Medical Hacking

Medical Hacking “Donde la víctima no es solo un ordenador si no la vida de un humano” Autor: kevlni parra – Venezuela 0...
0 downloads 167 Views 2MB Size
DOWNLOAD .PDF
Medical Hacking “Donde la víctima no es solo un ordenador si no la vida de un humano”

Autor: kevlni parra – Venezuela 04-09-2016

Definicion:

Kelvinsecurity ha tenido la experiencia para ir a visitar un centro hospitalario y areas de dialisis para llevar acabo una investigacion sobre “el hardware en la medicina” para luego llevarlo a la venta e n su nuevo producto la FDA encargada de proteger la salud publica compromete a pacientes a utilizar el hardware que han desarrollado empresas para llevar una mejor vida y hacer todo los diagnosticos de forma rapida.

Objetivo: Objetivo principal es buscar respuestas ante los problemas de seguridad que presenta un sistema informático en un dispositivo medico tal como todo es funcionable por medio de un software que puede ser vulnerados y para que sea haga algo al respecto tomando en cuenta la experiencia que se vivió en 1 mes en un hospital de Venezuela llevar al usuario que adquiere este manual “información” sobre las vulnerabilidades que presenta y que un black hat hacker lo utilicé o venda el método a personas con propósitos malignos.

Black Hat Hacker: El papel del blackhat hacking en este tema es llevar la investigacion y exponerla ante personas que quieran utilizar este metodo a sus ideas para el uso maligno o simplemente notificar a la empresa con la finalidad de ganar dinero.

Pagina 1 – definicon

Malware En El Dispositivo Medico:

El virus de ordenador es muy típico y solo daña el software de tu ordenador en otros casos el virus en el humano pone en riesgo tu vida y como todo virus también trae “Sintomas” estos síntomas en “malware” sea troyano o gusano o una ejecución de un formato con dirigido a eliminar un fichero únicamente para causar daño en el software del dispositivo medico es mucho mas peligroso y puede ser dañino para el paciente.

Sintomas:

-

Daño del software arranque Borrado De Datos Como La de Pacientes E Imágenes Ataque al corazón del dicho muchas veces que un más peligroso porque atenta contra la funcionalidad de componentes.

Maquina De Dialisis Peritoneal:

problemas en Backup o Listados Almacenadas hardware se ha ataque dirigido es

Podemos investigar y dar a ejecución un malware pues sabemos que algunos malwares han llegado de distintas formas sea via “Wireless” o algún puerto donde nuestro código corra como en cualquier ordenador el malware tiene como objetivo jugar con el software del dispositivo en cambio los troyanos y gusanos buscan robar información como el gusano que cumple las 2 funciones 1) propagarse e infectar otros dispositivo e incluso ordenadores.

Como ejemplo podemos definir al DPA la maquina de diálisis peritoneal actualmente en España han creado mauqinas de diálisis para peritoneal que hace mucho mas facil:

La maquina de diálisis peritoneal DPA tiene como función hacer las funciones que no pueden hacer tus riños cuando dejar de funcionar y es depurar las toxinas que existen en tu cuerpo.

Detalles de la DPA:

Kelvinsecurity cuenta con una DPA no es la mas actuailiza en su modelo pero si aplica las funciones que necesita el pasiente contanto con un proceso:

(1) (2) (3) (4)

Drenaje Infusión Permanencia Y de vuelta a drenaje

Esta 4 funciones las cumple y son repectitivas de hecho la mauqina DPA necesita la “configuración” adecuada que ha recomendado el doctor de nefrología para evitar llenar al paciente con gran cantidad de liquido ya que este puede retener una gran cantidad en el cavidad peritoneal y tenemos que estar claros que el liquido retenido en la cavidad peritoneal puede dañar otros órganos del cuerpo ya que las toxinas son retinadas.

Para entender mas el tema debemos puedes visitar un blog que hemos creado: http://dialisismundo.blogspot.com/

Una DPA – Cicladora Mal Configurada:

Ahora hablaremos un poco al respecto sobre que puede suceder si existe una mala configuración en el software:

1) Salidas del aire: Normalmente cuando la maquina empieza a cebar las líneas es decir a hacer un pequeño drenaje de las bolsas con el liquido dialisante es cuando se asegura de que quede aire dentro de las bolsas de diálisis esta función la cumple la maquina para evitar que durante la infusión el paciente se llene de aire en la cavidad peritoneal.

2) Medicion Del Fluido De Liquido: Es necesario siempre ver las bolsas de diálisis y ver que tienen la cantidad de mililitros que va a infundir al paciente por que como hemos dicho si existe mayor cantidad de infusión y gran cantidad de Texinas y liquido dialisante este puede ser la posibilidad de que dañe otros órganos. 3) Consecuencia de infección: Otra de las cosas que habitualmente ponen al paciente inestable es la infección de la cavidad peritoneal lo cual lleva al paciente a pasar por hemodiálisis causando una peritonitis y dañando la cavidad peritoneal esto es conocido mas como la inflamación de la cavidad peritoneal.

Cassete de dialisis peritoneal

--- Cassete De Dialisis --

Cuando hablamos sobre el drenaje, infusión y permanencia hablamos que con ayuda del cassete de diálisis llevara el liquido de las bolsas de diálisis conocidas como “Soluciones” por medio de estas mangeras estas son también conocidas como “Lineas” tenemos la línea principal que es la que se encuentra con una punta de color blanco esta ira conectada al paciente también tenemos las otras líneas y es donde iran las bolsas excepto la ultima línea que es donde ira el drenaje asi que las (4) primeras líneas de punta azul son las que suministran y transladan las soluciones “Liiquidos” de diálisis a el paciente y la otra la ultima punta es la encargada de el drenaje de las toxinas.

La cicladora que presentamos en kelvinsecurity es un modelo que lleva unos años y no tiene pocas opciones de comunicación inalámbrica:

Software De La Maquina:

Contamos con 2 softwares y que puede utilizar nuestra DPA para administrar un “registro de fecha y hora” de una maquina dpa uno de los software es SPSS que procesa una plantilla en Excel de los pacientes con los detalles del paciente dialisante.

El software IBM SPSS cuenta con vulnerabirildiades y tienen un impacto como los siguientes:

-

usuario remoto puede tomar el control total del sistema de destino. Un usuario remoto puede provocar condiciones de denegación de servicio.

-

Pero nos preguntamos: como usuario tendría que utilizar un lenguaje como “C” la maquina DPA para realizar funciones como la configuración de la máquina y “determinar esa configuración para todos los días” cuando enciendes la maquina DPA la misma configuración se encuentra y adema de ello también almacena la información de la “Ultima Ultra Filtracion2 de la DPA estas tendría que contar con lenguaje de programación como C para realizar dicha función y lenguaje ensamblador del microprocesador .

También tenemos la maquina DPA pero en su actualizada y es que esta tiene 2 opciones que podemos notar a facilidad

1) PRO CARD una memoria que almacena los datos de paciente esta si puede ser visualizada

 PRO CARD - Esta es la encargada de guardar información durante la visita de pacientes a el área de diálisis y almacena estos datos en excel en un formato CVS y puede ser visualizado desde un ordenador con ayuda del software de IBM SPSS

Información: en esta parte donde vimos PRO CARD se determina que la memoria como tal es de propiedad de la empresa Baxter una de las conclusiones que tenemos es que se pueda ejecutar malware por medio de la insertacion de esta memoria a la maquina DPA pero aun así el malware tendría que ser especificados de las funciones en el área black hat hacking se busca a des configurar y dar una falso positivo donde el display de la maquina muestre un valor normal mientras corre un valor diferente lo cual puede causar consecuencias graves y de hecho lo hemos visto anteriormente en que el paciente con una infusión y una retención de líquido en la cavidad peritoneal durante el proceso esta queda retenida un cierto porcentaje con toxinas lo cual puede dañar como hemos dicho otros órganos.

Instalacion de un modem en la DPA

-

Modem de clase II (Uso De Lineas telefónicas)

Baxter incluye un modem adicional y tiene la misma función que la PRO-CARD y este transferir información del paciente como lo hace la PRO-CARD por medio de líneas telefónicas con el uso de modem que debe estar al menos a 5 pies de distancia del paciente.

--- puntos de acceso y en caso de ADSL Router Modem ----

En otro caso si hubiera un punto ADSL “Wifi” estos se podrían conectar pero por actos de seguridad y obviamente se encontraría en WPA2 y por lo tanto dificulta el acceso a un pirata informático pero hemos visto con tiempo que existen también puntos es decir la creación de una dirección IP que sea pública a motores de búsqueda como shodan y pueda ser procesada en caso que no ce encuentre protegida la entrada y sea un correcto http 200 OK entraríamos correctamente hasta ahora también existen los 0days – exploits correctos que se pueden bajar e incluso kit framework que incluye todos los scripts de explotación y funciones de identificación del dispositivo.

Investigacion De Jerome Radcliffe

Jerome Radcliffe es un black hat hacker y en las conferencias de blackhat hacking expuso su nueva investigación sobre la seguridad que existen en las bombas de insulina inalámbricas donde hackers podrían incluir dosis letales.

 Bomba de insulina ejemplo Como hablamos anteriormente en la DPA podría tener el mismo problema pero suele transmitir de forma diferente este dispositivo puede transmitir de forma inalámbrica para el monitoreo desde celulares inteligentes por ejemplo y muchos expertos han dicho que tiene un cifrado que puede evitar su control por parte de otro individuo

Componentes:

En la parte de hardware tenemos a los que los componen tenemos:

1) 2) 3) 4) 5) 6) 7)

Batería Depósito De Insulina Tubería La Aguja El Conjunto De Infusión Botones Para Realizar Operaciones Y Modificaciones La pantalla para visualizar el estado

Preocupación Del Paciente Ante BlackHat: El paciente como tal ama la tecnología pues adquieren ahora dispositivos como es la bomba de insulina inalámbrica para ver operaciones desde su celular y poder tomar acciones desde su celular también en una cercanía con conexión a bluetooth a que esta puede realizar comunicación desde una distancia cercana pero empresas han creado también la posibilidad de monitorear vía Wifi y es una de las cosas que debes tener en cuenta que cualquiera con una aplicación un método de conexión una clave “única” para todos los dispositivos agrega un riesgo más a que el paciente pueda fallecer por una sobre dosis de insulina.

Bomba De Insulina Y Wireless.

-

Comunicación Android Y Bomba De Insulina Vía Bluetooth

Todo el sistema se puede dividir en dos partes: el androide dispositivo y la bomba de insulina. La bomba de insulina incluirá microcontrolador, el montaje basado jeringa, motor paso a paso para controlar el movimiento de la jeringa, los interruptores para establecer interrupciones y un Bluetooth externo para la comunicación con el dispositivo Android. Con una aplicación.

Podríamos utilizar app inevntor 2 para realizar nuestro proyecto personalizado para la comunicación entre una aplicación con Arduino vía Bluetooth pero ya que hay una empresa y los productos “DANA” han creado posible la aplicación para interactuar con la bomba de insulina

Dana Y Conexión No Segura Y De Remoto Control:

La principal preocupación es que DANA ha permitido la conexión via Bluetooth para el monitoreo de la bomba de insulina según DANA puedes tener un remoto control sobre la bomba de insulina mediante esta conexión y por medio de un aplicación lanzada por la empresa a celulares smarth pone.

-

Dana aplicaciones de conexión wireless

Se encuentra en playstore y tiene las funciones de mandar acciones del:

(Dispositivo Android ) => (Envía Comando A Bluetooth) ) => (Envía Acción A MicroControlador) => (Envía Ultima acción A Bomba De Insulina)

Jerome Radcliffe Y Su Metodo:

Jerome Radcliffe en su investigación en el misma área de medicina informática con fines malignos afirma que hackers pueden hackear las bombas de insulina utilizando herramientas de software e inspeccionar la comunicación por medio de radio frecuencia del dispositivo utilizando un software llamado Smart RF Studio con que el que puede evaluar los niveles de radio frecuencia durante el uso del nucleo cc1111.

- mCU - Motor de estado de radio - Configuración de radio - USB - temporizadores - DMA MCU cc1111:

-

MCU : Micro Controlador

Modificación Del Núcleo 8051: - 8-bit MCU - 256 bytes de IRAM - 4 KB de RAM - Datos incluye todo el código, IRAM, IRAM - Ejecución se produce en cualquier lugar regístrese acceso a la radio, DMA, cripto, USB, temporizadores, adc ● registros son simplemente lugares de memoria es el XDATA espacio de dirección

Jerome Radcliffe: Tres aplicaciones inalambricas que la bomba de insulina utiliza:

-

Bomba de insulina tres formas de comunicación inalámbrica

1)

En primer lugar, hay un programa basado en Java que utiliza un periférico inalámbrico dispositivos para configurar todos los ajustes de los dispositivos. 2) segundo lugar hay un medidor de glucosa en la sangre que se pueden comunicar los resultados de una prueba de la tira de sangre a la bomba de insulina.

-

CGM

Esto hace que sea más conveniente para un diabético para entrar en esos valores en la bomba de insulina Esta tercera bomba de insulina también tiene un CGM.

-CGM Comunicación Inalámbrica La funcionalidad, permitiendo el uso de un sensor de CGM que funciona exactamente la misma que esta dispositivos CGM solamente mencionó anteriormente. Todo lo que hay utilizan la misma interfaz inalámbrica en el bomba de insulina. A partir de una investigación anterior que conocer la frecuencia (916.50mHz) y la modulación (OOK). Antes de excavar en la capa física de la transmisión inalámbrica.

-Módulo CC1101 Radio Frecuencia El investigador de seguridad a su comienzo Quería ver lo que los archivos de registro del software de configuración tenían que ofrecer para obtener más información. En el Propiedades archivos, el registro se establece en Ninguno, lo que he cambiado de ALTO. Esto produjo una gran cantidad de información Incluyendo el mensaje real y las respuestas con los dispositivos El peor escenario caso de un ataque a un dispositivo CGM sería de falsificar los datos del sensor para el usuario haciéndoles creer el nivel de azúcar es superior o inferior lo que realmente es. hay dos maneras que esto se puede lograr. Si el formato de transmisión es desconocida, a continuación, un ataque de repetición se puede utilizar. El uso de un previamente transmisión transcrito a partir del sensor que muestra un valor alto de azúcar, esto podría ser más tarde re-transmitido por el módulo de RF CC1101. Esto haría que la unidad receptora para indicar una lectura más alta de azúcar luego en realidad existe.

Hay tres factores que la hacen de este ataque más duro es el que parece.

-Receptor CGM En primer lugar el rango de los dispositivos de CGM se limita extremadamente el transmisor tendría que ser dentro de 100 a 200 pies del receptor CGM. Esto limita la capacidad atacante como el que acceder físicamente el espacio personal de un individuo para llevar a cabo el ataque. segundos dispositivos CGM menudo se pedirá al usuario para la medición de calibración. se realiza con un medidor de glucosa en la sangre .

Una situación peligrosa para un usuario de la bomba de insulina es la manipulación de parámetros de configuración desconocida ya que hay ajustes son la base para el cálculo de la cantidad de insulina que se dispensa a el usuario. Este ataque implicaría la compra del atacante periférica inalámbrica necesaria para hablar con la bomba de insulina. Estos se encuentran a menudo en eBay por menos de cien dólares estadounidenses. o puede b comprado sin necesitar para una prescripción de la marca nueva forma minoristas de suministros médicos. La tarea de descubrir los códigos de comando para la bomba de insulina formato de los mensajes son bastante simples.

Philips Xper-IM Vulnerabirildiades:

-272 vulnerabilidades El sistema Philips Xper-IM Connect que se ejecuta en Windows XP, la versión 1.3.0.065, se probó y determinó que 460 vulnerabilidades. Philips ha confirmado que 272 de estas vulnerabilidades están presentes en cinco paquetes de software en el software del sistema Xper-IM Connect y 188 vulnerabilidades están asociados con el sistema operativo ya no es compatible con Windows XP. Todas las 460 vulnerabilidades con números CWES asignados se pueden clasificar como uno de los siguientes cinco tipos de vulnerabilidades: 1) de inyección de código 2) Errores de gestión de recursos 3) Información sobre la exposición 4) Errores numéricos 5) incorrecto la restricción de las operaciones dentro de los límites de un búfer de memoria

Vulnerabirilidad: Estas vulnerabilidades podrían ser explotadas remotamente y ataques dirigidos a estas vulnerabirilidades están disponibles al publico e incluso se dice que un hacker con pocas habilidades pueden romper estas vulnerabirildiades.

Software De Philips Xper-IM:

-Software

El software corre medante un sistema operativo “Windows Xp” y este puede ser vulnerable por malware informatico esta vez hablamos de síntomas de computadoras como un daño letal al software configurando mal valores que muestra el display otros que afectan.

En otro caso kelvinsecurity detecto una IP de Taiwan en el hospital sin Kong donde el dispositivo Xper D10 esta siendo utilizado con un servidor AKCP .

El sistema estaba critico el monitor lanza malos valores de hecho es de pensar que el servidor esta inactivo o estuvo inactivo por un buen tiempo o ha llegado un usuario y tomo malas acciones y luego se ha de presentar este problema.

Comunicacion:

-

mapa grafico

Bien interactua o mas bien se la juega con xcelera para almacenamiento de la base de datos donde almacena datos de imágenes cardiovasculares el servidor protegido por medio de citrix aunque citrix también ha tenido su historial de vulnerabirilidades hacemos presente el siguiente:

-

Citrix Aplicaciones con “Phillips DICOM Viewer

Aunque no podríamos realizar nada al menos buscar un buen exploit se debe a que citrix en este caso de esta ip tiene solo habilitado un puerto de VPN y de UDP y no contamos con los detalles necesario para buscar un exploit.

Baxter SIGMA Spectrum Infusion Vulnerabirilidades

-Hardware De Infusión Baxter

Hablamos sobre Baxter en la primera parte esta vez innovado “Baxter SIGMA” su funcionalidad infusión se encuentra con vulnerabirilidades el investigador de seguridad a redactado que se puede dar un configuración al dispositivo con las vulnerabirilidades que pueden ser explotadas que ha encontrado el problema de estas es que no serán puesta al publico por lo tanto el gobierno de los estados unidos y FDA se comprometen a mantener la técnica en secreto pero dar una definición y sacar una idea a algún nuevo investigador de como puede romper otra nueva vulnerabirilidad de ese dispositivo.

Puerto 22 SSH y un acceso sin petición de credenciales:

El WBM es accesible de forma remota a través del puerto 22 / SSH sin autenticación. Un atacante remoto podría ser capaz de hacer cambios de configuración no autorizados a la WBM, así como los comandos de edición para acceder a las credenciales de cuenta y claves compartidas. Baxter afirma que esta vulnerabilidad sólo permite el acceso a características y funcionalidad en la WBM y que la bomba de infusión SIGMA Espectro no puede ser controlado desde el WBM.

Baxter tomaría acciones y desabilitaria el puerto.

También tenemos el mismo problema pero por el puerto 21 el famoso file manager pero en este caso puedes acceder con la famosa “Anonymous Acces” un acceso permitido para cualquiera y este es titulado como un “bypass” un salto del acceso con petición de credenciales pero este vino

asi por defecto y la empresa Baxter no lo toma como una amenazas debido a que no presenta ningún riesgo.

Ataque A MergePacks “Radiologia”

-merge packs ante amenazas

EL DISPOSITIVO MEDICO DE MERGE PACS EN CARGADO VISUALIZA GRAFICAMENTE AL PERSONAL DE UN HOSPITAL POR MEDIO DE UN SOFTWARE HACE POSIBLE QUE EL DOCTOR O INGENIERO DE COMPUTACION DE SISTEMA VISUALIZE LAS IMAGENES TOMADAS PARA SU IMPRESION ANTERIORMENTE EN PAISES LATINOS EXISTEN MUCHO MAS LA TECNOLOGIA SIEMENS, MERGE PACS EN UTILIZADOEN PAISES EUROPEOS Y ESTADO UNIDENSES.

MEDIANTE EL SCANNEO A ESTOS DISPOSITIVOS LANZAMOS UN HTTP TRACER Y OBTENEMOS LOS DATOS SIGUIENTES:

HTTP/1.1 200 OK Date: Sat, 28 May 2016 22:49:27 GMT

-> (ULTIMA ACTUAILZIACION)

Server: Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8zb mod_jk/1.2.37 X-Powered-By: JSP/2.2

-Software

EL SOFTWARE MERGE PACS TIENE CONEXION DE SOFTWARE Y SERVIDOR WEB ES DECIR QUE HAY UNA POSIBILDIAD QUE EL SERVIDOR WEB TENGA UN ALOJAMIENTO DE BASE DE DATOS Y LA VEZ LA CONFIGURACION DEL DISPOSITIVO ENTONCES HACEMOS POSIBLE QUE MANDEMOS UN MENSAJE A LA PANTALLA "OPERATIVA" DONDE SE ENCUENTRA EL SOFTWARE DE MERGE PACS.

CUANDO BUSCO DISPOSITIVO POR MEDIO DE UNA ISP SACAMOS LO SIGUIENTE:

-buscando mergepacks mediante shodan

-scanneado puertos

Podemos ingresar a la plataforma mediante el puerto 443

-plataforma de merge pacs

COMO SE ENCUENTRAN EN "HTTP/1.1 200 OK" NOS ACEPTA INGRESAR AL SERVIDOR WEB SIN PROLEMAS DE AUTENTIFICACION PERO A LA VEZ INGRESAMOS Y NOS PIDE AUTENTIFICACION.

RECORDEMOS QUE ESTE SERVIDOR MANTIENE INFORMACION Y CONFIGURACION ENTRE CONEXION DE LAS RADIOLOGIAS DE LOS PACIENTES DE UN HOSPITAL O CLINICA, DE HECHO SI VEMOS UN "OPEN SOURCE" PODRIAMOS NAVEGAR EN ESOS DIRECTORIOS Y POSIBLES ACCESOS A FICHEROS QUE SE ENCUENTRE EN DIRETORIOS COMO POR EJEMPLO:

.XML , TXT , LOG , SQL ECT.

-resumen del gusano que ataco a merge pacs

una vulnerabilidad JBOSS dentro de la aplicación PACS. La explotación era un gusano que recorrió la Internet para todos JBOSS versiones 4.x 5.x sin parche que eran accesibles a través del puerto TCP 8080. Debido a que el puerto TCP 8080 fue abierto en el firewall para el servidor PACS radios el gusano era capaz de encontrar e infectar el servidor PACS. El exploit sólo se ve afectado el servidor PACS porque se ejecuta JBOSS. Después examinamos lo que el gusano estaba tratando de lograr, se determinó que la carga útil consistió de scripts de Perl diseñado para tomar el servidor y la red hacia abajo.

El martes por la tarde, hemos creado un script que constantemente mató al proceso que estaba sobrecargando la red y que protegía a la red hasta Combinar podría crear un parche.

Smartphone Interaccion Con Dispositivos Medicos:

-dispositivos médico para graficar las pulsaciones más fuertes del corazón

Es sencillo y funciona desde una aplicación aunque este no ha sido presentado como un problema en que se haya producido un problema en que de forma inalámbrica en que cualquier individuo con la aplicación pueda realizar una comunicación entre su celular y el dispositivo medico solo ha sido la posibilidad de monitorear y no de tener un remoto control sobre el dispositivo.

Pero no solo los Smartphone ejemplos de estas plataformas móviles incluyen ordenadores móviles, tales como teléfonos inteligentes, computadoras tablet y otros ordenadores portátiles con que se le facilita al doctor para tener el equipo en la mano pero en otros casos tal como lo planteamos en el entorno black hat hackers.