image

Onderzoeker deelt details over hack van medische infuuspomp

donderdag 18 januari 2018, 16:45 door Redactie, 6 reacties

Beveiligingsonderzoeker Scott Gayou heeft details over kwetsbaarheden in een medische infuuspomp van Smiths Medical openbaar gemaakt om zo andere onderzoekers op weg te helpen bij het onderzoeken van Internet of Things-apparaten. Het gaat om de Medfusion 4000 infuuspomp die wordt gebruikt om medicatie bij acute zorg toe te dienen. Via de kwetsbaarheden die Gayou ontdekte kan een aanvaller op afstand willekeurige code op het apparaat uitvoeren of een denial of service veroorzaken.

Een onderdeel van de infuuspomp controleerde bepaalde invoer niet goed waardoor er een buffer overflow ontstond en een aanvaller willekeurige code had kunnen uitvoeren. Daarnaast maakte de infuuspomp gebruik van een "hard-coded" wachtwoord voor het opzetten van een wifi-verbinding. Ook als de infuuspomp met ethernet is verbonden werd de wifi-verbinding opgezet. De ftp-server op de infuuspomp bleek geen authenticatie te vereisen als er ftp-verbindingen zijn toegestaan.

Zowel voor de ftp-server als telnet waren er daarnaast hard-coded wachtwoorden, wat een andere kwetsbaarheid is. De infuuspomp controleerde aangeboden certificaten niet volledig, waardoor een aanvaller tussen het apparaat en het internet een man-in-the-middle-aanval had kunnen uitvoeren. Sommige wachtwoorden werden daarnaast in een configuratiebestand opgeslagen dat toegankelijk is als de infuuspomp is ingesteld om externe communicatie toe te staan.

Smiths Medical kwam vorig jaar met beveiligingsupdates voor het apparaat. Vandaag heeft Gayou een uitgebreide analyse online gezet waarin hij de kwetsbaarheden en het onderzoek bespreekt. De onderzoeker was tussen maart en juni 2017 zo'n 400 uur bezig met het onderzoek naar de infuuspomp. "Het doel van deze exercitie was het beschermen van patiënten die afhankelijk zijn van de behandeling die deze infuuspomp biedt, om het bewustzijn te vergroten van het risico dat ongepatchte versies van dit apparaat vormen en als laatste bij te dragen aan onderzoek naar de veiligheid van het Internet of Things", aldus Gayou.

Volgens de onderzoeker is er genoeg informatie en literatuur over het reverse engineeren en exploiten van standaard Windows- of Linux-bestanden te vinden, maar is er weinig informatie over het aanvallen van embedded systemen. Door zijn onderzoek openbaar te maken wil Gayou meer inzicht bieden in het uitvoeren van embedded beveiligingsonderzoek. "Er is veel discussie over IoT-security, maar niet veel gedetailleerde technische content om onderzoekers te helpen. Ik wil laten zien dat het proces bijna hetzelfde is als het onderzoeken van andere platformen, zolang de onderzoeker maar een nieuwe instructieset wil leren en uren wil investeren in het bekend raken met een onbekend besturingssysteem."

Reacties (6)
18-01-2018, 16:52 door Anoniem
Dit soort dingen moet echt gewoon open source zijn. Elke keer weer wordt aangetoont dat het business aspect veiligheid in de IT sector tegenwerkt.
18-01-2018, 20:44 door karma4
Door Anoniem: Dit soort dingen moet echt gewoon open source zijn. Elke keer weer wordt aangetoont dat het business aspect veiligheid in de IT sector tegenwerkt.
Telnet rtos Unix commands het is allemaal open source.
De fda heeft het gekeurd voordat het op de markt mag en dan moet er met vingers vanaf blijven. Net zoal alle iot is sofwarematig security onvoldoende ingevuld als keuringsdienst.

Als je er van afhankelijk bent in een crisis situatie zou ik me op dst moment minder zorgen over Softwarepaket er zijn dan wat dingetjes die een hogere prio hebben.
19-01-2018, 10:10 door Anoniem
Door karma4:Telnet rtos Unix commands het is allemaal open source.
RTOS is niet een specifiek besturingssysteem maar de afkorting van Real-time operating system. Het specifieke RTOS dat hier gebruikt wordt is MQX, en dat is niet open source.

Telnet is ook niet open source, het is een communicatieprotocol en implementaties daarvan kunnen open source zijn. Ook voor Unix-commando's geldt dat het de implementatie ervan is die al dan niet open source kan zijn. Er bestaan nog steeds closed source Unix-implementaties, rood gekleurd in dit schema:
https://en.wikipedia.org/wiki/File:Unix_history-simple.svg

Dat het toepassen van open source geen magische pil is die alle kwaaltjes als sneeuw voor de zon doet verdwijnen ben ik overigens met je eens. Dat open source de controleerbaarheid van software vergroot vind ik wel - wat iets anders is dan stellen dat er daadwerkelijk druk gecontroleerd wordt, ook dat gebeurt niet volautomagisch.
De fda heeft het gekeurd voordat het op de markt mag en dan moet er met vingers vanaf blijven. Net zoal alle iot is sofwarematig security onvoldoende ingevuld als keuringsdienst.
De FDA en vergelijkbare instituten in andere landen. Maar inderdaad, men gaat ervan uit dat je een implementatie na een keuring bevriest en dat het keuringsresultaat vervolgens geldig blijft. Bij software die niet geïsoleerd draait maar via een netwerk (of USB-aansluiting of hoe dan ook) extern benaderbaar is moet je aanzienlijk meer rekening houden met mogelijkheden van aansturen die niet in de gebruiksaanwijzing staan, inclusief het aanbrengen van ongeautoriseerde wijzigingen, en ook met wijzigingen die nodig blijken te zijn om ongeautoriseerde toegang te blokkeren. Het besef dat daar rekening mee moet worden gehouden groeit, maar berichten als dit laten zien dat we nog lang niet zijn waar we wezen moeten.
19-01-2018, 12:26 door Anoniem
Toen ik lang geleden stage liep als elektronicus in een ziekenhuis hadden infuuspompen helemaal geen netwerk verbinding. Was niets op afstand aan te hacken. Als er iets mis ging dan kreeg je gewoon een harde pieptoon die meteen door de verpleging werd opgemerkt. Modern is niet altijd beter. Wel jammer dat er mensen zijn die misbruik willen maken van medische apparatuur, hoe slecht kun je zijn...
19-01-2018, 14:50 door Anoniem
Ik vraag me sowieso af of een Fda ook de foutpaden test, oftewel, kijken ze ook bij spullen die niet aan het Internet gehangen kunnen worden wel naar de mogelijkheden om het apparaat verkeerd te gebruiken, al dan niet met opzet?

Of testen ze alleen of alles naar behoren werkt als je het precies volgens de voorschriften bedient?
19-01-2018, 21:02 door karma4
Door Anoniem: Ik vraag me sowieso af of een Fda ook de foutpaden test, oftewel, kijken ze ook bij spullen die niet aan het Internet gehangen kunnen worden wel naar de mogelijkheden om het apparaat verkeerd te gebruiken, al dan niet met opzet?

Of testen ze alleen of alles naar behoren werkt als je het precies volgens de voorschriften bedient?
Ik vermoed enkel de goed paden volgens voorschriften als medisch apparaat. Informatietechnologie is iets wat volgens medici weinig voorstelt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.