淺談醫療行業面臨的幾種安全威脅
發布時間:2016-08-23
&nbs�������p; 近(jin)幾(ji)年,物聯網行(xing)業(ye)勢如破竹般的(de)(de)(de)崛(jue)起,從安(an)全角度來(lai)看,醫(yi)療設備行(xing)業(ye)作為物聯網中(zhong)一個重要組成部分,其安(an)全問題不容小覷(qu)。現(xian)代的(de)(de)(de)醫(yi)療設備都(dou)(dou)已(yi)經互(hu)聯網化,操(cao)作系(xi)統(tong)、應(ying)用程序等全依托在電腦上(shang)(65歲的(de)(de)(de)老中(zhong)醫(yi)也被迫要學著(zhu)使用電腦)。這(zhe)些設備上(shang)配(pei)置著(zhu)精密的(de)(de)(de)尖端技術(shu),目(mu)的(de)(de)(de)是(shi)幫助醫(yi)生更好(hao)的(de)(de)(de)診斷(duan)病情。但和其他工(gong)業(ye)系(xi)統(tong)一樣,這(zhe)些設備只注重優化醫(yi)療方面的(de)(de)(de)技術(shu),而忽略了網絡安(an)全方面的(de)(de)(de)東西。程序設計構架漏洞、不安(an)全的(de)(de)(de)授(shou)權、未加密的(de)(de)(de)通信(xin)信(xin)道、軟件中(zhong)的(de)(de)(de)漏洞,這(zhe)些都(dou)(dou)可能導致醫(yi)療設備被���黑(hei)客(ke)入侵(qin)。
未授(shou)權(quan)訪問設(she)備會(hui)造(zao)成很嚴重的(de)影響:不僅(jin)僅(jin)是(shi)(shi)竊取用戶重要(yao)數據,還會(hui)對(dui)病(bing)(bing)(bing)人的(de)健康(kang)和生命(ming)造(zao)成重大影響。簡(jian)(jian)簡(jian)(jian)單(dan)單(dan)就能入侵醫院(yuan��������)系統,從醫療設(she)備中竊取私人信(xin)息,獲取設(she)備的(de)訪問權(quan)限等等,這是(shi)(shi)多么(me)恐怖的(de)一(yi)(yi)件事情。���想(xiang)象一(yi)(yi)個(ge)場景,一(yi)(yi)個(ge)真正意義上(shang)的(de)目標攻擊(ji):一(yi)(yi)個(ge)黑(hei)客(ke)完全掌控了(le)某醫療設(she)備的(de)控制權(quan)限,病(bing)(bing)(bing)情診斷結果和治療措施(shi)可由黑(hei)客(ke)自由控制,也(ye)就是(shi)(shi)說病(bing)(bing)(bing)人的(de)生死大權(quan)已(yi)被(bei)黑(hei)客(ke)掌握。
卡巴斯基安(an)全(quan)分析(xi)大會上曾展示過,找到一(yi)個(ge)目標(biao)醫(yi)院,獲得訪問內網權限(xian)和控(kong)制MRI設備(bei)(定位病人(ren)病例、個(ge)人(ren)數(shu)據(ju)、治療進(jin)程等)是(shi)非常(chang)簡單(dan)的(de)一(yi)件事(shi)情。對于當前的(de)醫(yi)療構架(jia)來說,單(dan)純(chun)解決醫(yi)療設備(bei)存在的(de)漏洞是(shi)完(wan)全(quan)不夠的(de),它已(yi)經千瘡百孔,并且人(ren)為因素方面的(de)安(an)全(quan)防護������也急(ji)需加強(qiang)。
其(qi)實找到存在漏(lou)洞的(de)醫療(liao)設(she)備(bei)(bei)并不(bu)難,普(pu)通的(de)搜索引擎(比(bi)如Shodan)一(yi)搜就(jiu)能發現有(you)(you)(you)數�����千臺(tai)醫療(liao)設(she)備(bei)(bei)暴露在網上,黑(hei)客可進一(yi)步發現聯網的(de)MRI掃描儀、心(xin)臟病學設(she)備(bei)(bei)、放射性醫療(liao)設(she)備(bei)(bei)等。這些(xie)設(she)備(bei)(bei)中有(you)(you)(you)很大(da)一(yi)部分還是(shi)使(shi)用Windows XP操(cao)作系統,并且(qie)有(you)(you)(you)大(da)量(liang)可導致遠程訪問系統的(de)漏(lou)洞沒有(you)(you)(you)更(geng)新補丁,更(geng)為甚的(de)是(shi),有(you)(you)(you)些(xie)設(she)備(bei)(bei)一(yi)直使(shi)用的(de)是(shi)默認密碼。
&������nbsp; 筆者(zhe)對一(yi)個(ge)醫(yi)院進行滲(shen)透測試,發(fa)現了(le)一(yi)些(xie)可(ke)喜(xi)的(de)結(jie)果,雖然有(you)一(yi)些(xie)設備聯網了(le),但保護的(de)卻(que)很(hen)好,沒(mei)有(you)使用(yong)默認密碼(ma),web控制界面也沒(me������i)有(you)漏(lou)洞。但不(bu)得不(bu)提的(de)是,還是有(you)很(hen)多設備存在(zai)問題,而且如果黑客目標就(jiu)是要(yao)進入(ru)醫(yi)院的(de)某個(ge)系統,他(ta)還是會(hui)找到其他(ta)的(de)一(yi)些(xie)入(ru)侵(qin)方法。
防不勝防:本地網絡沒界限
我(wo)到(dao��������)(dao)醫(yi)(yi)院,發(fa)�������現醫(yi)(yi)院有(you)很多WiFi訪問(wen)接口(kou),接口(kou)多不(bu)是(shi)問(wen)題,問(wen)題是(shi)它們(men)的連(lian)接密碼(ma)強度都(dou)太低,很容易就可(ke)(ke)以被(bei)(bei)破(po)解。利用WiFi密碼(ma)可(ke)(ke)以進而(er)訪問(wen)醫(yi)(yi)院內網,進入(ru)內網之后(hou)我(wo)還發(fa)現一(yi)些和之前網上(shang)搜到(dao)(dao)的一(yi)樣(yang)的設備(bei),而(er)且我(wo)現在還可(ke)(ke)以連(lian)接上(shang)它們(men),因為對于這些設備(bei)來(lai)說內網是(shi)最(zui)值(zhi)得信賴的。醫(yi)(yi)療設備(bei)制(zhi)造商在生(sheng)產設備(bei)時(shi)會保護它們(men)不(bu)被(bei)(bei)外部網絡訪問(wen),但是(shi)卻默認內部網絡可(ke)(ke)隨意訪問(wen),這是(shi)一(yi)個致(zhi)命性的錯(cuo)誤!
連接上設備(bei)之后(hou),我(wo)(w�����o)立刻便能訪(fang)問(wen)設備(bei)的(de)控制界面,病人(ren)的(de)個(ge)(ge)人(ren)信息、病例、診斷(duan)信息一(yi)(yi)覽無余。但(dan)這不(bu)是我(wo)(wo)關心的(de)重(zhong)(zhong)點(dian),重(zhong)(zhong)點(dian)是我(wo)(wo)發現用戶界面處有一(yi)(yi)個(ge)(ge)命令shell,借此可以訪(fang)問(wen)設備(bei)上的(de)文件系統。
������ 在我看來,這是應(ying)用軟(ruan)件(jian)設計上(shang)的一個(ge)嚴重漏(lou)洞,即使(shi)不用遠程訪問,軟(ruan)件(jian)工程師(shi)為什么要在醫生(sheng)的界(jie)面(mian)上(shang)設置一個(ge)命令shell呢?很顯然是不應(ying)該存(cun)在這樣(yang)一個(ge)shell了(le)。這就論證了(le)我上(shang)面(mian)說的,你可(ke)以(yi)從一方(fang)面(mian)保護設備(bei)不被入侵,但卻沒能面(mian)面(mian)俱到。
關������于應用軟(ruan)件還(huan)有一個很嚴(yan)重(zhong)的問題(ti),那就是操作系(xi)統還(huan)是較老(lao)版(ban)本的,未更新(xin)補丁。事實(shi)上,每家醫(yi)院都應該有一個專業的安全工程師,及時更系(xi)統,檢測設備(bei)是否正常(chang)安全的運(yun)行。近幾年,醫(yi)療設施頻繁遭受(shou)黑客(ke)攻(gong)擊,而且攻(gong)擊形式日(ri)趨多(duo)樣(yang)性,比如針對性攻(gong)擊、勒(le)索軟(ruan)件攻(gong)擊、DDoS攻(gong)擊等。醫(yi)療設備(bei)廠商(shang)和(he)醫(yi)院技術團隊(dui)應該多(duo)關注一些醫(yi)療設備(bei)安全問題(ti),避免成為黑客(ke)的攻(gong)擊目標。
文章由醫(yi)療(liao)自助�������服務系統-醫(yi)療(liao)信息化產品供應商-城銀科(ke)技:chukouyindu.com
