ΑρχικήsecurityΗacking σε νοσοκομείο: Ερευνητής κατάφερε να υποκλέψει αρχεία ασθενών

Ηacking σε νοσοκομείο: Ερευνητής κατάφερε να υποκλέψει αρχεία ασθενών

Διαβάστε τώρα στο Secnews: Πώς καταξιωμένος ερευνητής ασφάλειας κατάφερε να παραβιάσει το δίκτυο γνωστού νοσοκομείου. Mε ποιο τρόπο απέκτησε απομακρυσμένη πρόσβαση σε μη επαρκώς προστατευμένο ιατρικό εξοπλισμό, υποκλέπτοντας αρχεία ασθενών.

Ηacking σε νοσοκομείο

Ο ερευνητής ασφάλειας της Kaspersky, Sergey Lozhkin, παρουσίασε στο συνέδριο Security Analyst Summit στην Τενερίφη της Ισπανίας, τον τρόπο με τον οποίο κατάφερε να παραβιάσει το δίκτυο γνωστού νοσοκομείου, στα πλαίσια μελέτης που πραγματοποίησε.

Το πείραμα του Lozhkin ξεκίνησε όταν ανακάλυψε οnline μη επαρκώς προστευτεμένο ιατρικό εξοπλισμό, μέσω της μηχανής αναζήτησης ευάλωτων συσκευών ΙoT, Shodan. Κοιτάζοντας βαθύτερα στα αποτελέσματα, διαπίστωσε ότι ορισμένες από τις εκτεθειμένες συσκευές άνηκαν σε γνωστό νοσοκομείο της περιοχής του.

kaspersky
Ο ερευνητής ασφάλειας της Kaspersky, Sergey Lozhkin, σε ομιλία του στο συνέδριο Security Analyst Summit στην Τενερίφη της Ισπανίας, παρουσίασε υπό τη μορφή case study, ένα περιστατικό παραβίασης νοσοκομειακού IoT εξοπλισμού μέσω hacking.

Ο ερευνητής επικοινώνησε με τη διοίκηση του νοσοκομειακού ιδρύματος, γνωστοποιώντας τους το εύρημά του, και από κοινού αποφασίστηκε να διενεργηθούν έλεγχοι ασφαλείας προκειμένου να διαπιστωθεί εάν το δίκτυο του νοσοκομείου μπορεί να παραβιαστεί.

Κατά τη διάρκεια της πρώτης απόπειρας hacking, ο Lozhkin διαπίστωσε ότι δεν μπορούσε να αποκτήσει πρόσβαση σε οποιοδήποτε εξοπλισμό μέσω απομακρυσμένης σύνδεσης, γεγονός που δείχνει ότι ένα σωστά ρυθμισμένο firewall αρκεί για να κρατήσει τους hackers χαμηλής εξειδίκευσης μακριά.

 

Ο Lozhkin κατάφερε τελικά να σπάσει το δίκτυο του νοσοκομείου, αλλά μόνο αφότου μετέβει στο κτίριο και όντας αρκετά κοντά, ώστε να μπορεί να συνδεθεί στο δίκτυο WiFi από το laptop του.

Από εκεί, κατάφερε να παραβιάσει και να υποκλέψει το τοπικό κλειδί του δικτύου, το οποίο του επέτρεψε στη συνέχεια να αποκτήσει πρόσβαση σε διάφορες ιατρικές συσκευές που συνδέονται στο εσωτερικό δίκτυο WiFi του κτιρίου.

Χρησιμοποιώντας το κλειδί δικτύου, ο ερευνητής κατάφερε να προσπελάσει έναν αξονικό τομογράφο, απ ‘όπου υπέκλεψε αρχεία ασθενών. Τα αρχεία αυτά είχαν φυσικά αντικατασταθεί με εικονικά στα πλαίσια του penetration test, όμως ο στόχος επετεύχθη, και ο ερευνητής απέδειξε ότι το δίκτυο του νοσοκομείου ήταν θλιβερά ανασφαλές.

“Υπάρχουν δύο ομάδες ιθύνοντων που πρέπει να κινητοποιηθούν, και πιο συγκεκριμένα – οι προγραμματιστές του ιατρικού εξοπλισμού και τα διοικητικά συμβούλια των νοσοκομείων”, αναφέρει η ομάδα της Kaspersky σε ένα blog post.

“Οι προγραμματιστές θα πρέπει να ελέγχουν τις συσκευές τους από άποψη ασφάλειας, να αναζητούν τρωτά σημεία και να εξασφαλίζουν την έγκαιρη επιδιόρθωσή τους. Οι διοικήσεις θα πρέπει να ενδιαφέρονται περισσότερο για την ασφάλεια των δικτύων τους και να βεβαιώνονται ότι οι εξοπλισμοί κρίσιμων υποδομών δεν συνδέονται σε οποιοδήποτε δημόσιο δίκτυο”, προσθέτει.

Nat BotPak
Nat BotPak
LIFE IS TOO SHORT to remove usb safely

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS