2016年伊始,醫療行業就遭遇了多起安全事件,比如洛杉磯醫院的勒索軟件攻擊、德國某醫院的勒索軟件攻擊、病人監護儀和輸藥管系統的入侵、墨爾本醫院的攻擊事件等。2016年剛過兩個月就發生了如此多起重大安全事件,這是多么可觀、又可怕的趨勢。
近幾年,物聯網行業勢如破竹般的崛起,從安全角度來看,醫療設備行業作為物聯網中一個重要組成部分,其安全問題不容小覷。現代的醫療設備都已經互聯網化,操作系統、應用程序等全依托在電腦上(65歲的老中醫也被迫要學著使用電腦)。這些設備上配置著精密的尖端技術,目的是幫助醫生更好的診斷病情。但和其他工業系統一樣,這些設備只注重優化醫療方面的技術,而忽略了網絡安全方面的東西。程序設計構架漏洞、不安全的授權、未加密的通信信道、軟件中的漏洞,這些都 可能導致醫療設備被黑客入侵。
未授權訪問設備會造成很嚴重的影響:不僅僅是竊取用戶重要數據,還會對病人的健康和生命造成重大影響。簡簡單單就能入侵醫院系統,從醫療設備中竊取私人信息,獲取設備的訪問權限等等,這是多么恐怖的一件事情。想象一個場景,一個真正意義上的目標攻擊:一個黑客完全掌控了某醫療設備的控制權限,病情診斷結果和治療措施可由黑客自由控制,也就是說病人的生死大權已被黑客掌握。
卡巴斯基安全分析大會上曾展示過,找到一個目標醫院,獲得訪問內網權限和控制MRI設備(定位病人病例、個人數據、治療進程等)是非常簡單的一件事情。對于當前的醫療構架來說,單純解決醫療設備存在的漏洞是完全不夠的,它已經千瘡百孔,并且人為因素方面的安全防護也急需加強。
未授權訪問
其實找到存在漏洞的醫療設備并不難,普通的搜索引擎(比如Shodan)一搜就能發現有數千臺醫療設備暴露在網上,黑客可進一步發現聯網的MRI掃描儀、心臟病學設備、放射性醫療設備等。這些設備中有很大一部分還是使用Windows XP操作系統,并且有大量可導致遠程訪問系統的漏洞沒有更新補丁,更為甚的是,有些設備一直使用的是默認密碼。
筆者對一個醫院進行滲透測試,發現了一些可喜的結果,雖然有一些設備聯網了,但保護的卻很好,沒有使用默認密碼,web控制界面也沒有漏洞。但不得不提的是,還是有很多設備存在問題,而且如果黑客目標就是要進入醫院的某個系統,他還是會找到其他的一些入侵方法。
防不勝防:本地網絡沒界限
我開車到醫院,發現醫院有很多WiFi訪問接口,接口多不是問題,問題是它們的連接密碼強度都太低,很容易就可以被破解。利用WiFi密碼可以進而訪問醫院內網,進入內網之后我還發現一些和之前網上搜到的一樣的設備,而且我現在還可以連接上它們,因為對于這些設備來說內網是最值得信賴的。醫療設備制造商在生產設備時會保護它們不被外部網絡訪問,但是卻默認內部網絡可隨意訪問,這是一個致命性的錯誤!
應用層面的漏洞
連接上設備之后,我立刻便能訪問設備的控制界面,病人的個人信息、病例、診斷信息一覽無余。但這不是我關心的重點,重點是我發現用戶界面處有一個命令shell,借此可以訪問設備上的文件系統。
在我看來,這是應用軟件設計上的一個嚴重漏洞,即使不用遠程訪問,軟件工程師為什么要在醫生的界面上設置一個命令shell呢?很顯然是不應該存在這樣一個shell了。這就論證了我上面說的,你可以從一方面保護設備不被入侵,但卻沒能面面俱到。
關于應用軟件還有一個很嚴重的問題,那就是操作系統還是較老版本的,未更新補丁。事實上,每家醫院都應該有一個專業的安全工程師,及時更系統,檢測設備是否正常安全的運行。
近幾年,醫療設施頻繁遭受黑客攻擊,而且攻擊形式日趨多樣性,比如針對性攻擊、勒索軟件攻擊、DDoS攻擊等。醫療設備廠商和醫院技術團隊應該多關注一些醫療設備安全問題,避免成為黑客的攻擊目標。
京公網安備 11010502049343號