أمن المعدات الطبية
في مثال آخر على انعدام أمن المعدات الطبية الذكية، تبين بأن عدداً من مضخات أدوية الأوردة تعرضت لسلسلة من الثغرات الأمنية عن بعد، والتي قد تتيح للمهاجم إمكانية السيطرة الكاملة عليها، أو ببساطة جعلها عديمة الفائدة.
وتعتبر هذه المضخات جزءاً من الموجة الجديدة من المعدات الطبية المتصلة والذكية. وكما كتبنا سابقاً، بالأخص بما يتعلق بمضخات الأنسولين عالية التقنية، فإن المعدات الطبية الذكية تزيل بشكل رئيسي خطر الأخطاء البشرية للأشخاص الذين يستخدمون هذه الأدوية. وللأسف، فإن كثيراً من الشركات المصنعة لهذه المضخات، لم تعنى بالناحية الأمنية.
وتعد مضخات هوسبيرا عديمة الأمن، فبحسب بحث جيريمي ريتشارد فقد اعتبرت الأقل أمناً من ناحية عناوين IP ويستطيع المهاجم التحكم بها عن بعد وجعلها عديمة الفائدة تماماً.
ومن المثير للاهتمام قيام اثنين من الباحثين باكتشاف هذه الثغرة بشكل مستقل، أولاً بيلي ريوس المعروف بقرصنة أمن المطار ومغسلة السيارات وأنظمة معدات المنزل.
ورغم إغلاق بحث ريوس منذ سنة تقريباً، فقد نشر ريتشارد إعلاناً عاماً الأسبوع الماضي، ومنح ريوس ريتشارد مباركته لنشر نتائج بحثه.
@dyngnosis submitted to ICS-CERT a year ago, but feel free to publish!
— Billy Rios (@XSSniper) April 29, 2015
والأسوأ قيام هذه المعدات بتخزين مفاتيح WPA في نص فارغ وإذا تمكن المهاجم من سرقة أحد هذه المفاتيح فسيكشف كافة المعدات ضمن نفس الشبكة. وقد يتم الحصول على هذه المفاتيح من معدات خارج الخدمة أيضاً، وإذا فشل المستشفى في مسح المفاتيح قبل بيع الأجهزة، فستكبر المشكلة لعدد أكبر من المهاجمين. كما تتضمن هذه المعدات منفذ إيثرنت يتيح تنفيذ الهجمات السريعة والبسيطة المحلية باستخدام أدوات القرصنة.
وليس واضحاً إذا كانت هوسبيرا تخطط لإصلاح هذه الثغرات أم لا، ويدعي ريتشارد بأنها تنوي القيام بذلك، إلا أن تصريحات الشركة تتعارض مع هذا الإدعاء.
تتضمن بعض مضخات هوسبيرا ثغرات أمنية خطيرة وسهلة الاختراق
Tweet
وفي رد من هوسبيرا على زميلنا في ثريت بوست، كريس بروك، قالت: “لا توجد أمثلة على تعرض معدات هوسبيرا للاختراق ضمن المعدات الطبية، وقد اتخذت هوسبيرا إجراءات مبادرة لمواجهة الثغرات الأمنية المحتملة.”
وتدعي الشركة بأنها ناقشت إمكانية مواجهة هذه الثغرات مع عملائها الحاليين، إلا أن الشركة لم تقل بأنها ستعالج الثغرات في أي من المنتجات الحالية، وتقول هوسبيرا بأنها تنوي مواجهة هذه المشاكل في المنتجات المستقبلية.
كما تجدر الإشارة إلى أن نشر الثغرات يستلزم اختراق عدد من طبقات الحماية الأمنية المعدة من قبل نظام معلومات المستشفى، بما يتضمن الحائط الناري الآمن. وقالت الشركة بأن هذه المتطلبات الأمنية تمثل خط الدفاع الأول ضد الاختراقات ، وأن المضخات وبرامج الأجهزة توفر طبقة إضافية من الأمن.
