Nieuws

Ziekenhuissysteem Philips gebruikte hardcoded encryptiesleutel

zondag 2 september 2018, 09:23 door Redactie, 14 reacties

Een systeem van Philips dat in ziekenhuizen wordt gebruikt voor het monitoren van MRI-systemen was door negen verschillende beveiligingslekken kwetsbaar voor aanvallen, waaronder het gebruik van een hardcoded encryptiesleutel en het onversleuteld versturen van gevoelige en beveiligingskritieke data.

Het gaat om de Philips e-Alert, een systeem dat wordt gebruikt voor het monitoren van MRI-systemen op zaken als luchtvochtigheid, temperatuur, gekoelde watervoorziening en heliumniveau. Ook biedt e-Alert remote monitoring via internet of telefoon. Via de negen kwetsbaarheden in het product had een aanvaller de e-Alert kunnen laten crashen, willekeurige code kunnen uitvoeren en inloggegevens, contactgegevens en geauthenticeerde sessie van gebruikers kunnen stelen.

Verder bleek het systeem een hardcoded cryptografische sleutel te gebruiken voor het versleutelen van interne data. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden werd dit beveiligingslek met een 9,8 beoordeeld. Vier van de kwetsbaarheden, waaronder de hardcoded cryptografische sleutel, zijn via een beveiligingsupdate verholpen. Voor de resterende vijf beveiligingslekken verschijnt eind 2018 een update. Een deel van de kwetsbaarheden is alleen uit te buiten wanneer een aanvaller op hetzelfde subnet als de e-Alert zit. Misbruik van de beveiligingslekken vereist volgens het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid weinig kennis bij een aanvaller.

Safari-gebruikers gewaarschuwd voor automatisch uitpakken zip-bestanden

CCleaner ontvangt privacyinstelling voor verzamelen van data

Reacties (14)

02-09-2018, 10:01 door Ron625

We leven in een maatschappij, waar de regel is: het kan aan internet, dus we hangen het aan internet
Of het nu nuttig is, of niet.
Waarom moet het hele interne netwerk van een ziekenhuis direct kunnen communiceren met internet?
Waarom moet iedere PC in een ziekenhuis verbonden (kunnen) worden met het internet?

Zomaar mijn gedachten......

02-09-2018, 11:01 door Anoniem

Interessant thema. Ik kan me wel voorstellen dat je bij medische apparatuur een sleutel hard codeert. Of misschien zelfs wel moet coderen, om zeker te zijn dat zo een systeem altijd werkt.

Als een medisch systeem weigert (even wat mis met encryptie sleutels vernieuwen), en de patiënt overlijdt, dan kun je in zo een medisch kastje misschien even de backup terugzetten. Maar bij de patiënt niet! En je kan als ziekenhuis denk ik ook moeilijk de familie zeggen dat opa is heengegaan in het belang van zijn privacy....????

02-09-2018, 11:12 door Anoniem

Je eh, ze gebruiken encryptie, ja! Nou niet gaan zeuren over de details, ja! Encryptie!

Machines met desktop computers als embedded controllers, het blijft moeilijk.

02-09-2018, 11:37 door Anoniem

Onkunde, tesamen met arrogantie, een "ik weet het beter" of "het interresseert mij niet" mentaliteit vind je helaas vaak bij mensen die programmas schrijven. En Philips is helaas een bedrijf(je) dat waarschijnlijk over 10 jaar niet meer bestaat.

02-09-2018, 11:58 door karma4

Door Ron625: .....
Waarom moet iedere PC in een ziekenhuis verbonden (kunnen) worden met het internet?
Zomaar mijn gedachten......

Staat nergens dat het moet.
Als iemand zoiets verzint dat het kan, dan is het de technicus. Ale iemand verzint dat het wel makkelijk direct op internet is dan is het een beslisser/manager. Remote monitoring ofwel outsourcing dan wel thuiswerken is een directe besparing op arbeidsuren/personeel de indirecte kosten van toegenomen risico komen negens in de boekhouding voor.

Op zich niets nieuws, de calling home optie zag ik al begin jaren 80. Een telefoonlijn met modem weliswaar maar dat werkte wel op die manier van externe monitoring door de leverancier.

Nergens staat dat rechtsstreek op de MRI apparatuur ingegrepen wordt. Er staat dat met vele sensors het functioneren van de apparatuur bijgehouden wordt. Vergelijkbaar met doorgave van de bandenspanning zonder invloed op de auto.

02-09-2018, 15:25 door Anoniem

Kijk even op https://www.usa.philips.com/healthcare/about/customer-support/product-security, daar staat: "Committed to proactively addressing the security needs of our customers". Maar wat wil "proactively" dan zeggen? Code reviews? Dan hadden ze dit al lang kunnen vinden.

02-09-2018, 17:20 door Krakatau

Door Anoniem: Kijk even op https://www.usa.philips.com/healthcare/about/customer-support/product-security, daar staat: "Committed to proactively addressing the security needs of our customers". Maar wat wil "proactively" dan zeggen? Code reviews? Dan hadden ze dit al lang kunnen vinden.

Echt niet... Met een code review door peers met hetzelfde kennisniveau vang je alleen de fouten af die je op dat specifieke kennisniveau maakt. Zeker nuttig maar tegelijkertijd beperkt.

02-09-2018, 17:25 door karma4

Wat is dan "the security needs" Het is een wezenlijk belang dat de medische apparatuur zijn werk blijft doen. Dan kan de software niet aan jouw idee van veilig opgezet voldoen, als dat maar geisolleer is als embedded system.

De monitoring voor de kwaliteit mag je prima losgekoppeld neerzetten met minder cybersecurity eisen. Zoiets als een brandalarm die voordat het gevaarlijk kan worden waarschuwt.
He tis niet handige de boel te integreren zoals minitix op de intel-processoren voor de monitoring.

02-09-2018, 20:00 door Anoniem

Door Ron625: We leven in een maatschappij, waar de regel is: het kan aan internet, dus we hangen het aan internet

En nog belangrijker: we leven in een maatschappij waar de regel is: het kan kapot dus het moet kapot gemaakt worden.
Of het kan worden aangevallen dus het moet aangevallen worden.
Zelfs als er totaal geen belang bij is dan moet het gesloopt worden en moet de partij die het gemaakt of gekocht heeft
gedwongen worden tot extra moeite en kosten.
Het "touwtje uit de deur" kan niet meer, er moet een driedubbel slot op.

Ik vint het een walgelijke mentaliteit.

03-09-2018, 00:55 door Anoniem

Door Anoniem:

Door Ron625: We leven in een maatschappij, waar de regel is: het kan aan internet, dus we hangen het aan internet

Er wordt niets kapotgemaakt. Er wordt alleen ingegrepen omdat er potentieel risico's onstaan als iemand het op z'n heupen zou krijgen. Als bij een auto blijkt dat de wielen niet goed vastgedraaid zijn, dan komt er ook een recall om dat alsnog te doen.

03-09-2018, 08:39 door Anoniem

Door Anoniem: Onkunde, tesamen met arrogantie, een "ik weet het beter" of "het interresseert mij niet" mentaliteit vind je helaas vaak bij mensen die programmas schrijven.

De "ik weet het niet" nog veel vaker, vooral als het encryptie betreft. Weinig mensen kunnen goede encryptie inbouwen die bestand is tegen alle bekende aanvallen. Je hebt heel veel kennis nodig van encryptie, de aanvallen, je moet bij blijven met de nieuwste ontwikkelingen, noem maar op. 99 van de 100 programmeurs kunnen dat niet en zien een hoop dingen over het hoofd. Het is een specialisme dat weinigen beheersen.

03-09-2018, 09:59 door Anoniem

Door Anoniem: [...]
gedwongen worden tot extra moeite en kosten.
Het "touwtje uit de deur" kan niet meer, er moet een driedubbel slot op.

Ik vint het een walgelijke mentaliteit.

Het touwtje uit de deur was mogelijk omdat je iedereen in het dorp kende, en diegene die er misbruik van maakte meteen de paria van het dorp was.

Je zit met Internet nu eenmaal met een "deur" die vanaf de hele wereld getest kan worden, met volstrekte anonimiteit voor diegenen die het proberen. Dus moet je je beschermen alsof iedereen aan het touwtje kan trekken...

03-09-2018, 10:16 door Anoniem

Door Anoniem:
Er wordt niets kapotgemaakt. Er wordt alleen ingegrepen omdat er potentieel risico's onstaan als iemand het op z'n heupen zou krijgen. Als bij een auto blijkt dat de wielen niet goed vastgedraaid zijn, dan komt er ook een recall om dat alsnog te doen.

Er komt geen recall als er weer eens iemand na een race- of branie actie zijn auto tegen een lantarenpaal of tegenligger
heeft opgevouwen.
Dus niet bij alle potentiele risico's wordt er wat gedaan. Er zijn ook gevallen waarbij met de risico-veroorzakende
personen aanpakt.
In dit geval moeten de mensen die altijd maar bezig zijn met slopen en beschadigen worden aangepakt.
(samen met degenen die steeds maar vertellen dat dit mogelijk is. in een huis inbreken is ook mogelijk maar toch
worden niet alle huizen omgebouwd tot bunkers)

03-09-2018, 11:00 door Anoniem

Door Anoniem: [...]Er komt geen recall als er weer eens iemand na een race- of branie actie zijn auto tegen een lantarenpaal of tegenligger
heeft opgevouwen.[...]

Nee, ook niet als een telefoon standaard met encryptie geleverd wordt, en er gebruikers zijn die dat uitzetten.

Wat is je point?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer