Jak jsem z auta hacknul nemocnici a dostal se k informacím o pacientech

Krátký příběh o tom, jak jednoduché je dostat se k informacím o pacientech. Je to pořád dokola, stačí výchozí či slabé heslo.

Tedy, já žádnou nemocnici nehacknul. Byl to název přednášky bezpečnostního výzkumníka Sergeye Lozhkina na konferenci Security Analysts Summit 2016. Zástupce firmy Kaspersky Lab tam pěkně popsal, jak se bez jakékoliv znalosti nemocničního prostředí dostal k zajímavým datům, protože to prostě chtěl zkusit. Ukazuje to mimo jiné, proč Evropská unie chce nemocnice zahrnout do takzvané kritické infrastruktury z pohledu kybernetické bezpečnosti.

Lozhkinův pokus začal, když při hledání na službě Shodan (hledání „health“), která zjednodušeně řečeno umí najít fyzická zařízení připojená k síti, náhodou objevil nechráněné zdravotnické přístroje. Poté zjistil, že se nacházejí i v jedné z nemocnic v jeho moskevském sousedství. Skenoval porty a objevil i jeden z řídicích zdravotnických systémů od Siemensu. Samozřejmě s nezměněným výchozím heslem.

Tam už měl přístup k velkému seznamu nalezených zařízení: 97 strojů na magnetickou rezonanci, 488 kardiologických systémů, 21 anestetických zařízení, 133 přístrojů na infuzi, 323 PACS systémů a 67 zařízení na takzvanou nukleární medicínu.

Hackování z auta

„O zdravotnickém vybavení jsem neměl žádné povědomí, nevěděl jsem, jak fungují,“ popisuje Lozhkin. Přesto zkusil, jestli se k nim dostane. Na dálku to nešlo a tradiční firewally a podobně na ochranu zvenčí stačily. Lozhkin se proto zvedl, nasedl do auta, dojel k oné nemocnici, zaparkoval vedle ní a našel její bezdrátovou síť.

K ní se mu povedlo rychle připojit. Zabezpečení Wi-Fi bylo dle jeho slov velice slabé s velmi jednoduchým heslem. Odsud už měl přístup k různým zařízením, včetně těch, která nebyla připojena k internetu, ale pouze k lokální síti. Systémy Siemensu měly i řadu honeypotů, těm se ale šlo vyhnout.

Výzkumník se následně připojil třeba ke stroji na magnetickou rezonanci. Opět byl bez hesla. Tyto stroje provádějící skeny mozku umí snímky a data skladovat v lokálním úložišti. V ovládacím rozhraní byl přímo přístup k C Shellu a tím pádem kompletní přístup k celému zařízení. Pak už si bylo možné prohlížet snímky mozku jednotlivých pacientů a přesouvat je dle libosti. Možné bylo získat i seznamy pacientů.

„Proč by někdo chtěl hackovat nemocnici? Kvůli citlivým informacím,“ říká Lozhkin. Hodit se můžou k vydírání, kompromitaci či prostě přehledu a informovanosti. Data lze navíc měnit a třeba tak modifikovat postupy léčby.

To, jak ruský výzkumník postupoval, není úplně nejvyšší „rocket science“ a hardcore hackování. V tom je ale ta pointa. Výrobci systémů dle něj musí mnohem více řešit bezpečnost, stejně jako organizace samotné.

CIF16

Lozhkin mimochodem nemocnici kontaktoval (ve vedení pracuje i jeho známý) a s výsledky jeho testů ji seznámil.

Cestu autora na konferenci Security Analysts Summit 2016 organizovala společnost Kaspersky Lab.

1 názor Vstoupit do diskuse
poslední názor přidán 19. 2. 2016 6:36