, ¡is ¡accepted ¡by ¡ AED ¡and ¡update ¡so)ware ¡

  • Impact: ¡Arbitrary ¡firmware ¡

DEVICE ¡COMPROMISED ¡

9 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-10
SLIDE 10

AEDUpdate ¡Buffer ¡Overflow ¡

  • During ¡update ¡device ¡

handshake, ¡device ¡version ¡ number ¡exchanged ¡

  • AEDUpdate ¡improperly ¡

assumes ¡valid ¡input ¡

  • Enables ¡arbitrary ¡code ¡

execuYon ¡

– Data ¡sent ¡from ¡AED ¡can ¡be ¡ executed ¡as ¡code ¡on ¡the ¡host ¡ PC ¡

10 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-11
SLIDE 11

Malicious Update Computer

Initial Malicious Firmware Update

AED Infecting Security Officer's Laptop

Malicious Firmware

Safety Officer's Laptop

00000000

0442

WORM

WORM

AED Software Update

Infected Device 0

Infected Device N

(Recalculated)

Malicious Firmware

Request for AED system status check

AED AED AED AED AED

Packet corruption leads to exploit

Firmware Checksum

Version Number Version String

Maliciously corrupted data

AED Software Update

11 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-12
SLIDE 12

Improving ¡Medical ¡Device ¡Security ¡ for ¡Developers ¡

  • Lessons ¡and ¡open ¡problems ¡from ¡the ¡CS ¡G3 ¡Plus ¡

– Cryptographically ¡secure ¡device ¡updates ¡

  • No ¡security ¡through ¡obscurity, ¡ensures ¡firmware ¡authenYcity ¡

– Device ¡telemetry ¡verified ¡for ¡integrity ¡and ¡authenYcity ¡

  • Defensively ¡assume ¡that ¡data ¡is ¡not ¡trusted ¡

– Passwords ¡cryptographically ¡secure ¡and ¡easily ¡managed ¡ ¡

  • Private ¡data ¡and ¡life ¡criYcal ¡funcYonality ¡should ¡be ¡protected ¡by ¡

well-­‑established ¡cryptographic ¡algorithms ¡ ¡

– Defenses ¡and ¡updates ¡weighed ¡with ¡risks ¡to ¡paYent ¡

  • Medical ¡devices ¡should ¡fail ¡open ¡

12 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-13
SLIDE 13

RecommendaYons ¡

  • Ensure ¡the ¡update ¡machine ¡is ¡secure ¡

– Physical ¡isolaYon, ¡virtual ¡machine ¡for ¡ fresh ¡install ¡

  • Follow ¡FDA ¡guidelines ¡and ¡advisories ¡
  • Remain ¡vigilant ¡

– Monitoring ¡physical ¡access, ¡ ¡rouYnely ¡ updaYng ¡afflicted ¡devices, ¡and ¡ monitoring ¡advisories ¡released ¡about ¡ the ¡device ¡

13 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-14
SLIDE 14

Final ¡RecommendaYon ¡

We ¡recommend ¡conOnued ¡use ¡of ¡AEDs ¡because ¡of ¡ their ¡potenYal ¡to ¡perform ¡lifesaving ¡funcYons. ¡ The ¡aMack ¡potenYal ¡is ¡currently ¡unmeasured ¡ and ¡currently, ¡these ¡devices ¡overwhelmingly ¡ save ¡more ¡lives ¡than ¡they ¡imperil. ¡ ¡

14 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡

slide-15
SLIDE 15

Thank ¡You ¡

  • QuesYons? ¡

– Contact: ¡

  • Steve ¡Hanna ¡(sch@eecs.berkeley.edu) ¡
  • Dawn ¡Song ¡(dawnsong@cs.berkeley.edu) ¡ ¡
  • Kevin ¡Fu ¡(kevinfu@cs.umass.edu) ¡

secure-­‑medicine.org ¡

15 ¡ Hanna, ¡et ¡al. ¡The ¡case ¡for ¡So)ware ¡Security ¡EvaluaYons ¡of ¡Medical ¡Devices ¡