image

Onderzoeker vindt ernstige lekken in medische infuussystemen

dinsdag 9 juni 2015, 16:17 door Redactie, 6 reacties

Een onderzoeker heeft in verschillende medische infuussystemen die ziekenhuizen gebruiken om patiënten van geneesmiddelen te voorzien tal van kwetsbaarheden ontdekt waardoor een aanvaller alle infuussystemen in het ziekenhuis volledig kan overnemen of kan saboteren zodat ze stoppen met werken.

In mei 2014 rapporteerde onderzoeker Billy Rios een reeks beveiligingslekken in het PCA 3 Lifecare infuussysteem van fabrikant Hospira. Inmiddels zijn er 400 dagen gepasseerd en zijn de problemen nog altijd niet verholpen. Eind april van dit jaar onthulde een andere onderzoeker, Jeremy Richards, verschillende van dezelfde lekken die Rios een jaar eerder al had ontdekt. Vanwege de openbaarmaking door Richards kwam de Amerikaanse toezichthouder FDA met een beveiligingswaarschuwing. Daarin werd gewaarschuwd voor alleen problemen met de PCA 3 en PCA 5.

Productlijnen

Hospira heeft echter meerdere productlijnen. Een jaar geleden adviseerde Rios het bedrijf dan ook om de andere productlijnen te laten controleren. Vijf maanden na zijn verzoek kreeg hij te horen dat Hospira niet geinteresseerd was om te controleren of andere infuuspompen kwetsbaar waren. Daarop besloot de onderzoeker zelf de pompen op eigen kosten aan te schaffen en te analyseren. Rios ontdekte dat de andere pompen precies dezelfde software gebruiken, waardoor ze met dezelfde problemen als de PCA 3 te maken hebben.

Zo is het mogelijk om updates van de medicijnbibliotheek in het infuus te vervalsen, blijken identieke, niet te veranderen wachtwoorden en privésleutels voor meerdere productlijnen te worden gebruikt, alsmede encryptiecertificaten. Verder wordt er van verouderde software gebruik gemaakt waarin meer dan 100 kwetsbaarheden aanwezig zijn. "Het gebrek aan transparantie van Hospira is zeker teleurstellend", aldus Rios. Aangezien de software van de PCA 3 identiek is aan die van de andere producten stelt hij dat het onmogelijk is dat Hospira niet wist dat de problemen met de PCA 3 ook bij andere infuuspompen speelden.

Reacties (6)
09-06-2015, 17:16 door Anoniem
Local Access zie ik het probleem niet zo, dan eenvoudigere methodes (fysiek) toe te passen.
Het is pas echt creepy als men deze machines op afstand kann bedienen...
09-06-2015, 18:18 door Anoniem
Niet anders dan het niveau van software elders, om het even welke industrie. "We" kunnen het gewoon niet en onze "experts" komen niet verder dan vingerwijzen; advies over wat er aan te doen beperkt zich steevast tot "huur ons maar in" om nog wat meer tegen de software te schoppen en direct betaald te worden om meer incidentjes te vinden. Structureel is het allemaal niet.
09-06-2015, 20:02 door Anoniem
Door Anoniem: Local Access zie ik het probleem niet zo, dan eenvoudigere methodes (fysiek) toe te passen.
Het is pas echt creepy als men deze machines op afstand kann bedienen...

Ik vraag me af of je dat ook zegt als je in het ziekenhuis ligt en een andere patient met een laptop even verbinding maakt via zijn infuuspomp om jouw infuuspomp over te nemen en de dosering aanpast.
09-06-2015, 22:10 door Eric-Jan H te D
is niet best: lekkende infuussystemen. Ik maak me meer zorgen over jet feit dat je meestal gewoon op de - en + knoppen kunt drukken.
10-06-2015, 08:52 door Anoniem
Het verhaal op zich vind ik nog niet zo spannend. Dit: "Inmiddels zijn er 400 dagen gepasseerd en zijn de problemen nog altijd niet verholpen." vindt ik dan wel even iets gekker. Als bedrijf ben je op de hoogte gebracht van een *gigantische* beveiligingsblunder, waarna je gewoon 400 dagen geen fuck doet!?! De FDA doet een boodschapje dat er slechts 2 systemen kwetsbaar zijn, terwijl dus gewoon alle systemen van Hospira zo lek als een mandje zijn!! Beboeten, en al die prutsystemen vervangen voordat er doden vallen!

@Anoniem 17:16: "Het is pas echt creepy als men deze machines op afstand kann bedienen..." Heb je de eerste regel niet gelezen?!?

"tal van kwetsbaarheden ontdekt waardoor een aanvaller alle infuussystemen in het ziekenhuis volledig kan overnemen of kan saboteren zodat ze stoppen met werken."
10-06-2015, 09:21 door [Account Verwijderd] - Bijgewerkt: 26-06-2015, 13:33
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.