Hlavní navigace

Jak jsem z auta hacknul nemocnici a dostal se k informacím o pacientech

 Autor: Kaspersky Lab
Jan Sedlák 17. 2. 2016

Krátký příběh o tom, jak jednoduché je dostat se k informacím o pacientech. Je to pořád dokola, stačí výchozí či slabé heslo.

Tedy, já žádnou nemocnici nehacknul. Byl to název přednášky bezpečnostního výzkumníka Sergeye Lozhkina na konferenci Security Analysts Summit 2016. Zástupce firmy Kaspersky Lab tam pěkně popsal, jak se bez jakékoliv znalosti nemocničního prostředí dostal k zajímavým datům, protože to prostě chtěl zkusit. Ukazuje to mimo jiné, proč Evropská unie chce nemocnice zahrnout do takzvané kritické infrastruktury z pohledu kybernetické bezpečnosti.

Lozhkinův pokus začal, když při hledání na službě Shodan (hledání „health“), která zjednodušeně řečeno umí najít fyzická zařízení připojená k síti, náhodou objevil nechráněné zdravotnické přístroje. Poté zjistil, že se nacházejí i v jedné z nemocnic v jeho moskevském sousedství. Skenoval porty a objevil i jeden z řídicích zdravotnických systémů od Siemensu. Samozřejmě s nezměněným výchozím heslem.

Tam už měl přístup k velkému seznamu nalezených zařízení: 97 strojů na magnetickou rezonanci, 488 kardiologických systémů, 21 anestetických zařízení, 133 přístrojů na infuzi, 323 PACS systémů a 67 zařízení na takzvanou nukleární medicínu.

Hackování z auta

„O zdravotnickém vybavení jsem neměl žádné povědomí, nevěděl jsem, jak fungují,“ popisuje Lozhkin. Přesto zkusil, jestli se k nim dostane. Na dálku to nešlo a tradiční firewally a podobně na ochranu zvenčí stačily. Lozhkin se proto zvedl, nasedl do auta, dojel k oné nemocnici, zaparkoval vedle ní a našel její bezdrátovou síť.

K ní se mu povedlo rychle připojit. Zabezpečení Wi-Fi bylo dle jeho slov velice slabé s velmi jednoduchým heslem. Odsud už měl přístup k různým zařízením, včetně těch, která nebyla připojena k internetu, ale pouze k lokální síti. Systémy Siemensu měly i řadu honeypotů, těm se ale šlo vyhnout.

Výzkumník se následně připojil třeba ke stroji na magnetickou rezonanci. Opět byl bez hesla. Tyto stroje provádějící skeny mozku umí snímky a data skladovat v lokálním úložišti. V ovládacím rozhraní byl přímo přístup k C Shellu a tím pádem kompletní přístup k celému zařízení. Pak už si bylo možné prohlížet snímky mozku jednotlivých pacientů a přesouvat je dle libosti. Možné bylo získat i seznamy pacientů.

„Proč by někdo chtěl hackovat nemocnici? Kvůli citlivým informacím,“ říká Lozhkin. Hodit se můžou k vydírání, kompromitaci či prostě přehledu a informovanosti. Data lze navíc měnit a třeba tak modifikovat postupy léčby.

To, jak ruský výzkumník postupoval, není úplně nejvyšší „rocket science“ a hardcore hackování. V tom je ale ta pointa. Výrobci systémů dle něj musí mnohem více řešit bezpečnost, stejně jako organizace samotné.

Lozhkin mimochodem nemocnici kontaktoval (ve vedení pracuje i jeho známý) a s výsledky jeho testů ji seznámil.

Cestu autora na konferenci Security Analysts Summit 2016 organizovala společnost Kaspersky Lab.

Našli jste v článku chybu?

19. 2. 2016 6:36

harvester (neregistrovaný)

Pokud ho pak nezabásli nebo jinak nezlikvidovali, aby ututlali průser, známe Rusko, že :-) (btw - výborný film Durak), tak to byla skvělá akce.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře