Ο ιατρικός εξοπλισμός μπορεί εύκολα να χακαριστεί και online να πάρει κάποιος τον έλεγχό τους, όπως ανακάλυψαν δύο ερευνητές ασφαλείας στο DerbyCon.
Το να συνδεθεί ο ιατρικός εξοπλισμός με το Διαδίκτυο φάνηκε μια αρκετά έξυπνη ιδέα πριν μερικά χρόνια. Θα αλλάξετε γνώμη μόλις παρακολουθήσετε την παρουσίαση των Scott Erven και Mark Collao από την πρόσφατη διάσκεψη για την ασφάλεια, DerbyCon 2015.
Σύμφωνα με τους δύο ερευνητές ασφαλείας, πάνω από 68.000 ιατρικών συστημάτων εκτίθενται online, με πάνω από 12.000 από αυτά να ανήκουν σε μια και μόνο οργάνωση υγειονομικής περίθαλψης.
Αυτό που είναι ακόμα πιο ανησυχητικό είναι ότι οι περισσότερες από αυτές τις συσκευές συνδέονται με το Internet μέσω υπολογιστών που τρέχουν πολύ παλιές εκδόσεις των Windows XP, οι οποίες είναι γνωστό ότι έχουν πολλά εκμεταλλεύσιμα τρωτά σημεία.
Όλες αυτές οι συσκευές είναι εύκολα ανιχνεύσιμες μέσω Shodan, μια μηχανή αναζήτησης που μπορεί να βρει τις συνδεδεμένες στο Διαδίκτυο συσκευές σε απευθείας σύνδεση και είναι επίσης εύκολο να χακαριστούν μέσω brute-force επιθέσεις, χρησιμοποιώντας hard-coded συνδέσεις.
Κατά τη διάρκεια της έρευνάς τους, οι δύο εμπειρογνώμονες της INFOSEC βρήκαν εξοπλισμό αναισθησίας, συσκευές καρδιολογίας, πυρηνικά συστήματα ιατρικής, συστήματα έγχυσης, βηματοδότες, MRI scanners και εικόνες αρχειοθέτησης και εξοπλισμό επικοινωνίας, και όλα αυτά με απλά Shodan queries.
Δρώντας με βάση τα αρχικά ευρήματά τους, οι δύο ειδικοί δημιούργησαν honeypots, ειδικούς διακομιστές που μοιάζουν στους ξένους ως ιατρικές συσκευές, γεμάτους με ευπάθεια και πλαστά ιατρικά δεδομένα, αλλά οι οποίοι περιείχαν επίσης και ένα ισχυρό συστατικό που αφορούσε τη σύνδεση.
Εξετάζοντας λεπτομερώς μέσα από τα αρχεία καταγραφής που συλλέγονται online από αυτά τα honeypots, οι ερευνητές διαπίστωσαν ότι οι επιτιθέμενοι κατάφεραν να αυθεντικοποιηθούν μέσω SSH στις πλαστές ιατρικές συσκευές πάνω από 55.000 φορές και αφήνοντας πίσω 299 malware payloads.
Υπήρξαν επίσης 24 περιπτώσεις, όταν οι επιτιθέμενοι με επιτυχία εκμεταλλεύτηκαν την ευπάθεια MS08-067 XP, η ίδια με εκείνη που χρησιμοποιείται σε Conficker worm infections.
Οι ερευνητές λένε ότι τις περισσότερες φορές οι επιτιθέμενοι δεν είχαν συνειδητοποιήσει τι είχαν μόλις χακάρει και ότι ήταν ικανοποιημένοι αφήνοντας ένα μολυσμένο μηχάνημα πίσω, ως μέρος του botnets τους.
Αν οι χάκερς συνειδητοποιούσαν την πρόσβαση που θα μπορούσαν να αποκομίσουν μέσα από αυτές τις συσκευές, θα μπορούσαν εύκολα να κλέψουν πληροφορίες για την υγεία των ασθενών, ακόμα και να χρησιμοποιούσαν τις συσκευές αυτές για να εξαπλώσουν πιο επικίνδυνα malware στο εσωτερικό της IT νοσοκομειακής υποδομής, η οποία θα τους βοηθήσει να διεξάγουν πιο καταστροφικές επιθέσεις.
Μπορείτε να παρακολουθήσετε την πλήρη παρουσίαση των Scott Erven και Mark Collao παρακάτω: