浅谈医疗行业面临的几种安全威胁
发布时间���:2016-08-23
近几年���,物联网行业势如破竹般的崛起���,从安全角度来看���,医疗设备行业作为物联网中一个重要组成部分���,其安全问题不容小觑。现代的医疗设备都已经互联网化���,操作系统���、应用程序等全依托在电脑上(65岁的老中医也被迫要学着使用电脑)。这些设备上配置着精密的尖端技术���,目的是帮助医生更好的诊断病情。但和其他工业系统一样���,这些设备只注重优化医疗方面的技术���,而忽略了网络安全方面的东西。程序设计构架漏洞���、不安全的授权���、未加密的通信信道���、软件中的漏洞���,这些都可能导致医疗设备被黑客入侵。
未授权访问设备会造成很严重的影响���:不仅仅是窃取用户重要数据���,还会对病人的健康和生命造成重大影响。简简单单就能入侵医院系统���,从医疗设备中窃取私人信息���,获取设备的访问权限等等���,这是多么恐怖的一件事情。想象一个场景���,一个真正意义上的目标攻击���:一个黑客完全掌控了某医疗设备的控制权限���,病情诊断结果和治疗措施可由黑客自由控制���,也就是说病人的生死大权已被黑客掌握。
卡巴斯基安全分析大会上曾展示过���,找到一个目标医院���,获得访问内网权限和控制MRI设备(定位病人病例���、个人数据���、治疗进程等)是非常简单的一件事情。对于当前的医疗构架来说���,单纯解决医疗设备存在的漏洞是完全不够的���,它已经千疮百孔���,并且人为因素方面的安全防护也急需加强。
其实找到存在漏洞的医疗设备并不难���,普通的搜索引擎(比如Shodan)一搜就能发现有数千台医疗设备暴露在网上���,黑客可进一步发现联网的MRI扫描仪���、心脏病学设备���、放射性医疗设备等。这些设备中有很大一部分还是使用Windows XP操作系统���,并且有大量可导致远程访问系统的漏洞没有更新补丁���,更为甚的是���,有些设备一直使用的是默认密码。
笔者对一个医院进行渗透测试���,发现了一些可喜的结果���,虽然有一些设备联网了���,但保护的却很好���,没有使用默认密码���,web控制界面也没有漏洞。但不得不提的是���,还是有很多设备存在问题���,而且如果黑客目标就是要进入医院的某个系统���,他还是会找到其他的一些入侵方法。
防不胜防���:本地网络没界限
我到医院���,发现医院有很多WiFi访问接口���,接口多不是问题���,问题是它们的连接密码强度都太低���,很容易就可以被破解。利用WiFi密码可以进而访问医院内网���,进入内网之后我还发现一些和之前网上搜到的一样的设备���,而且我现在还可以连接上它们���,因为对于这些设备来说内网是最值得信赖的。医疗设备制造商在生产设备时会保护它们不被外部网络访问���,但是却默认内部网络可随意访问���,这是一个致命性的错误���!
连接上设备之后���,我立刻便能访问设备的控制界面���,病人的个人信息���、病例���、诊断信息一览无余。但这不是我关心的重点���,重点是我发现用户界面处有一个命令shell���,借此可以访问设备上的文件系统。
在我看来���,这是应用软件设计上的一个严重漏洞���,即使不用远程访问���,软件工程师为什么要在医生的界面上设置一个命令shell呢?很显然是不应该存在这样一个shell了。这就论证了我上面说的���,你可以从一方面保护设备不被入侵���,但却没能面面俱到。
关于应用软件还有一个很严重的问题���,那就是操作系统还是较老版本的���,未更新补丁。事实上���,每家医院都应该有一个专业的安全工程师���,及时更系统���,检测设备是否正常安全的运行。近几年���,医疗设施频繁遭受黑客攻击���,而且攻击形式日趋多样性���,比如针对性攻击���、勒索软件攻击���、DDoS攻击等。医疗设备厂商和医院技术团队应该多关注一些医疗设备安全问题���,避免成为黑客的攻击目标。
文章由医疗自助服务系统-医疗信息化产品供应商-pg电子娱乐平台科技���:www.mftableware.com
