Почему подключенные медицинские устройства уязвимы для атак и насколько высока вероятность их взлома? Вот пять цифровых щелей в броне.

Сегодня практически нет области здравоохранения, где бы не применялись новые технологии. Начиная с беспроводного доступа в реальном времени к вашим собственным параметрам здоровья через умные часы и носимые устройства до имплантированных устройств внутри вашего тела. Но можем ли мы все это обезопасить?

Несколько лет назад в Black Hat мы увидели взлом инсулиновой помпы. И независимо от того, была ли львиная доля программного обеспечения на этом устройстве была серийного производства, регуляторы заявляют, что интегратор несет ответственность за безопасность вверх и вниз по стеку, включая базовую операционную систему (ОС), даже если эта ОС имеет хороший послужной список безопасности. Другими словами: производители устройств несут ответственность независимо от того, какую технологию они используют.

Хотя это возлагает бремя безопасности на производителя, это также резко увеличивает стоимость и сложность вывода устройства на рынок. В результате, хотя давление рынка заставляет компании производить устройства быстро, путь вперед выглядит тернистым и дорогим. Кроме того, это может неосознанно заставить пациентов защищаться.

А что насчет патчей, кто за них отвечает? По данным FDA (U.S. Food and Drug Administration), производитель тоже так поступает. Поскольку ожидается, что некоторые медицинские устройства будут использоваться в течение многих лет, для поддержки оборудования в полевых условиях это долгий срок.

Что делает устройства уязвимыми и насколько высока вероятность их взлома? Вот пять цифровых щелей в броне:

 

Bluetooth

Многие медицинские устройства объединяют мониторинг и взаимодействие через Bluetooth, который имеет долгую историю уязвимостей. И хотя могут быть исправления, трудно определить реальную скорость внедрения и сроки на местах. Между тем, если ваше измерение сахара в крови будет подделано, вы можете оказаться в реальной физической опасности, если попытаетесь отрегулировать уровень глюкозы в крови на основе ложных показаний.

 

Windows

Во многих больницах есть управляющие компьютеры для медицинского оборудования, работающие на старых неподдерживаемых версиях Windows из-за задержки обновлений от производителя, выполнившего интеграцию. Производитель не может просто установить последнее исправление Windows перед всесторонним тестированием своих устройств, чтобы увидеть проблемы интеграции, поэтому проверка исправлений может быть сложной. Здесь потенциальный злоумышленник имеет преимущество, поскольку он может развернуть хорошо известные эксплойты, как только они обнаруживаются, и задолго до того, как производитель сможет отреагировать.

 

Облако

Многие имплантированные устройства «звонят домой» врачам через облачное соединение, чтобы облегчить обновление состояния здоровья и инициировать события, когда пациентам может потребоваться помощь. Как мы убедились в этом году на Black Hat и DEF CON, облачная безопасность может быть не на высоте. Маловероятно, что у пациента есть способ узнать о потенциальных уязвимостях, но злоумышленники быстро ухватываются за известные эксплойты, довольно быстро прокачивая их через свои системы атаки. В некоторых случаях пациенты отказываются от внешнего общения со своими кардиостимуляторами, ссылаясь на опасения взлома, но внедрение облачных технологий для имплантированных устройств имеет сильные попутные ветры, подталкивающие к дальнейшему внедрению.

 

Ethernet

Многие медицинские устройства подключаются к медицинским сетям TCP/IP через Ethernet, но многим клиницистам и пациентам будет очень трудно заметить сетевой ответвитель, размещенный на одной линии с существующими соединениями. Путем фильтрации данных по беспроводным каналам, встроенным в такой ответвитель, злоумышленники могут отслеживать трафик и создавать эксплойты. Таким образом, злоумышленникам нужен только одноразовый физический доступ, и им не обязательно возвращаться, чтобы забрать устройство, если оно считается опасным из-за их низкой стоимости.

 

Беспроводные клавиатуры

Кейлоггеры уже некоторое время являются стандартной платой за регистрацию нажатий клавиш с беспроводных клавиатур, выдавая себя за поддельные зарядные устройства USB, подключенные к розеткам, одновременно отслеживая сигналы и отфильтровывая их через промышленные беспроводные карты 4G. Это позволяет захватывать конфиденциальные данные, такие как набранные пароли, но также может позволить злоумышленникам попытаться загрузить и установить удаленные эксплойты бэкдора, минуя предупреждающие запросы от продуктов безопасности.

 

В заключение

Сфера медицины наступает на пятки — с точки зрения безопасности — в течение многих лет. И хотя она, возможно, делает важные шаги, многие медицинские устройства все эти годы работали нормально, что уменьшало предполагаемую потребность в действии. «Модернизировать флот» на несколько лет будет непросто. Несмотря на это, медики начали опираться на этот процесс и нанимать технический персонал, чтобы начать движение иглы. Между тем, было бы разумно узнать о любых уязвимостях, которые могут повлиять на ваши медицинские устройства, особенно если они критически важны для вашего здравоохранения, как многие из них.

 

Оригинал материала

26 октября, 2020