Hlavní navigace

Jak jsem z auta hacknul nemocnici a dostal se k informacím o pacientech

 Autor: Kaspersky Lab
Jan Sedlák 17. 2. 2016

Krátký příběh o tom, jak jednoduché je dostat se k informacím o pacientech. Je to pořád dokola, stačí výchozí či slabé heslo.

Tedy, já žádnou nemocnici nehacknul. Byl to název přednášky bezpečnostního výzkumníka Sergeye Lozhkina na konferenci Security Analysts Summit 2016. Zástupce firmy Kaspersky Lab tam pěkně popsal, jak se bez jakékoliv znalosti nemocničního prostředí dostal k zajímavým datům, protože to prostě chtěl zkusit. Ukazuje to mimo jiné, proč Evropská unie chce nemocnice zahrnout do takzvané kritické infrastruktury z pohledu kybernetické bezpečnosti.

Lozhkinův pokus začal, když při hledání na službě Shodan (hledání „health“), která zjednodušeně řečeno umí najít fyzická zařízení připojená k síti, náhodou objevil nechráněné zdravotnické přístroje. Poté zjistil, že se nacházejí i v jedné z nemocnic v jeho moskevském sousedství. Skenoval porty a objevil i jeden z řídicích zdravotnických systémů od Siemensu. Samozřejmě s nezměněným výchozím heslem.

Tam už měl přístup k velkému seznamu nalezených zařízení: 97 strojů na magnetickou rezonanci, 488 kardiologických systémů, 21 anestetických zařízení, 133 přístrojů na infuzi, 323 PACS systémů a 67 zařízení na takzvanou nukleární medicínu.

Hackování z auta

„O zdravotnickém vybavení jsem neměl žádné povědomí, nevěděl jsem, jak fungují,“ popisuje Lozhkin. Přesto zkusil, jestli se k nim dostane. Na dálku to nešlo a tradiční firewally a podobně na ochranu zvenčí stačily. Lozhkin se proto zvedl, nasedl do auta, dojel k oné nemocnici, zaparkoval vedle ní a našel její bezdrátovou síť.

K ní se mu povedlo rychle připojit. Zabezpečení Wi-Fi bylo dle jeho slov velice slabé s velmi jednoduchým heslem. Odsud už měl přístup k různým zařízením, včetně těch, která nebyla připojena k internetu, ale pouze k lokální síti. Systémy Siemensu měly i řadu honeypotů, těm se ale šlo vyhnout.

Výzkumník se následně připojil třeba ke stroji na magnetickou rezonanci. Opět byl bez hesla. Tyto stroje provádějící skeny mozku umí snímky a data skladovat v lokálním úložišti. V ovládacím rozhraní byl přímo přístup k C Shellu a tím pádem kompletní přístup k celému zařízení. Pak už si bylo možné prohlížet snímky mozku jednotlivých pacientů a přesouvat je dle libosti. Možné bylo získat i seznamy pacientů.

„Proč by někdo chtěl hackovat nemocnici? Kvůli citlivým informacím,“ říká Lozhkin. Hodit se můžou k vydírání, kompromitaci či prostě přehledu a informovanosti. Data lze navíc měnit a třeba tak modifikovat postupy léčby.

To, jak ruský výzkumník postupoval, není úplně nejvyšší „rocket science“ a hardcore hackování. V tom je ale ta pointa. Výrobci systémů dle něj musí mnohem více řešit bezpečnost, stejně jako organizace samotné.

widgety

Lozhkin mimochodem nemocnici kontaktoval (ve vedení pracuje i jeho známý) a s výsledky jeho testů ji seznámil.

Cestu autora na konferenci Security Analysts Summit 2016 organizovala společnost Kaspersky Lab.

Našli jste v článku chybu?
Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Sat novinky: Kabel eins Doku

Sat novinky: Kabel eins Doku

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Banaxi: videa kdekoli na světě

Banaxi: videa kdekoli na světě

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...