„Urządzenia wykorzystywane do diagnozowania i prowadzenia terapii stają się coraz bardziej usieciowione, co z jednej strony pozwala na szybsze i sprawniejsze dostarczanie danych z nich do elektronicznych baz danych zawierających informacje o pacjentach, ale z drugiej naraża je na ataki. Ataki, które mogą polegać zarówno na wykradaniu danych, jak i znacznie bardziej niebezpieczne, powodujące zagrożenie dla zdrowia pacjentów” – mówił podczas niedawnej konferencji hakerskiej DerbyCon specjalista ds. zabezpieczeń Scott Erven, który zajmował się temat bezpieczeństwa sprzętu medycznego ze swoim współpracownikiem Markiem Collao.

Ich eksperyment zaczął się od wyszukania dostępnych z poziomu przeglądarki urządzeń medycznych podłączonych do Internetu – skorzystali w tym celu z serwisu Shodan (wyszukiwarki analizującej zasoby Internetu Rzeczy, czyli urządzeń podłączonych do sieci). Erven i Collao szukali ich, wpisując typowe hasła w stylu "radiology" czy "podiatry" (podiatria – dział medycyny zajmujący się schorzeniami stóp).

Błąd na błędzie

Okazało się, że można w ten sposób znaleźć wiele dostępnych zdalnie urządzeń medycznych – niektóre (co najbardziej niepokojące) były domyślnie, przez producentów, skonfigurowane tak by możliwy był pełny zdalny dostęp, inne były „otwarte” za sprawą błędów w konfiguracji. Całkiem spora liczba sprzętu na pierwszy rzut oka wydawała się poprawnie zabezpieczona – jednak w większości przypadków wystarczyło wpisanie standardowych, domyślnych haseł i loginów zdefiniowanych przez producentów.

Obaj specjaliści podczas swoich analiz posługiwali się informacjami o sprzęcie medycznym powszechnie dostępnymi na stronach producentów – dzięki wyszukiwarce Shodan i instrukcjom w wielu przypadkach otrzymali praktycznie gotowy do użycia zestaw danych wystarczających do przejęcia kontroli nad urządzeniami medycznymi oraz ingerowania w ich pracę.

W wielu przypadkach okazało się też, że pozostawianie domyślnych haseł/loginów to nie do końca błąd użytkowników/instalatorów… ale wręcz oficjalne zalecenia producentów danych urządzeń. Erven i Collao cytowali fragmenty oficjalnych podręczników użytkownika, w których wprost napisano, że jeśli domyślne hasła zostaną zmienione, to użytkownik danego sprzętu nie może liczyć na zapewnienie mu pełnego wsparcia technicznego (co oznacza, że pracownicy wsparcia technicznego używali tychże haseł do zdalnego serwisowania urządzeń).

Hakerzy-lekomani

Większość sprzętu sprawdzonego podczas testów przez Scotta Erven oraz Marka Collao wyprodukowana była przez amerykańską firmę GE Healthcare – jednak specjaliści twierdzą, że problem jest znacznie szerszy i w podobnym stopniu dotyczy również produktów innych firm. Co więcej, ich zdaniem GE wykazał się daleko idącą chęcią współpracy z ekspertami, szybko reagując i usuwając wskazane przez nich błędy i luki w zabezpieczeniach.

Na podstawie haseł używanych w urządzeniach GE Erven i Collao stworzyli też chmurę fraz, wykorzystywanych jako hasła – wyraźnie pokazuje ich wysoką powtarzalność, dzięki której włamanie się do takiego sprzętu może być niezwykle proste. Co więcej, z ich analiz wynika, że włamywaczem wcale nie koniecznie musi być przestępca – podczas swoich prac badacze natknęli się na opis sprawy dwóch pacjentów (ofiar wypadku), którzy podczas pobytu w szpitalu zdołali na własną rękę sforsować zabezpieczenia pomp infuzyjnych – tylko po to, by zwiększyć sobie dawki leków przeciwbólowych (w tym konkretnym przypadku – morfiny). „Pacjenci uzależnieni od leków zrobią wszystko, by zwiększyć sobie dawkę morfiny – jeśli ich sposobem okazuje się złamanie zabezpieczeń pompy, to wyraźnie pokazuje to, że poziom zabezpieczeń tych urządzeń nie jest odpowiedni” – skomentował Evren.

Specjaliści wykazali zresztą, że sprzęt medyczny nie jest podatny wyłącznie na atak za pośrednictwem internetu – w ramach testów podłączyli się również do wewnętrznej sieci informatycznej pewnej anonimowej firmy z tej branży i znaleźli tam dane blisko 70 tys. urządzeń (ze szczegółowymi opisami, lokalizacją, danymi pacjentów itp.). Collao zwraca uwagę, że takie dane z powodzeniem można wykorzystać do zaplanowania i przeprowadzenia skutecznego ataku phishingowego – polegającego na wysłaniu do pracowników odpowiedzialnych za ich obsługę zainfekowanych e-maili.

Realne zagrożenie

O tym, że problem nie jest tylko teoretyczny, z powodzeniem świadczy inny eksperyment przeprowadzony przez Evrena i Collao. By wykazać, jak częstym zjawiskiem są ataki informatyczne na sprzęt medyczny, stworzyli oni 10 honeypotów – komputerów skonfigurowanych tak by przedstawiały się w sieci jako sprzęt medyczny. W czasie trwania eksperymentu honeypoty zostały zaatakowane blisko 400 razy – przestępcy 299 próbowali zainfekować je złośliwym oprogramowaniem, 55 zdołali się skutecznie zalogować, zaś 24 razy atakowali za pomocą eksploitów.