De netwerken van ziekenhuizen staan open voor aanvallers doordat systeembeheerders het SMB-protocol verkeerd hebben geconfigureerd. SMB staat voor Server Message Block en maakt het mogelijk voor beheerders om systemen te identificeren die op een intern netwerk zijn aangesloten.

Met SMB krijgt elk systeem, bijvoorbeeld de computer van een arts of de apparatuur in een operatiekamer, een uniek ID of omschrijving om ze te onderscheiden. Dit soort informatie hoort alleen toegankelijk voor de netwerkbeheerders te zijn, maar Amerikaanse onderzoekers ontdekten dat veel ziekenhuizen de SMB-dienst verkeerd hebben ingesteld, waardoor de data voor buitenstaanders toegankelijk zijn. Deze informatie kan vervolgens door een aanvaller voor verdere aanvallen worden gebruikt.

Door de SMB-data kan een aanvaller direct kwetsbare machines vinden, in plaats van dat het hele ziekenhuisnetwerk gescand moet worden. Onderzoekers ontdekten aan de hand van deze gegevens dat veel ziekenhuizen nog ongepatchte versies van Windows XP draaien die kwetsbaar voor de Conficker-worm zijn. Een aanvaller zou zodoende direct met een computer verbinding kunnen maken om die over te nemen, zonder enige interactie van het ziekenhuispersoneel.

Medische apparatuur

Tijdens één test werd een organisatie ontdekt die informatie over 68.000 systemen lekte. He gaat daarbij niet alleen om standaard kantoorcomputers, maar ook om medische apparatuur, zoals infusen voor chemotherapie, morfine en antibiotica waarvan de dosis op afstand kan worden aangepast. Ook bleek het mogelijk om defibrillatoren waar Bluetooth was ingeschakeld te manipuleren, bijvoorbeeld om willekeurige schokken aan een patiënt toe te dienen of dienst te weigeren.

Volgens de onderzoekers ontstaan de problemen doordat de security-teams van ziekenhuizen zich vaak alleen op compliance met de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA) wetgeving richten. Daardoor wordt er alleen gekeken naar overheidsregels voor het beschermen van data, maar vergeten ze penetratietests en patchmanagement uit te voeren om hun systemen te testen en echt te beveiligen.

In het geval van SMB is de oplossing eenvoudig: de dienst uitschakelen of zo instellen dat de data alleen naar het ziekenhuisnetwerk worden verstuurd, zo meldt Wired.