Coraz więcej inteligentnych urządzeń medycznych wykazuje braki w zabezpieczeniach – okazuje się, że pompy Hospira służące do podawania leków dożylnych posiadają serię luk możliwych do wykorzystania zdalnie, dzięki którym atakujący może całkowicie przejąć kontrolę nad zainfekowanymi pompami lub sprawić, że staną się one bezużyteczne.
Wspomniane pompy należą do grupy inteligentnych i połączonych urządzeń medycznych, które eliminują ryzyko popełnienia błędu przez człowieka, jeśli chodzi o stałe podawanie leków. Niestety, wiele firm wytwarzających takie urządzenia wykazało już nie raz kompletne lekceważenie kwestii bezpieczeństwa.
Pompy firmy Hospira – Lifecare PCA Drug Infusion są tak dziurawe, że badacz bezpieczeństwa Jeremy Richards powiedział, że są to najmniej bezpieczne urządzenia obsługujące internet, jakie spotkał. Richards powiedział, że atakujący mógłby zdalnie sprawić, aby te urządzenia stały się całkowicie bezużyteczne.
„One nie tylko są podatne na atak” – napisał Richards. „Są tak fatalnie napisane, że jedna literówka może zrobić z nich bezużyteczny kawałek elektroniki”.
Badacz twierdzi, że potencjalni atakujący mogą także aktualizować oprogramowanie urządzenia, uruchamiać polecenia, a także manipulować bibliotekami leków, które odpowiadają kodom kresowym nadrukowanym na fiolkach zawierających informacje np. o dawkowaniu.
Interesujące jest to, że błędy w podawaniu leków odkryło niezależnie dwóch badaczy. Pierwszym był Billy Rios, o którym było głośno, gdy zhakował np. system bezpieczeństwa lotniska.
Badanie Riosa zostało przedstawione ICS-CERT ponad rok temu, lecz nie opublikowano go. Autor dał jednak zgodę Richardsowi, który w zeszłym tygodniu umieścił je na Twitterze.
Niepokojące jest to, że urządzenia firmy Hospira przechowują klucze WPA zabezpieczające dostęp do sieci Wi-Fi w postaci czystego tekstu. Jeśli atakujący zdołałby ukraść jeden z nich, mogłoby to narazić każde inne urządzenie będące w tej samej sieci na pasywne podsłuchiwanie oraz inne ataki. Klucze te mogłyby zostać skradzione także wtedy, gdy szpital nie usunie ich z niedziałającego sprzętu przed jego utylizacją lub sprzedażą. Co więcej, w urządzeniach znajduje się odsłonięty port Ethernet, przez który można przeprowadzić proste i szybkie ataki lokalne przy użyciu zautomatyzowanych narzędzi hakerskich.
Nie wiadomo, czy Hospra zamierza wyeliminować luki. Richards twierdzi, że tak, ale oświadczenia wydane przez spółkę zaprzeczają tej tezie.
Pewne pompy leków dożylnych firmy Hospira zawierają niebezpieczne i łatwe do wykorzystania luki bezpieczeństwa
W odpowiedzi e-mail do naszego kolegi z Threatposta, Chrisa Brooka, firma napisała: „Nie są znane przykłady, w których urządzenia Hospira zostały zhakowane w warunkach klinicznych, a nasza firma zastosowała proaktywne podejście w celu załatania potencjalnych luk cyberbezpieczeństwa”.
Firma twierdzi, że przekazała swoim klientom informacje, jak usunąć te luki. Jednak nie zadeklarowała, że załata je w swoich produktach już obecnych na rynku – planuje zmniejszyć ryzyko w kolejnych planowanych produktach.
„Warto również zauważyć, że aby wykorzystać luki, należy przeniknąć kilka poziomów bezpieczeństwa sieci stworzonych przez system informatyczny szpitala, włącznie z zaporami sieciowymi” – napisała firma w oświadczeniu. „Te środki bezpieczeństwa sieci są pierwszą i najmocniejszą linią obrony przed ingerencją a pompy oraz oprogramowanie zapewniają dodatkową warstwę bezpieczeństwa”.