Сказки о безопасности: Медицинское оборудование под угрозой

 

— Иоганн, вам срочный пакет из канцелярии императора. Просят разобраться как можно быстрее и доложить лично императору.

— Да… Давненько у нас не было таких пакетов. Давайте его сюда.

Прошло пять минут.

— Срочно ко мне руководителей подразделений. СРОЧНО!

— Господа, как вы знаете, в империи любой гражданин империи может обратиться напрямую к императору, если считает, что дело касается имперской безопасности. Так вот. В канцелярию прошло письмо от Жозе Фернандеса. Он специалист по информационной безопасности и занимается изучением безопасности медицинского оборудования производства компании H. В частности, он проводил исследования системы управления инфузионными помпами этой фирмы, 400 тыс. которых установлено в больницах по всему миру.

Более года назад он сообщил в департамент здравоохранения, департамент внутренней безопасности и управление по санитарному надзору за качеством пищевых продуктов и медикаментов о ряде уязвимостей в системе управления инфузионной помпой производства H. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.

Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.

В апреле этого года другой независимый исследователь огласил некоторые из этих уязвимостей широкой публике, после чего поднялся переполох.

Более того, уязвимости были найдены и в другом оборудовании

Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).

Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через Интернет, если злоумышленнику удастся войти в больничную локальную сеть.

— Шеф, но это практически лицензия на убийство!

— Все верно, Рита! Вот поэтому у нас создается сверхсекретный проект и возглавите его скорее всего вы с Марком. Вы можете отбирать себе любых людей из состава нашего департамента, а также студентов выпускных курсов Академии. Если же вы знаете кого-то из выпускников, кто сейчас работает в других местах (неважно, это государственные или частные компании), пишите и они будут по приказу императора призваны на службу. Цель проекта — тестирование на проникновение во всех госпиталях и клиниках. Естественно, о проведенном тестировании вы докладываете мне лично. Будем наводить порядок.

— А какие у нас полномочия?

— Любые! Приказ императора уже готовится, и я жду, когда его привезут. Пора наводить порядок!

— А что будет с компанией H?

— Думаю, что руководство компании горько жалеет о том, что не прислушалось к проблеме по-хорошему. Проверкой медицинского оборудования (и не только этой компании) займется Карл. Я предлагаю подключить к вашей группе как консультанта г-на Фернандеса. Но, Карл, учти, старший в группе ты. Жду доклады еженедельно! Дело на контроле императора.

Думаете это фантастика? Увы, нет. Проблемы с помпами обнаружены еще в 2015 г. Исправили ли их? Неизвестно!

https://www.weekit.ru/security/article/detail.php?ID=195934

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: