Berta Sándor
Az infúziós pumpa is feltörhető
A kórházakban használt egyik típusú infúziós pumpa manipulálható intraneten keresztül.
Billy Rios amerikai biztonsági kutató rámutatott, hogy bőven van még elmaradás az egészségügyi IT-rendszerek területén. A szakember feltörte a Hospira osztrák cég Life Care PCA nevű infúziós pumpáját. Az eszköz a műtétek során biztosítja, hogy a páciens folyamatosan megkapja az érzéstelenítőt, az antibiotikumokat vagy más anyagokat.
A szakember vásárolt egy ilyen pumpát az interneten és ezután tesztelte. Számos biztonsági hibát talált, melyeket kihasználva ugyan a támadók nem tudják megváltoztatni az aktuális gyógyszeradagokat, de kicserélhetik azt a listát, amelyben rögzítik, hogy melyik betegnek milyen gyógyszeradagokat kell adni, s egyúttal figyelembe veszik a beteg korát, magasságát, súlyát és a nemét is. Amennyiben egy orvos vagy nővér túl magas adagot állít be, akkor a pumpa riasztja a személyzetet, elvileg tehát megakadályozza a túladagolást. A gond csak az, hogy Rios ki tudta játszani ezt a biztonsági megoldást.
A kutató szerint ugyanerre - a kórház belső hálózatába belépők közül - bárki képes lehet, ugyanis nincsenek az egyes személyeket azonosító mechanizmusok. Ami igazán elgondolkodtató, hogy a támadónak még a pumpa szoftveréhez sem kell hozzáférést szereznie, elég, ha a kórházi intranethez csatlakozni tud. A szakember emellett komoly hibákat talált az infúziós pumpa vezérlőprogramjában is. A MedNet nevű szoftver a kórházak szerverein üzemel, de hiányzik belőle a megfelelő azonosítási eljárás és a használt nevek, illetve jelszavak is titkosítatlan formában vannak tárolva. Ezáltal gyakorlatilag a teljes létesítmény fölött megszerezhető az ellenőrzés.
Egyelőre nincs olyan információ, hogy ilyen akciókra sor került volna a múltban, de az egyáltalán nem megnyugtató, hogy az egészségügyi ágazaton belül az IT-biztonság körülbelül tíz éves lemaradásban van. Legalábbis ezt állítja Scott Erven biztonsági kutató, aki az eredményeit a tavalyi Defcon konferencián ismertette. Kiderítette azt is, hogy az infúziós pumpákon kívül a pacemakerek is támadhatók. A gyártók egyébként könnyedén kijavíthatnák a hibákat, főleg, ha együttműködnének, illetve szembenéznének a problémákkal. A Hospira eddig nem reagált a felvetésre.
2011-ben Jerome Radcliffe amerikai biztonsági szakértő a Black Hat Konferencián számolt be arról, hogy biztonsági réseket talált az inzulinpumpákban és a vércukorszintmérő készülékekben. Hangsúlyozta, hogy egy támadó nagyobb távolságból átveheti az ellenőrzést egy inzulinpumpa fölött és ezáltal ráveheti a cukorbeteget, hogy halálos dózist adjon be magának.
Billy Rios amerikai biztonsági kutató rámutatott, hogy bőven van még elmaradás az egészségügyi IT-rendszerek területén. A szakember feltörte a Hospira osztrák cég Life Care PCA nevű infúziós pumpáját. Az eszköz a műtétek során biztosítja, hogy a páciens folyamatosan megkapja az érzéstelenítőt, az antibiotikumokat vagy más anyagokat.
A szakember vásárolt egy ilyen pumpát az interneten és ezután tesztelte. Számos biztonsági hibát talált, melyeket kihasználva ugyan a támadók nem tudják megváltoztatni az aktuális gyógyszeradagokat, de kicserélhetik azt a listát, amelyben rögzítik, hogy melyik betegnek milyen gyógyszeradagokat kell adni, s egyúttal figyelembe veszik a beteg korát, magasságát, súlyát és a nemét is. Amennyiben egy orvos vagy nővér túl magas adagot állít be, akkor a pumpa riasztja a személyzetet, elvileg tehát megakadályozza a túladagolást. A gond csak az, hogy Rios ki tudta játszani ezt a biztonsági megoldást.
A kutató szerint ugyanerre - a kórház belső hálózatába belépők közül - bárki képes lehet, ugyanis nincsenek az egyes személyeket azonosító mechanizmusok. Ami igazán elgondolkodtató, hogy a támadónak még a pumpa szoftveréhez sem kell hozzáférést szereznie, elég, ha a kórházi intranethez csatlakozni tud. A szakember emellett komoly hibákat talált az infúziós pumpa vezérlőprogramjában is. A MedNet nevű szoftver a kórházak szerverein üzemel, de hiányzik belőle a megfelelő azonosítási eljárás és a használt nevek, illetve jelszavak is titkosítatlan formában vannak tárolva. Ezáltal gyakorlatilag a teljes létesítmény fölött megszerezhető az ellenőrzés.
Egyelőre nincs olyan információ, hogy ilyen akciókra sor került volna a múltban, de az egyáltalán nem megnyugtató, hogy az egészségügyi ágazaton belül az IT-biztonság körülbelül tíz éves lemaradásban van. Legalábbis ezt állítja Scott Erven biztonsági kutató, aki az eredményeit a tavalyi Defcon konferencián ismertette. Kiderítette azt is, hogy az infúziós pumpákon kívül a pacemakerek is támadhatók. A gyártók egyébként könnyedén kijavíthatnák a hibákat, főleg, ha együttműködnének, illetve szembenéznének a problémákkal. A Hospira eddig nem reagált a felvetésre.
2011-ben Jerome Radcliffe amerikai biztonsági szakértő a Black Hat Konferencián számolt be arról, hogy biztonsági réseket talált az inzulinpumpákban és a vércukorszintmérő készülékekben. Hangsúlyozta, hogy egy támadó nagyobb távolságból átveheti az ellenőrzést egy inzulinpumpa fölött és ezáltal ráveheti a cukorbeteget, hogy halálos dózist adjon be magának.