Berta Sándor
Könnyen feltörhetők az egészségügyi berendezések
A biztonság az egészségügyben használt készülékeknél nem éppen a legfontosabb szempont. Ezt támasztotta alá Florian Grunow kutató, aki a Deep Sec konferencián feltört egy betegmonitort.
"Nem egyszerű ilyen eszközökhöz hozzájutni. Megfelelő licenccel kell rendelkezni például egy röntgen megtekintéséhez és különleges képzettséghez is szükség van. Ezért döntöttünk úgy, hogy egy betegmonitort veszünk górcső alá, hiszen ez közvetíti azokat az adatokat, ami alapján az orvos döntéseket hoz a következő lépés megtételéhez. Az ötlet az volt, hogy egy ilyen, a betegek adatait mutató monitort úgy manipuláljunk, hogy továbbra is egy élő ember egészségügyi információit közvetítse, holott az illetőnek valójában komoly panaszai vannak, vagy már el is hunyt. A kijelzőt kábellel kötik össze a belső hálózattal és az adatokat a központi állomásnak továbbítja. Azt vizsgáltuk, hogy ez az állomás megtámadható-e úgy, hogy megtévesztjük: azt állítjuk, a beteg jól van, de valójában fájdalmai vannak. Ezt végül sikerült is elérnünk: mind a képernyőt, mind a központot sikerült úgy manipulálnunk, hogy azt jelezte amit mi akartunk."
"Sikerült a folyamatból kiiktatni a monitort és mi küldtük el az adatokat a központi állomásnak. Azt, hogy mindezt miként értük el, megosztottuk a gyártóval. A cégek nehéz helyzetben vannak ezeknek a készülékeknek a javításával, hiszen a klinikákon nehéz frissítéseket végezni és mindez sok időbe telik. Rendkívül eltérő, hogy miként reagálnak ezekre a jelzésekre a gyártók: vannak, akik nagyon örülnek neki, mások blokkolják ezeket az információkat. A vállalatok körében viszont viszonylag kis hajlandóság mutatkozik arra, hogy tegyenek is valamit. Egyre inkább bebizonyosodik, hogy a témák között a biztonság nem szerepel előkelő helyen" - emelte ki Florian Grunow.
A biztonsági kutató szerint az első lépés a titkosított kommunikáció biztosítása. Jelenleg az a helyzet, hogy a támadó egyszerűen bejelentkezhet és egy másik eszköznek adhatja ki magát. Nincs beépítve egyetlen olyan mechanizmus sem, amely megnézné, hogy valóban egy hiteles eszközről van szó vagy sem. Amikor kritikus infrastruktúrákra gondolunk, akkor mindig atomerőművekről vagy ipari vezérlésről beszélünk, holott valójában azok a kritikus infrastruktúrák, ahol egy rendszer elleni támadás emberéletekbe kerülhet. Éppen ezért ijesztő, hogy a gyártók nem fektetnek be ezen a területen, a cégek és a klinikák is megelégednek azzal, hogy a készülékek egy zárt hálózatban vannak, amibe kívülről elvileg nem törhet be senki. Ez mégis viszonylag egyszerűen megtörténhet, hiszen ha valaki végighalad egy kórházon mindenütt LAN-portokat lát. Nem sok dolog tartja vissza az embert attól, hogy átprogramozzon egy berendezést. S ha már egy eszköz fölött ellenőrzést gyakorol, utána az egész hálózatot is ellenőrzése alatt tarthatja. A kórházakra könnyű lenne nyomást gyakorolni, hiszen ha valami történik végső soron ők a felelősek.
"Az általunk vizsgált készülékek egyikének esetében sem javasolnám, hogy a hálózatra kössék őket. Ezeket csak a rendszertől függetlenül kellene üzemeltetni. A betegmonitorok mellett leginkább az automata gyógyszeradagolók vannak veszélyeztetve. Az utóbbiakat akkor használják, ha a betegek az intenzív osztályon fekszenek és egynél több gyógyszert kapnak. Ezeket napjainkban hálózati csatlakozóval látják el, így látni lehet, hogy éppen hogyan vannak beállítva. A biztonsági hibákat kihasználva hozzájuk lehet férni. Barnaby Jack elhunyt biztonsági szakértő például egy inzulinpumpával bebizonyította, hogy egy komplett adag inzulint egyszerre, halálos dózisban be lehet adni. Amennyiben a gyártók azt mondják, hogy semmit sem lehet manipulálni, az még messze nem azt jelenti, hogy ez valóban így is van."
"A cégek abban bíznak, hogy olyan protokollokat használnak, amiket senki sem ismer és abból indulnak ki, hogy a támadóknak akkora akadályokat kell leküzdeniük, hogy nem jut eszükbe komolyabban felmérni a helyzetet és hiányosságokat keresni. Ez tévedés. Mindezektől függetlenül természetesen baj esetén befeküdnék egy kórházba, hiszen amikor az életünkről van szó akkor általában nem gondolkodunk ilyesmin. Több figyelmet kellene fordítani a biztonságra az idősek életét segítő Ambient Assistent Living (AAL) megoldásoknál is. Ezeknél az AAL eszközöknél szinte csak az elsődleges funkcióik betöltésére figyelnek, nagy a költség- és a piaci nyomás, az IT-biztonság a háttérbe szorul" - szögezte le a szakember.
"Nem egyszerű ilyen eszközökhöz hozzájutni. Megfelelő licenccel kell rendelkezni például egy röntgen megtekintéséhez és különleges képzettséghez is szükség van. Ezért döntöttünk úgy, hogy egy betegmonitort veszünk górcső alá, hiszen ez közvetíti azokat az adatokat, ami alapján az orvos döntéseket hoz a következő lépés megtételéhez. Az ötlet az volt, hogy egy ilyen, a betegek adatait mutató monitort úgy manipuláljunk, hogy továbbra is egy élő ember egészségügyi információit közvetítse, holott az illetőnek valójában komoly panaszai vannak, vagy már el is hunyt. A kijelzőt kábellel kötik össze a belső hálózattal és az adatokat a központi állomásnak továbbítja. Azt vizsgáltuk, hogy ez az állomás megtámadható-e úgy, hogy megtévesztjük: azt állítjuk, a beteg jól van, de valójában fájdalmai vannak. Ezt végül sikerült is elérnünk: mind a képernyőt, mind a központot sikerült úgy manipulálnunk, hogy azt jelezte amit mi akartunk."
"Sikerült a folyamatból kiiktatni a monitort és mi küldtük el az adatokat a központi állomásnak. Azt, hogy mindezt miként értük el, megosztottuk a gyártóval. A cégek nehéz helyzetben vannak ezeknek a készülékeknek a javításával, hiszen a klinikákon nehéz frissítéseket végezni és mindez sok időbe telik. Rendkívül eltérő, hogy miként reagálnak ezekre a jelzésekre a gyártók: vannak, akik nagyon örülnek neki, mások blokkolják ezeket az információkat. A vállalatok körében viszont viszonylag kis hajlandóság mutatkozik arra, hogy tegyenek is valamit. Egyre inkább bebizonyosodik, hogy a témák között a biztonság nem szerepel előkelő helyen" - emelte ki Florian Grunow.
A biztonsági kutató szerint az első lépés a titkosított kommunikáció biztosítása. Jelenleg az a helyzet, hogy a támadó egyszerűen bejelentkezhet és egy másik eszköznek adhatja ki magát. Nincs beépítve egyetlen olyan mechanizmus sem, amely megnézné, hogy valóban egy hiteles eszközről van szó vagy sem. Amikor kritikus infrastruktúrákra gondolunk, akkor mindig atomerőművekről vagy ipari vezérlésről beszélünk, holott valójában azok a kritikus infrastruktúrák, ahol egy rendszer elleni támadás emberéletekbe kerülhet. Éppen ezért ijesztő, hogy a gyártók nem fektetnek be ezen a területen, a cégek és a klinikák is megelégednek azzal, hogy a készülékek egy zárt hálózatban vannak, amibe kívülről elvileg nem törhet be senki. Ez mégis viszonylag egyszerűen megtörténhet, hiszen ha valaki végighalad egy kórházon mindenütt LAN-portokat lát. Nem sok dolog tartja vissza az embert attól, hogy átprogramozzon egy berendezést. S ha már egy eszköz fölött ellenőrzést gyakorol, utána az egész hálózatot is ellenőrzése alatt tarthatja. A kórházakra könnyű lenne nyomást gyakorolni, hiszen ha valami történik végső soron ők a felelősek.
"Az általunk vizsgált készülékek egyikének esetében sem javasolnám, hogy a hálózatra kössék őket. Ezeket csak a rendszertől függetlenül kellene üzemeltetni. A betegmonitorok mellett leginkább az automata gyógyszeradagolók vannak veszélyeztetve. Az utóbbiakat akkor használják, ha a betegek az intenzív osztályon fekszenek és egynél több gyógyszert kapnak. Ezeket napjainkban hálózati csatlakozóval látják el, így látni lehet, hogy éppen hogyan vannak beállítva. A biztonsági hibákat kihasználva hozzájuk lehet férni. Barnaby Jack elhunyt biztonsági szakértő például egy inzulinpumpával bebizonyította, hogy egy komplett adag inzulint egyszerre, halálos dózisban be lehet adni. Amennyiben a gyártók azt mondják, hogy semmit sem lehet manipulálni, az még messze nem azt jelenti, hogy ez valóban így is van."
"A cégek abban bíznak, hogy olyan protokollokat használnak, amiket senki sem ismer és abból indulnak ki, hogy a támadóknak akkora akadályokat kell leküzdeniük, hogy nem jut eszükbe komolyabban felmérni a helyzetet és hiányosságokat keresni. Ez tévedés. Mindezektől függetlenül természetesen baj esetén befeküdnék egy kórházba, hiszen amikor az életünkről van szó akkor általában nem gondolkodunk ilyesmin. Több figyelmet kellene fordítani a biztonságra az idősek életét segítő Ambient Assistent Living (AAL) megoldásoknál is. Ezeknél az AAL eszközöknél szinte csak az elsődleges funkcióik betöltésére figyelnek, nagy a költség- és a piaci nyomás, az IT-biztonság a háttérbe szorul" - szögezte le a szakember.