dispositivos de medicina inteligente
Em mais um exempo de insegurança de dispositivos médicos inteligentes, esse surgiu recentemente através de uma linha de bombas de medicamentos de Hospira que está exposta a uma série de vulnerabilidades que podem ser exploradas a distância e que podem permitir que um invasor assuma o controle total das bombas afetadas ou simplesmente torne-as inúteis.
Estas bombas de infusão são parte de uma nova série de dispositivos médicos inteligentes e conectados. Como já escrevi aqui antes, particulamente sobre bombas de insulina de alta tecnologia, os dispositivos médicos inteligentes evitam fator risco de erro humano para as pessoas que necessitam a administração crônica de medicamentos. Infelizmente, muitas das empresas que desenvolvem esses dispositivos têm ignorado repetidamente as medidas de segurança.
As bombas de infusão de medicamentos da Hospira são tão vulneráveis, que o pesquisador de segurança Jeremy Richards disse que elas são os dispositivos habilitados mais inseguros que ele já havia trabalhado. Richards disse também que um invasor a distância pode inutiliza os dispositivos, um processo conhecido popularmente como entijolar.
“Não são apenas suscetíveis ao ataque”, escreveu Richards, “elas são tão mal programadas que poderiam ser inutilizadas com um único erro de digitação”.
Ele afirma que potenciais hackers também poderiam atualizar o software do dispositivo, executar comandos e manipular as bibliotecas específicas de medicamentos que correspondem aos códigos de barras impressos em frascos contendo a dosificação e outras informações.
Curiosamente, não um, mas dois pesquisadores descobriram por conta própria os bugs nas injeções de medicamentos. Primeiro foi Billy Rios, conhecido por ter hackeado os sistemas de segurança de um aeroporto, os túneis de uma lavagem de carros e os sistemas de domótica.
A security flaw in a widely used IV pump lets hackers raise drug-dosage limits http://t.co/8FuMz23ngG
— WIRED (@WIRED) April 10, 2015
Embora a pesquisa de Rios, divulgado pelo ICS-CERT há mais de um ano, permaneça inédita, Richards foi quem primeiro a publicou na semana passada. Rios deu sua bênção a Richards através do Twitter para publicar suas descobertas.
@dyngnosis submitted to ICS-CERT a year ago, but feel free to publish!
— Billy Rios (@XSSniper) April 29, 2015
O mais preocupante é que estes dispositivos da rede Hospira armazenam chaves de acesso a redes Wi-Fi protegidas (WPA) em texto simples. Se um invasor conseguir roubar uma destas chaves WPA, todos os outros dispositivos conectados à mesma rede poderiam ficar expostos a espionagem e outros ataques. Essas chaves também poderiam ser roubadas dos dispositivos que estão fora de serviço, se o hospital não eliminar as chaves de rede antes de aposentar ou vender estes dispositivos. Mais simples ainda, estes dispositivos contêm uma porta ethernet exposta que poderia permitir ataques locais simples e rápidos utilizando ferramentas de hacking automatizadas.
Não está claro se Hospira tem a intenção de reparar as vulnerabilidades. Richards afirma que eles estão pensando em fazê-lo, mas as próprias declarações da empresa parecem contradizer essa afirmação.
Certas bombas de #infusão de medicamentos da #Hospira contém vulnerabilidades de #segurança perigosas e facilmente exploráveis
Em resposta a um e-mail ao nosso colega do Threatpost, Chris Brook, Hospira disse: “Não existem casos em que os dispositivos Hospira tenham sido violados em um ambiente clínico e Hospira tem tomado uma abordagem proativa para identificar as possíveis vulnerabilidades de segurança cibernética”. A empresa alega que já comunicou aos usuários atuais a maneira de enfrentar estas vulnerabilidades. No entanto, a empresa não disse se as vulnerabilidades foram solucionadas, só que planeja mitigar estas preocupações em seus produtos futuros.
“É importante notar também que explorar vulnerabilidades requer penetrar em várias camadas de segurança da rede executada pelo sistema de informação hospitalar, incluindo firewalls de segurança”, disse a empresa em um comunicado. “Estas medidas de segurança de rede servem como a primeira e a mais forte linha de defesa contra a adulteração, enquanto as bombas de infusão e o software fornecem uma camada adicional de segurança.”
Enquanto isso, nós vamos deixar você com isso:
Don't buy a Hospira PCA drug pump to do security stuff. Busybx no passwd shell on 23, no-auth CGIs, also never hook it up to a human being
— dyngnosis (@dyngnosis) April 27, 2015
Tradução: Juliana Costa Santos Dias
Dicas