Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
(Nie)bezpieczeństwo infrastruktury medycznej
Sprzęt medyczny odpowiedzialny między innymi za monitorowanie oraz podtrzymywanie życia pacjentów w wielu przypadkach nie jest odpowiednio zabezpieczony. Tego typu urządzenia są coraz częściej połączone z lokalnymi sieciami komputerowymi oraz Internetem, a ich producenci oraz obsługa nie przykładają wystarczającej uwagi do zagadnień bezpieczeństwa. W efekcie zagrożone jest zdrowie, a nawet życie pacjentów.
Nikogo nie trzeba przekonywać o tym, że bezpieczeństwo sprzętu medycznego ma szczególne znaczenie. Tymczasem producenci tego typu urządzeń narażają pacjentów na realne niebezpieczeństwo. Znany jest przypadek rozruszników podatnych na zdalny atak, w wyniku którego pacjent może zostać potraktowany śmiertelnym impulsem prądowym. Głośno było również o potencjalnym zdalnym ataku na pompy insulinowe, w wyniku którego uwalniana jest zabójcza dla pacjenta ilość hormonu.
Tymczasem rozmaite urządzenia w szpitalach i innych medycznych placówkach już od lat wykorzystują komunikację z sieciami komputerowymi, a jak się okazuje producenci w rażący sposób lekceważą bezpieczeństwo. W szczególności zaś kontrolę dostępu do interfejsów zarządzających.
Jak ostrzega amerykański ICS-CERT (CERT dedykowany tematyce bezpieczeństwa systemów przemysłowych) w 300 urządzeniach medycznych pochodzących od 40 różnych producentów odnaleziono podatności związane z hasłami administracyjnymi zaszytymi w wewnętrznym oprogramowaniu.
Tego typu podatność pozwala na (w wielu przypadkach zdalny) dostęp do urządzenia na prawach administracyjnych i w efekcie modyfikację dowolnych ustawień oraz podmianę wewnętrznego oprogramowania.
The affected devices have hard-coded passwords that can be used to permit privileged access to devices such as passwords that would normally be used only by a service technician. In some devices, this access could allow critical settings or the device firmware to be modified.
Władze USA (U.S. Food and Drug Administration) wydały już rekomendację zobowiązującą producentów oraz personel obsługujący urządzenia do podjęcia działań mających na celu ograniczenie ryzyka.
Tymczasem jednak problem jest o wiele poważniejszy, niż może to wyglądać na pierwszy rzut oka. Potencjalny intruz bardzo często nie musi nawet uzyskiwać dostępu do wewnętrznej szpitalnej sieci, gdyż wiele z urządzeń wykorzystywanych w medycynie jest widocznych bezpośrednio w Internecie…
Z jednej strony producenci medycznej infrastruktury oraz wszystkich urządzeń przemysłowych muszą więc przykładać większą uwagę do bezpieczeństwa własnych rozwiązań, ze szczególnym naciskiem na skuteczną kontrolę dostępu.
Jednak z drugiej strony wiele zależy od bezpieczeństwa konfiguracji zastosowanej przez samą placówkę medyczną, która powinna się poczuwać do odpowiedzialności za bezpieczeństwo własnych pacjentów oraz wykorzystywanej infrastruktury. Wygląda jednak na to, że na tym polu pozostaje jeszcze wiele do zrobienia…
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Teraz przejęcie spadku po bogatym mężu/ żonie będzie jeszcze łatwiejsze. Szybka odcinka tlenu i po sprawie :)
czesiulek,
Pamiętaj, że to by było zwykłe morderstwo, a dojście do sprawcy mogłoby nawet czasem być prostsze niż w przypadku klasycznego zabójstwa.
Oczywiście że tak. Jednak było by potencjalnie znacznie łatwiejsze i nawet niewymagające zbyt wielkiej odwagi.
W końcu bezpośrednie wyrządzenie krzywdy drugiej osobie wymaga dużo więcej „zachodu”, choćby zdobycie broni.
A powyższe podatności sprzętu dają jednak duże pole do popisu komuś kto chce „nabroić”.
Takie morderstwo jest stosunkowo prosto przeprowadzić tak aby znalezienie sprawcy było całkowicie niemożliwe. Nie podam tu przepisu… nawet w celach „edukacyjnych” ;) Prawda jest taka że im bardziej idziemy w technikę bezprzewodową, tym trudniej będzie znaleźć ewentualnych sprawców.
Marek,
Całkowicie niemożliwe może nie, bo anonimowość doskonała nie jest raczej w dzisiejszym świecie osiągalna. Oczywiście czasem znalezienie sprawcy mogłoby być bardzo trudne, ale nie niemożliwe.
Sam znalazlem confickera dzialajacego na pralce do narzedzi chirurgicznych w jednym ze szpitali. Nie ma sie co dziwic jezeli sprzet jest sterowany przez Windows XP SP0. Co wiecej mozna powiedziec ;)
Kacper,
Zgadza się, bezpieczeństwo informatyczne (a przecież wiele ze stosowanych dziś w medycynie urządzeń to tak naprawdę specjalizowane komputery) w tym sektorze wydaje się nieco lekceważone. Również instytucje regulujące ten sektor zdają się przejmować głównie bezpieczeństwem danych pacjentów, zapominając chyba, że bezpieczeństwo infrastruktury medycznej może mieć wpływ na życie i zdrowie pacjentów.
U nas jeszcze ratuje to, że informatyzacja w służbie zdrowia idzie tak sobie ;) Ale pewnie jak to będzie postępować to i zagrożenie będzie wzrastać.
-ms
Wojtek,
Tu sie nie do konca zgodze. 350tys wpisow w bazie danych mysql. Dane pacjentow z cala historia choroby, niewydolnosc nerek, rak, wszystko. Zabezpieczone: mysql:mysql. To nie jest pojedynczy przypadek niestety. Obsluga techniczna w szpitalach nie ma bladego pojecia o niczym, ludzie zatrudniani sa „po znajomosci”, a wiekszosc z nich to za przeproszeniem smierdzace lenie. Po 2 dniach pen testu mialem wieksze pojecie co maja gdzie, niz „menadzer” ktory pracuje tam 25 lat. Tak niestety wyglada caly (ok. wiekszosc) sektor publiczny. Cuda na kiju. Juz mnie chyba nic nie zdziwi.
Dzieki Bogu troche sie to zmienia, ale bardzo powoli.
PS.
Moje doswiadczenia z Anglii. Podejrzewam w Polsce jest to samo.
Nie generalizowałbym…
Tak z ciekawosci…
Czy shodan wyszukuje takie urzadzenia? Sprawdzaliscie?
Pozdrawiam,
Lukasz,
Nie da się ukryć, że jeśli coś jest wystawione do Internetu, to Shodan mógł to zindeksować. Większych testów w tym zakresie jednak nie robiłem.