A Pro Progressio alapítvány által meghirdetett „Dialízisgép – Hálózatbiztonság” kutatási téma során a BME Híradástechnikai tanszéke, illetve a B. Braun Medical Kft. munkatársai közösen dolgoztak egy új dialízis gép kialakításán, annak hálózaton keresztüli biztonságos elérésén, adatkommunikációjának és szervizelésének kialakításán.
A B. Braun korábbi dialízis gépeinek kommunikációja egy speciálisan erre a célra kialakított egységen keresztül történt, melynek bármely sérülése, működésében bekövetkező meghibásodás, leállás, támadó általi károkozás stb. során a tényleges dialízis gép nem sérült, így egy beteg kezelése közben bekövetkező kommunikációs egységet ért sérülés során a beteg nem került veszélybe, nem fenyegetett a dialízis gép teljes, vagy részleges leállása. A projekt során egy új dialízis gép kifejlesztése, illetve ezen belül annak biztonsági fejlesztése volt a Híradástechnikai tanszék munkatársainak feladata. A lényegi különbséget a korábbi rendszerhez képest az jelentette, hogy az új hardver már tartalmaz megfelelő adatkommunikációra képes hálózati interfészt, így azt kellett biztosítani, hogy az ezen keresztül küldött adatok biztonságosan érjenek célba, illetve ami még fontosabb, hogy a hálózati interfészt ért bármilyen támadás során a betegkezelésért felelős hardver elemek, illetve vezérlés ne kerüljön veszélybe, nem állhat fenn a dialízis gép leállása.
A projekt kezdetén fel kellett térképezni az adott környezetben kivitelezhető támadásokat, a felépített rendszer (hardver és szoftver komponensek) biztonsági hiányosságait, támadási felületét annak érdekében, hogy javaslatot tehessünk a biztonságos kommunikáció kialakítására. Mivel a dialízis gép vezérlését egy speciális, csak erre a célra fejlesztett alkalmazás végzi, így itt tipikus támadások megvalósítása kisebb kockázatot jelentett, a nagyobb veszélyt exploit-ok, kártékony kódok program általi feldolgozása jelentette. A futtató környezet már több veszélyt is hordozott magában, mivel ez egy tipikus Linux operációs rendszer, mely a széles körű használatnak köszönhetően nagyobb támadási lehetőségeket tartalmaz. Ezért első lépésként megvizsgáltuk, hogy a használt kernel esetén milyen biztonsági hiányosságokat tártak fel, és melyekre készítettek megfelelő biztonsági javítást. A felfedezett biztonsági hiányosságok jelentős része biztonsági szempontból nem jelentett kritikus problémát, továbbá hálózati szempontból a kritikus problémákra minden esetben létezett megfelelő javítás. A dialízis gép működtetését végző alkalmazás biztonsági elemzése során fény derült arra, hogy a program biztonsági szempontból nem tartalmaz semmiféle kritikus kódrészletet, csak és kizárólag az előre definiált csomagokat fogadja el, dolgozza fel, hibás üzenetek, illetve kártékony kódok esetén a csomag egyből eldobásra kerül, így a dialízis gépről kijelenthető, hogy teljesen biztonságos.
Az egyetlen támadási mód, mellyel kár okozható, az úgynevezett elárasztásos támadás, amikor akár korábban elfogott valódi csomaggal, akár hamis csomaggal bombázzuk a dialízis szervert és ezáltal annyira leterheljük a feldolgozó egységet, hogy a valós működéshez szükséges műveletek elvégzésére már nem jut elég processzoridő. Ennek kivédésére egy minden szempontból megfelelő tűzfalat fejlesztettünk ki. Mivel a kommunikáció TCP csomagokkal történik, így többféle módon kivitelezhető az elárasztásos támadás. Akár úgy, hogy a csomagok esetén kötelezően előírt flag-eket módosítgatjuk, esetleg az összes flag-et bekapcsoljuk (XMAS attack), esetleg egy tényleges TCP kapcsolat felépítést követően nagy mennyiségű adattal árasztjuk el a szervert stb. A lehetséges támadásokat valós környezetben elvégeztük, teljesítménytesztekkel vizsgáltuk a szervert támadások idején. A tűzfal szabályokat az elemzések során felderített összes támadást figyelembe véve alakítottuk ki, ezáltal elimináltuk a DoS támadások lehetőségét. A tűzfalba a B. Braun által előírt mennyiségű bejövő csomagra korlátot állítottunk be, továbbá csak és kizárólag egyetlen porton engedélyeztük a kommunikációt egy előre meghatározott IP című géppel, mely a dialog gép. Ezt követően is elvégeztük a támadások tesztelését, mely a megfelelően kialakított tűzfal szabályoknak megfelelően nagyon pozitív eredményt adott. A rendszer processzor terheltsége alig észrevehetően nőtt csak ugyanolyan támadás során, mely esetén tűzfal nélküli rendszer esetén teljesen leterhelhető volt a dialízis gép.
A projekt további részében azt kellett biztosítanunk, hogy lehetőség legyen arra, a világ másik felén lévő dialízis gépet távolról menedzseljék, szervizeljék, természetesen a lehető legbiztonságosabb módon. Erre azt a megoldást fejlesztettük ki, hogy a dialízis gépeket, továbbá a dialog szervert és a szerviz gépeket egy megfelelő biztonságot nyújtó VPN (virtuális magánhálózat) hálózatba kapcsoljuk. Továbbá a VPN hálózatba való csatlakozáshoz egy előre kiosztott tanúsítvány szükséges, melyet egy speciálisan ezek tárolására fejlesztett hardver token-en tárolunk. Így a szervizes kollégák a token számítógépbe helyezését követően automatikusan képesek kapcsolódni a VPN hálózathoz, amit követően a távoli számítógép elérése biztonságosan megoldható. Mivel az ezen hálózatba tartozó gépek csak a szerviz központtal tudnak kapcsolatot létesíteni, így ezen gép védelmére is megfelelő tűzfal szabályok kialakítását eszközöltük. A tanúsítványok, token kezelésére felállítottunk egy szabályrendszert, továbbá a tanúsítványok menedzselésére is kifejlesztettünk egy alkalmazást, mely képes tanúsítványokat létrehozni, megújítani, illetve visszavonni azokat.
A rendszer további biztonságát, illetve a szervizelés hatékonyabb, mobil elvégzését figyelembe véve megvalósítható egy mobil távközlő hálózatokon történő kommunikáció, mely teljesen kiküszöböli a vezetékes, illetve vezeték nélküli hálózati hozzáférést. Így nincs szükség az adott gép szervizeléséhez kiépített infrastruktúra, elég a szervizes telefonját 3G modemként működtetni és így kapcsolódni az Internethez. Ez természetesen további biztonsági kérdéseket vet fel, melyek vizsgálata jövőbeni feladatként képzelhető el, továbbá a megfelelő biztonsági szabályok, hitelesítési protokollok kialakítása is jövőbeni projekt keretén belül képzelhető el.