Kiedy ktoś zhakuje Twoją lodówkę, w najgorszym razie rozmrozi Ci pizzę. Co jednak kiedy włamywacz uzyska kontrolę nad urządzeniem, które dawkuje Twoje lekarstwa? Lub nad wszystkimi takimi urządzeniami w całym szpitalu?
Producenci urządzeń medycznych doganiają trendy obowiązujące od dłuższego czasu na rynku i do swoich produktów wprowadzają funkcję podłączenia do sieci. Niestety nie doganiają związanych z tym standardów bezpieczeństwa i sprzedają urządzenia, które stanowią bezpośrednie zagrożenie życia pacjentów.
Stan bezpieczeństwa jak sprzed trzydziestu lat
Pewien badacz postanowił przyjrzeć się bezpieczeństwu pompy infuzyjnej, a konkretnie modelu Hospira PCA3. Jest to urządzenie, które służy do automatycznego dawkowania leków w określonych dawkach i przedziałach czasu. Wygląda tak:
Wyniki przeprowadzonej przez niego analizy jeżą włosy na głowie. Trudno sobie wyobrazić, jak można było taki bubel wypuścić na rynek.
Znalezionych błędów nie brakuje, lecz od czegoś trzeba zacząć. Użytkownik, który podłączy się do urządzenia korzystając z portu Ethernet, może bez problemu pobrać pliki w których zapisano konfigurację sieci WiFi. Tak, pompa podłączana jest do szpitalnej sieci WiFi. Sieć ta określana jest jako Life Critical Network, czyli sieć urządzeń podtrzymujących funkcje życiowe. Nie wiemy jak Wy, ale my słysząc „Life Critical Network” oraz „WiFi” w tym samym zdaniu zaczynamy panikować. Tak więc każdy pacjent w szpitalu, w którym używany jest ten model pompy, może korzystając z laptopa odczytać hasła do sieci WiFi, do której podłączone są inne pompy oraz pozostałe urządzenia podtrzymujące życie pacjentów.
Jak można odczytać te hasła? Otóż mamy tu prawdziwą perełkę. Na porcie 23 czeka usługa telnet. Na niej BusyBox. Bez uwierzytelnienia. Z uprawnieniami roota. Po takiej informacji rekomendujemy zrobić chwilę przerwy, wziąć głęboki oddech i powoli wrócić do czytania (lub połączyć się na port 23 urządzenia i zwiększyć dawkę używanego leku na uspokojenie).
Czy może być gorzej?
Załóżmy na chwilę, że producent nie popełnił tego błędu i telnet jest wyłączony. Z pomocą przychodzą wtedy innej interfejsy – WWW lub FTP. Konta do nich zapisane są na stałe w konfiguracji urządzenia. Co prawda hasła przechowywane są w postaci haszy, ale ich złamanie zajęło badaczowi kilka minut. Te konta to Admin:admin oraz Hospira:4552401.
Mało? To może zechcecie skorzystać z interfejsu WWW, gdzie odpowiednie skrypty w katalogu cgi-bin umożliwiające aktualizację oprogramowania oraz zmianę dawkowania leków są dostępne bez potrzeby podawania hasła?
Podsumowanie
Po lekturze powyższych akapitów pozostaje mieć tylko nadzieję, że nie była to analiza post-mortem. Na szczęście nie znaleźliśmy w sieci śladów obecności tych właśnie urządzeń na polskim rynku, ale jeśli traficie kiedyś do amerykańskiego szpitala, to upewnijcie się, że producent zdążył już zaktualizować oprogramowanie. Poza tym hasło do sieci WiFi może się przydać do czytania z3s. Jeśli zaś macie pecha czytać ten artykuł w szpitalu, rozejrzyjcie się, czy z tyłu stojących obok Was urządzeń nie widać portów ethernetowych i starajcie się trzymać od takich sprzętów z daleka. Dużo zdrowia!
Aktualizacja 2015-05-06 21:00
Jeden z naszych Czytelników podesłał informację o sytuacji w polskich szpitalach (dziękujemy!)
Infuserv i pompy (B.Brauna) są w sieci odseparowanej od reszty bałaganu. Cała infrastruktura ma wdrożone 802.1x – jak radiusowi coś nie przypasi to delikwent i tak wylatuje całkowicie (port zmienia state na disabled). Pompy faktycznie wystawiają nadmiar serwisów (w tym ftp) ale na szczęście żaden serwis nie wpuszcza bez logowania. Każda pompa wystawia też swój webinterfejs po httpsie, ale to już nie mi oceniać na ile jest on bezpiecznie napisany. Ogólnie chyba większym security fuckupem byłby w tym wypadku udany vlan hopping niż ubicie samej pompy (do tego momentu intruz nie powinien w ogóle dojść).
Pompa wygląda z sieci tak:
21/tcp open ftp ProFTPD (requires SSL)
22/tcp open ssh OpenSSH 5.5 (protocol 2.0)
80/tcp open http lighttpd 1.4.28
443/tcp open ssl/http lighttpd 1.4.28
1500/tcp open vlsi-lm?
4002/tcp open mlchat-proxy?
Prawda taka, że my nie możemy sobie wbić na pompę i zrobić jej apt-get update/upgrade czy zamknąć jej przeterminowanego serwisu ftpa. O takie rzeczy musi już zadbać producent. My możemy tylko starać się trzymać zainteresowanych z dala od tego segmentu sieci… Piszę to głównie po to, żeby nieco uspokoić, że w polskich szpitalach dostęp do infu pomp nie lata po wifi (a przynajmniej się nie spotkałem) a ich łączność ethernetową traktujemy bardzo poważnie.
Komentarze
Co złego widzicie w użyciu WiFi? Stabilność?
Tak w dużym skrócie to:
– możliwość ataku bez fizycznej obecności
– możliwość ataku praktycznie niewidocznego (w poczekalni siedzi człowiek z telefonem w ręku vs ktoś podpina jakieś kable do gniazdek)
– więcej wektorów ataku (WPS, łamanie haseł itp)
– podatność na celowe zakłócenie
A poza tym kto nigdy nie miał problemu z WiFi niech pierwszy rzuci kamieniem.
czytaj ze zrozumieniem …
No to faktycznie nabrałem powietrza. Z drugiej strony lepiej zapytać niż nie.
Spokojnie przeczytaj jeszcze raz tekst, zobacz jak łatwo wejść na roota na tak słabo zabezpieczone urządzenie.
I zastanów się czy chciałbyś być w krytycznej chwili podpięty pod coś takiego.
Podobny problem dotyczy pomp insulinowych sterowanych pilotem przez Bluetooth. Wielu cukrzyków nosi przy sobie śmiertelne dawki insuliny, które tylko czekają, żeby je wykorzystać… A cukrzyca dotyka różnych osób, również takich, które są obarczone większym ryzykiem np. zamachu. http://en.wikipedia.org/wiki/Insulin_pump#Security
„Kiedy ktoś zhakuje Twoją lodówkę, w najgorszym razie rozmrozi Ci pizzę.”
Ja mam pierogi, też by szkoda było… Całe szczęście to radziecka myśl technologiczna i jest fizycznie zabezpieczona przed atakami z sieci :)
Pomp Hospira używa m.in. szpital nr 1 PUM w Szczecinie więc do końca bezpieczni nie jesteśmy :)
Sprawdzisz model? :)
Niestety nie mam takiej możliwości obecnie. Wnioskując jednak po niedawnym remoncie to raczej nowsze modele.
Sytuacja z zeszłego roku. Radiowizjograf WIFI (tzw. kamera wewnątrzustna, coś takiego http://www.infodent24.pl/techdentpost/radiowizjografia-rentgen-z-duzym-marginesem-bezpieczenstwa,6010.html), sprzęt dostarczony w zestawie razem z routerem (natgear soho) skonfigurowany przez producenta WEP i zakaz grzebania w konfiguracji. Zapytałem się technika który przyjechał z tym ustojstwem czy może zmienić na WPA2 i dostałem odpowiedź że nie bo wtedy działa za wolno. Oczywiście hasło do routera raczej typowe… admin. W ramach zabezpieczeń producent zaleca oddzielną kartę sieciową to komputera do połączenia z tym routerem. Musiałem się nakombinować żeby wydzielić podsieci dla tego cuda i jakoś zabezpieczyć resztę sieci. Hasło admina profilaktycznie zmieniłem…
tutaj ciekawa analiza
http://www.irongeek.com/i.php?page=videos/bsidessf2015/106-medical-device-security-from-detection-to-compromise-scott-erven