Medisch infuussysteem ziekenhuizen kwetsbaar voor hackers
Een medisch infuussysteem dat ziekenhuizen gebruiken om patiënten van geneesmiddelen te voorzien bevat tal van kwetsbaarheden, waardoor een aanvaller alle infuussystemen in het ziekenhuis volledig kan overnemen of kan saboteren zodat ze stoppen met werken. De onderzoeker die de beveiligingslekken ontdekte zegt dan ook dat hij zeer bezorgd zou zijn als een dergelijk infuussysteem op hem zou worden aangesloten.
De problemen bevinden zich in de PCA3 medische infuussystemen van fabrikant Hospira. De apparaten worden in levenskritieke omgevingen gebruikt en in een "Life Critical Network" binnen ziekenhuizen uitgerold. Onderzoeker Jeremy Richards noemt het de slechtst beveiligde IP-apparaten die hij ooit is tegengekomen. Het is namelijk eenvoudig om een laptop op het infuussysteem aan te sluiten en de draadloze encryptiesleutels te kopiëren, die zich in platte tekst op het apparaat bevinden.
Zodra er verbinding met het Life Critical Network is gemaakt heeft een aanvaller volledige controle over alle infuussystemen in het ziekenhuis. Het beheer van de apparaten vereist namelijk geen gebruikersnaam of wachtwoord. Zelfs als er inloggegevens voor de Telnet-poort zouden worden gebruikt, zijn er nog steeds webservices waarmee een aanvaller zonder inloggegevens de medicijnbibliotheek kan aanpassen en software updates en opdrachten kan uitvoeren. Verder zijn er ook nog FTP-accounts met "hardcoded" wachtwoorden. Het systeem is daarnaast zo slecht geprogrammeerd dat het met een enkele typefout onbruikbaar is te maken.
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft inmiddels een waarschuwing voor het systeem afgegeven en zegt dat de fabrikant aan een oplossing werkt. Het ICS-CERT zou al sinds mei 2014 met Hospira in overleg zijn, nadat een andere onderzoeker dezelfde kwetsbaarheden in het systeem had ontdekt. Wanneer die oplossing verschijnt is echter onbekend. Ook stelt Hospira dat het niet mogelijk is om de infuussystemen op afstand te bedienen. Wel is het mogelijk om de medicijnbibliotheken en configuratie van het infuus aan te passen.
Ik heb dit bij meer apparaten voor "afgesloten" netwerken gezien. De reden om geen wachtwoord te gebruiken? Volgens de leverancier omdat het dan onmogelijk is om "het wachtwoord af te luisteren." Hoe wordt het dan beveiligd? Ook weer volgens de leverancier is de beveiliging goed geregeld omdat iedere apparaat "op een andere poort luistert".
Wat is de definitie van op afstand? Ik snap wel dat het onmogelijk is om verbinding met het netwerk te maken als je (te ver) buiten het ziekenhuis bent, maar een Raspberry PI kun je meestal wel ergens in het ziekenhuis verbergen. Een wifi interface op het "Life Critical Network" en een wifi op het, tegenwoordig vaak aanwezige, gastnetwerk.
Peter
Ik heb dit bij meer apparaten voor "afgesloten" netwerken gezien. De reden om geen wachtwoord te gebruiken? Volgens de leverancier omdat het dan onmogelijk is om "het wachtwoord af te luisteren." Hoe wordt het dan beveiligd? Ook weer volgens de leverancier is de beveiliging goed geregeld omdat iedere apparaat "op een andere poort luistert".
Wat is de definitie van op afstand? Ik snap wel dat het onmogelijk is om verbinding met het netwerk te maken als je (te ver) buiten het ziekenhuis bent, maar een Raspberry PI kun je meestal wel ergens in het ziekenhuis verbergen. Een wifi interface op het "Life Critical Network" en een wifi op het, tegenwoordig vaak aanwezige, gastnetwerk.
Peter
Dat klopt allemaal, en het is tenenkrommend.
Het enige wat ik wel moet opmerken is dat passwords an sich al extreem vervelend zijn op apparatuur die normaal door een mens bediend worden en daarvoor een geschikte interface hebben (toetsenbord, scherm) , maar op zo'n embedded apparatuur een echte nachtmerrie .
Als password recovery simpel is met lokale device toegang ben je bijna net zo ver als nu (want hier werkte de aanvaller ook met een laptop aan het device), als password recovery lastig is verlies je een hoop apparaten.
En bijna onvermijdelijk kom je op erg lang levende passwords op al die apparaten. Herconfiggen van een life critical device wat _in gebruik_ is moet je ook niet willen. Dat tussen patient inzet door dan maar, en is administratief lastig in te regelen.
De gebruikelijke security reflex 'deny service als security/credentials niet kloppen' is misschien niet de juiste keuze.
Laat ik zeggen, als ik nadenk over de situatie en gebruik wil ik niet roepen 'ze moeten gewoon een goed password erop zetten, klaar' .
Geen computers en netwerken en passwords. Daarmee introduceer je alleen maar extra risico's, dat blijkt nu wel weer.
Wat is de definitie van op afstand? Ik snap wel dat het onmogelijk is om verbinding met het netwerk te maken als je (te ver) buiten het ziekenhuis bent, maar een Raspberry PI kun je meestal wel ergens in het ziekenhuis verbergen. Een wifi interface op het "Life Critical Network" en een wifi op het, tegenwoordig vaak aanwezige, gastnetwerk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
