О вредоносном ПО Сергей Ложкин знает много, а вот о медицинских устройствах, по его собственному признанию, — не очень.

Однако неосведомленность не остановила исследователя «Лаборатории Касперского» от взлома виртуальных стен московской больницы, что позволило обнаружить невероятное количество лазеек в сеть предприятия, а также уязвимостей в медицинских устройствах и приложениях. Изъяны безопасности ставили под угрозу не только приватность пациентов, но и их здоровье и жизнь.

На прошедшем на Тенерифе саммите Security Analyst Summit Ложкин поведал правдивую историю о том, как легко хакер может внедриться в сеть больницы при помощи довольно распространенных инструментов и весьма ограниченных знаний о безопасности медицинских устройств.

«У меня не было никакой информации о медицинском оборудовании. Я даже не знаю, как оно работает, — признался Ложкин. — Я начал исследование с чисто образовательной целью и выяснил, что дела плохи. Разрабатывая программы для какой-либо сферы, инженеры уделяют особое внимание функциональности, но совершенно забывают о безопасности. То есть проблема не в самом медицинском оборудовании; проблема характерна для самых различных областей».

В США, к примеру, безопасности в сфере здравоохранения уделяется очень много внимания. Если еще учесть вопросы приватности, регулируемые HIPAA, можно сказать, что кибербезопасность в медицинской отрасли — это горячая тема.

Атаки на медицинские устройства не только компрометируют различные виды пользовательских данных; если злоумышленник получит доступ к приложениям и устройствам для диагностики, к аппаратам, регулирующим дозировку лекарств, или к системам жизнеобеспечения, это может привести к катастрофическим последствиям. У хакеров появится возможность причинить реальный вред здоровью.

По мнению Ложкина, основная проблема состоит в том, что некоторые из медицинских устройств подвержены не только традиционным уязвимостям в программной оболочке; они подключаются к Интернету и могут быть скомпрометированы удаленно, через дыры в интерфейсах доступа, используемых врачами при дистанционном лечении или обмене данными.

Ложкин смог обнаружить тысячи медицинских устройств, подключенных к Интернету, путем простого поискового запроса в Shodan. В публичном доступе оказались приложения радиологического исследования, МРТ и — ожидаемо — веб-сервера. В поисковой выдаче эксперт обнаружил в том числе портал аутентификации для использования компьютерного томографа, установленного в одной московской клинике, где заведует знакомый исследователя; доступ к томографу был защищен заводским паролем.

Ложкин сообщил о проблеме знакомому врачу, и тот согласился поучаствовать в эксперименте. Больницу решено было «взломать» так, как это сделал бы «плохой парень», но не компрометируя устройства или данные пациентов даже в качестве эксперимента. Симуляцию атаки исследователь начал со взлома пароля сети Wi-Fi, сидя в непосредственной близости от больницы.

После краткой брутфорс-атаки он смог получить аутентификационные данные для входа в локальную сеть — пароль, по его словам, был очень слабый. Получив доступ в сеть клиники, Ложкин убедился, что с безопасностью дела обстоят из рук вон плохо: к сети, например, был подключен компьютер под древней Windows XP, в которой имелась незапатченная уязвимость MS-08-067.

«Вы, конечно, скажете: ну, взломал Wi-Fi, ну и что? — иронизирует Ложкин. — А это значит, что разработчикам софта для медицинских устройств стоит иметь в виду, что устройства могут быть подключены к сети с откровенно слабым паролем».

Находясь в сети и используя расхожие инструменты пентестинга, Ложкин смог выйти на не защищенную паролем панель управления МРТ. В приложении также был предусмотрен незащищенный доступ к командной оболочке UNIX (C Shell).

«Можно делать все что захочешь: добавлять произвольные файлы, смотреть список пациентов, диагнозы — все что угодно», — сокрушается исследователь.

В январе Управление по контролю за продуктами питания и лекарствами США (FDA) опубликовало рекомендации по обеспечению кибербезопасности для производителей медицинских устройств. FDA требует, чтобы разработчики создали программу управления рисками в области кибербезопасности и учредили порядок обмена информацией о найденных уязвимостях.

Безопасность программного обеспечения, используемого в области здравоохранения, оставляет желать лучшего, хотя есть и обнадеживающие признаки. Тем не менее в отношении кибербезопасности сфера здравоохранения существенно отстает от других отраслей — например, финансовых сервисов. Гэри МакГроу (Gary McGraw), основатель компании Cigital и один из учредителей проекта BSIMM, отметил, что ряд ведущих экспертов по безопасности перешли из финансовых организаций в сферу здравоохранения, что уже свидетельствует о том, что вопросы кибербезопасности в медицинских учреждениях становятся приоритетными.

Категории: Главное, Кибероборона, Уязвимости, Хакеры