image

Medisch infuussysteem ziekenhuizen kwetsbaar voor hackers

woensdag 6 mei 2015, 07:34 door Redactie, 8 reacties

Een medisch infuussysteem dat ziekenhuizen gebruiken om patiënten van geneesmiddelen te voorzien bevat tal van kwetsbaarheden, waardoor een aanvaller alle infuussystemen in het ziekenhuis volledig kan overnemen of kan saboteren zodat ze stoppen met werken. De onderzoeker die de beveiligingslekken ontdekte zegt dan ook dat hij zeer bezorgd zou zijn als een dergelijk infuussysteem op hem zou worden aangesloten.

De problemen bevinden zich in de PCA3 medische infuussystemen van fabrikant Hospira. De apparaten worden in levenskritieke omgevingen gebruikt en in een "Life Critical Network" binnen ziekenhuizen uitgerold. Onderzoeker Jeremy Richards noemt het de slechtst beveiligde IP-apparaten die hij ooit is tegengekomen. Het is namelijk eenvoudig om een laptop op het infuussysteem aan te sluiten en de draadloze encryptiesleutels te kopiëren, die zich in platte tekst op het apparaat bevinden.

Zodra er verbinding met het Life Critical Network is gemaakt heeft een aanvaller volledige controle over alle infuussystemen in het ziekenhuis. Het beheer van de apparaten vereist namelijk geen gebruikersnaam of wachtwoord. Zelfs als er inloggegevens voor de Telnet-poort zouden worden gebruikt, zijn er nog steeds webservices waarmee een aanvaller zonder inloggegevens de medicijnbibliotheek kan aanpassen en software updates en opdrachten kan uitvoeren. Verder zijn er ook nog FTP-accounts met "hardcoded" wachtwoorden. Het systeem is daarnaast zo slecht geprogrammeerd dat het met een enkele typefout onbruikbaar is te maken.

Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft inmiddels een waarschuwing voor het systeem afgegeven en zegt dat de fabrikant aan een oplossing werkt. Het ICS-CERT zou al sinds mei 2014 met Hospira in overleg zijn, nadat een andere onderzoeker dezelfde kwetsbaarheden in het systeem had ontdekt. Wanneer die oplossing verschijnt is echter onbekend. Ook stelt Hospira dat het niet mogelijk is om de infuussystemen op afstand te bedienen. Wel is het mogelijk om de medicijnbibliotheken en configuratie van het infuus aan te passen.

Reacties (8)
06-05-2015, 08:40 door Anoniem
Het beheer van de apparaten vereist namelijk geen gebruikersnaam of wachtwoord.

Ik heb dit bij meer apparaten voor "afgesloten" netwerken gezien. De reden om geen wachtwoord te gebruiken? Volgens de leverancier omdat het dan onmogelijk is om "het wachtwoord af te luisteren." Hoe wordt het dan beveiligd? Ook weer volgens de leverancier is de beveiliging goed geregeld omdat iedere apparaat "op een andere poort luistert".

Ook stelt Hospira dat het niet mogelijk is om de infuussystemen op afstand te bedienen.

Wat is de definitie van op afstand? Ik snap wel dat het onmogelijk is om verbinding met het netwerk te maken als je (te ver) buiten het ziekenhuis bent, maar een Raspberry PI kun je meestal wel ergens in het ziekenhuis verbergen. Een wifi interface op het "Life Critical Network" en een wifi op het, tegenwoordig vaak aanwezige, gastnetwerk.

Peter
06-05-2015, 08:59 door Anoniem
http://www.imdb.com/title/tt0090148/
06-05-2015, 09:08 door Anoniem
Alleen al laptop aansluiten maakt nu ook al HACKER. Wat is dit, de cyberprivé? Is de Redactie collectief sensatiebelust totaaldigibeet?
06-05-2015, 17:44 door Eric-Jan H te D
Het infuusslangetje doorknippen was altijd al een optie.
06-05-2015, 22:01 door Anoniem
Door Anoniem:
Het beheer van de apparaten vereist namelijk geen gebruikersnaam of wachtwoord.

Ik heb dit bij meer apparaten voor "afgesloten" netwerken gezien. De reden om geen wachtwoord te gebruiken? Volgens de leverancier omdat het dan onmogelijk is om "het wachtwoord af te luisteren." Hoe wordt het dan beveiligd? Ook weer volgens de leverancier is de beveiliging goed geregeld omdat iedere apparaat "op een andere poort luistert".

Ook stelt Hospira dat het niet mogelijk is om de infuussystemen op afstand te bedienen.

Wat is de definitie van op afstand? Ik snap wel dat het onmogelijk is om verbinding met het netwerk te maken als je (te ver) buiten het ziekenhuis bent, maar een Raspberry PI kun je meestal wel ergens in het ziekenhuis verbergen. Een wifi interface op het "Life Critical Network" en een wifi op het, tegenwoordig vaak aanwezige, gastnetwerk.

Peter

Dat klopt allemaal, en het is tenenkrommend.

Het enige wat ik wel moet opmerken is dat passwords an sich al extreem vervelend zijn op apparatuur die normaal door een mens bediend worden en daarvoor een geschikte interface hebben (toetsenbord, scherm) , maar op zo'n embedded apparatuur een echte nachtmerrie .
Als password recovery simpel is met lokale device toegang ben je bijna net zo ver als nu (want hier werkte de aanvaller ook met een laptop aan het device), als password recovery lastig is verlies je een hoop apparaten.
En bijna onvermijdelijk kom je op erg lang levende passwords op al die apparaten. Herconfiggen van een life critical device wat _in gebruik_ is moet je ook niet willen. Dat tussen patient inzet door dan maar, en is administratief lastig in te regelen.

De gebruikelijke security reflex 'deny service als security/credentials niet kloppen' is misschien niet de juiste keuze.

Laat ik zeggen, als ik nadenk over de situatie en gebruik wil ik niet roepen 'ze moeten gewoon een goed password erop zetten, klaar' .
07-05-2015, 03:38 door Anoniem
In een ziekenhuis heb je personeel nodig, medische instrumenten, medische elektronische apparaten en dergelijke.
Geen computers en netwerken en passwords. Daarmee introduceer je alleen maar extra risico's, dat blijkt nu wel weer.
07-05-2015, 12:29 door Anoniem
Introduceren van extra risico's is niet erg als je je bewust bent van die risico's en de juiste maatregelen neemt om de risico's te beheersen. Een wachtwoord op dit soort systemen introduceert een nieuw en veel groter risico. Dus niet doen maar andere maatregelen nemen (netwerksegmentatie, port security, ...) om te voorkomen dat onbevoegden er bij kunnen.

Wat is de definitie van op afstand? Ik snap wel dat het onmogelijk is om verbinding met het netwerk te maken als je (te ver) buiten het ziekenhuis bent, maar een Raspberry PI kun je meestal wel ergens in het ziekenhuis verbergen. Een wifi interface op het "Life Critical Network" en een wifi op het, tegenwoordig vaak aanwezige, gastnetwerk.
Risico is kans x impact. De kans dat iemand een Raspberry PI gaat installeren om op afstand een infuuspomp aan te gaan sturen lijkt me niet erg groot.
07-05-2015, 15:47 door Anoniem
...De kans dat iemand een Raspberry PI gaat installeren om op afstand een infuuspomp aan te gaan sturen lijkt me niet erg groot.

Maar die kans moet 0,00000000000 zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.