在最新的一集美剧《国土安全》(Homeland)中,主角Brody把副总统心脏起搏器的序列号告诉恐怖分子Nazir,直接导致副总统的起搏器错误工作,杀人于无形。这种方法,真的是可能的吗?病人最贴近的保护神,会不会突然变成被遥控的定时炸弹?从原理上讲,这也许并不是天马行空的艺术想象。
心脏起搏器:帮助心脏按频率跳动
心脏起搏器(Artificial cardiac pacemaker)是一种医疗器械,被用于心脏疾病的治疗。确切的说,通常是用于那些罹患慢速心律失常的患者的治疗,比如病态窦房结综合征、高度房室传导阻滞、房颤伴R-R长间歇等等。在发病时,患者的心跳会突然减慢,如降低到每分钟30跳左右,这将会严重威胁到他们的生命安全。而起搏器的作用,简单来说,就是在此刻短促多次的触发电脉冲刺激心肌,带动心脏按照预先设定的频率跳动,从而达到挽救生命的目的。
1932年,美国生理学家阿尔伯特•海曼(Albert Hyman)在前人研究的基础上,将一个电子装置装在了自己的身上,并连接一部手摇发电机,从而制造出了第一台有实用价值的心脏起搏器,“心脏起搏器”这个名字也从此沿用至今。当然,这种装置显然太过笨重,只能用于住院治疗的患者。1958年,美国工程师厄尔•巴克(Earl Bakke)制造出了第一台体积、重量都较小,可以随身携带的心脏起搏器,这才让心脏起搏器迅速推广开来。
世界第一个植入式心脏起搏器。(wiki)
最初的心脏起搏器都是挂在体外的,通过贴在胸口上的片状电极发挥作用;或是用细小的针状电极植入到皮下,通过电线连接体外的电池盒。这种做法,则可能为日后的感染留下隐患,因此后续的研究,就着眼于延长电池的寿命。现在的科学技术,已经能做到让心脏起搏器里的电池正常工作10年以上,患者一次手术植入后,就能持续享受它的保护很长时间。
随着电子技术的不断进步,如今的心脏起搏器也更加小巧、功能更强大。它们能够监测患者的心跳情况并记录在案,甚至通过特定的传感器,将这些数据通过网络发送给医生;这些数据可以为医生针对不同患者的情况调整治疗方案,更好的实现个性化治疗;也会根据患者的心跳情况,在预设的治疗模式中实时选择,确保电刺激的效果。有了它的保护,心律失常患者就敢于在白天从事户外活动,在夜晚安然入睡,而不用随时提心吊胆自己什么时候发病了。在1992-2002年这十年中,美国就有260万台以上的心脏起搏器和心脏除颤器被植入患者体内。
隐藏的危险
然而,任何技术的进步都会带来新的问题,心脏起搏器也不例外。一般认为,高强度的电磁场,对于佩戴植入式心脏起搏器的患者而言是不安全的。大到有核磁共振(NMR)的房间,小到家用电磁炉,都可能干扰到起搏器的正常工作,给患者的健康带来危险。这些算是明枪易躲,而随着无线射频技术的发展,另一种风险也在悄悄袭来,却是暗箭难防。
今年5月,在美国国土安全部(Department of Homeland Security)发表的一份报告中,援引麻省大学的一项研究,对植入式心脏除颤器(ICD)、起搏器等植入式治疗设备(Implantable Medical Devices, IMD)的使用提出了预警。
这方面的研究中,特别值得一提的是2011年8月在拉斯维加斯举行的一次“黑帽”研讨会(Black Hat conference,或称黑客研讨会)。在这次会议上,来自于McAfee公司的安全工程师杰伊•拉德克里夫(Jay Radcliffe)通过无线设备和自己的笔记本电脑,成功的遥控了46米外的一台自动注射泵。如果某个糖尿病患者正佩戴着这台注射泵,操纵者就可以命令它频繁、大剂量的向佩戴者的体内注入胰岛素,使他因为血糖太低而昏迷乃至死亡。
实际上,这台价值6000美元的注射泵属于杰伊自己。作为一个糖尿病人,他已经佩戴注射泵达11年之久,这让他感到不寒而栗。“你掌握了设备的控制权,就等于掌握了你身体里的化学物质的控制权。”
而由哈佛大学医学院的威廉姆•梅塞尔(William H. Maisel)教授等人于公布的一项结果中,对ICD的安全性进行了评估。
剧中副总统用的起搏器。(图:showtime)
他们发现,在几米远的距离上,通过一台未经制造商授权的设备及软件,就可以对一台ICD进行控制。比如,他们可以检测到一个从设备几米外经过的病人是否带有ICD,可以读出它的序列号,甚至读取它其中储存的患者心跳数据;更可怕的是,还能改变仪器的设置、命令其放电或停止放电。倘若这是一台正在患者身体里工作的植入式治疗设备,其结果可想而知,甚至进行文中开头提到的那样隐秘的暗杀,也不是不可能的。而心脏起搏器的工作原理与ICD并无本质差别,上述研究恐怕对于起搏器也是一个巨大的预警。
该研究中使用的ICD,与外部控制器之间使用的是175kHz频率的通讯,作用距离较短;但新型的ICD等设备,普遍兼容175kHz和402-405MHz的植入医疗设备通讯频率(MICS),后者的通讯距离则要长得多。这样,患者家中的传感器可以方便的与之通讯,及时把数据传给医生,但也为心怀叵测的入侵者提供了更便利的条件。(但像剧中那样真正从一个不知道在哪里的电脑直接遥控,应该还需要一个实时连接到互联网上的起搏器)
仔细看看?这个起搏器上的图例说明,只有把盒子里的圆头贴在起搏器上,才可以通过电脑操纵起搏器。
有进攻,就有防守
那么,面临这样恐怖的风险,是不是就无法应对了呢?答案显然也是否定的,我们能够做的防御手段,还相当的多。
首先,低安全系数的设备来自于制造商的安全意识缺乏。实际上,上述用于试验的设备,普遍都没有任何信息安全措施,连最简单的信号加密和口令问答都没有,才让黑客们如入无人之境。而现在的射频技术中,信息往往都是 加密传输的 ,在技术上实现安全控制并无困难。这样,即便入侵者成功的与IMD进行了通讯,其发出的指令信号也会因为对不上“暗号”而被系统拒绝,无法肆意妄为。
同时,可以对IMD设备中预先固化一部分安全程序,对于极端的指令拒绝执行。比如,在胰岛素自动注射泵中,就可以加入一项安全检查指令,当短时间内累计注射的胰岛素达到一定剂量,或者是单次注射的剂量超过安全范围,就自动停止注射,这也能够让黑客们的目标难以实现。
实际上,从硬件层面增加安全性,也是一个相当好的方法。例如,一个简单的按钮开关,就可以挡住那些非法读取IMD数据、篡改IMD设置的企图,既经济又可靠。
另外,还可以采用一些主动防御的手段。在梅塞尔教授的研究中,他们就尝试制造了一个简单的防御装置:
这个被称为“无线识别和感知平台”(WISP)的装置其实很寒酸,但效果却非常的好。研究人员将其包裹在牛肉之中,然后用之前入侵ICD的实验装置靠近牛肉,结果WISP成功的识别出了这些连续的射频通讯信号并蜂鸣报警。如果这样的系统挂在植入了心脏起搏器的患者的脖子上或口袋里,当附近存在有意或无意的射频通讯信号时,它就能提醒患者及时躲开相关区域,让那些不怀好意的人无计可施。
WISP-射频信号报警装置
而由美国普度大学、普林斯顿大学的联合研究小组研发的防御装置,可能要更复杂一些。这个叫做MedMon(“医学监控”)的装置可以对周围的无线射频信号进行多层次的分析,如果判断有可能会危害IMD的信号存在,就会及时报警。这个和WISP一样,都可谓是釜底抽薪的方案。
另外,对于那些心脏状况不是非常非常差的患者来说,在起搏器遭到攻击后,如果及时抢救,并且迅速断开被破坏的起搏器,安装临时起搏器的话,应该还是有很大机会救命的。(这么来看剧中Brody要等到总统完蛋才叫医生还是有必要的……)
实际上,高科技在带来更便利的生活时,也总都会给犯罪分子提供新的可乘之机,这本身没有什么奇怪的。而立法者、执法者及其技术盟友们要做的,就是用高科技手段来堵塞这些漏洞,保护民众的安全。这不仅要有技术层面的改进,更依赖于公众安全意识的增强。借用王大伟教授的话来说,“人防、物防,还得加上心防”。
在保卫植入式医疗设备的征途上,我们才刚刚出发。