Ospedali sotto attacco nel 2016

L’anno 2016 è iniziato con un numero piuttosto rilevante di incidenti di sicurezza correlati ad operazioni di hacking compiute a danno di ospedali e apparecchiature mediche. Tali incidenti includono un attacco ransomware condotto nei confronti di un noto ospedale di Los Angeles; la stessa cosa è poi avvenuta in due ospedali tedeschi. Si è inoltre verificato un particolare caso in cui alcuni ricercatori hanno hackerato un monitor per pazienti e un sistema per la distribuzione dei farmaci; a tutto questo si aggiungono l’attacco subito da un ospedale di Melbourne e vari altri episodi – nei soli due primi mesi del 2016! Una simile situazione dovrebbe rappresentare una fonte di reale preoccupazione per l’industria della sicurezza IT.

Ciò che è avvenuto, tuttavia, non costituisce motivo di particolare sorpresa. L’industria dell’Internet delle Cose è in piena crescita; inoltre, il settore delle apparecchiature mediche può indubbiamente generare, di per sé, notevoli ed evidenti preoccupazioni in termini di sicurezza informatica. I moderni dispositivi medici sono, di fatto, computer pienamente funzionali, provvisti di sistema operativo e di applicazioni installate al loro interno; la maggior parte di essi dispone, poi, di un canale di comunicazione Internet, network esterni e vari tipi di server personalizzati basati sul cloud. Tali dispositivi, inoltre, sono particolarmente ricchi di tecnologie sofisticate, decisamente all’avanguardia, tutte quante realizzate con un preciso scopo: quello di aiutare i medici a garantire ai propri pazienti il miglior trattamento possibile. Al pari di tutti gli altri dispositivi industriali, le suddette apparecchiature vengono costruite dedicando particolare attenzione a tali tecnologie avanzate, allo scopo di ottenere la massima precisione, per essere davvero di aiuto in termini di scienza medica, ponendo tuttavia gli aspetti legati alla sicurezza informatica in secondo, se non in terzo piano. E questo costituisce, attualmente, un motivo di reale preoccupazione. Le vulnerabilità a livello di architettura dei programmi, le procedure di autorizzazione non sufficientemente sicure e protette, i canali di comunicazione non criptati e i bug critici nel software sono tutti elementi che conducono a potenziali compromissioni.

L’accesso non autorizzato a questi dispositivi potrebbe produrre effetti gravi: esso potrebbe infatti comportare non solo il furto dei dati personali – elemento di per sé importante – ma potrebbe pregiudicare direttamente la salute, se non addirittura la vita dei pazienti. Talvolta è davvero inquietante vedere quanto sia semplice introdursi, attraverso l’hacking, all’interno di un ospedale, carpire le informazioni personali da un dispositivo medico, od ottenere l’accesso a tale dispositivo con la possibilità di accedere, in seguito, al file system, all’interfaccia utente, etc. Immaginatevi quindi uno scenario – che potremmo definire un vero e proprio “attacco mirato” – in cui i cybercriminali, una volta ottenuto il pieno accesso all’infrastruttura medica di una specifica facility, possano manipolare i risultati dei sistemi di diagnosi o di trattamento. Visto che le attività condotte dai dottori ospedalieri, in alcuni casi, dipendono fortemente da tali sofisticati dispositivi medici, una manipolazione del genere potrebbe comportare la prescrizione di un trattamento errato ad un paziente, peggiorando in tal modo le condizioni di salute di quest’ultimo.

Nella ricerca da me illustrata al Security Analysts Summit (SAS), evento organizzato da Kaspersky Lab, ho presentato un evidente esempio di come risultasse facile individuare un ospedale, ottenere l’accesso alle sue reti interne e, infine, assumere il controllo di un dispositivo MRI (tomografia a risonanza magnetica), per poi reperire i dati personali dei pazienti, le informazioni di natura confidenziale relative a questi ultimi, le terapie ad essi applicate ed accedere persino al file system dell’apparecchiatura MRI. Il problema, nella circostanza, non riguarda esclusivamente l’insufficiente livello di protezione delle attrezzature mediche; esso ha, in effetti, una portata molto più ampia: l’intera infrastruttura IT dei moderni complessi ospedalieri non risulta adeguatamente organizzata e protetta, e il problema sussiste su scala mondiale.

Ma vediamo, nello specifico, come i cybercriminali potrebbero eseguire i loro attacchi. Ho messo quindi in evidenza le tre principali falle di sicurezza che possono emergere quando si parla di adeguata protezione IT di una struttura medica:

Innanzitutto l’esposizione ad Internet mediante una procedura di autorizzazione carente dal punto di vista della sicurezza, o addirittura senza alcuna autorizzazione.

Esistono vari modi per individuare i dispositivi vulnerabili, ad esempio utilizzando il noto motore di ricerca Shodan. Inviando le giuste richieste a Shodan si possono di fatto trovare migliaia di dispositivi medici “esposti” ad Internet: un hacker potrebbe quindi scoprire scanner MRI, apparecchi di cardiologia, attrezzature radioattive utilizzate in campo medico ed altri apparecchi correlati – tutti quanti connessi a Internet. Molti di questi dispositivi continuano tuttora ad avvalersi del sistema operativo Windows XP e presentano decine di “vecchie” vulnerabilità non chiuse tramite le apposite patch; tali vulnerabilità potrebbero, in sostanza, portare alla totale compromissione del sistema remoto. Inoltre, in alcuni casi, i dispositivi in questione sono ancora provvisti delle password di default, rimaste invariate, le quali potrebbero essere facilmente reperite sui manuali pubblicati in Internet.

Ospedali sotto attacco nel 2016

Risultati della ricerca effettuata su Shodan

Nel momento in cui ho eseguito la mia ricerca ed il relativo penetration test nei confronti di una reale struttura ospedaliera, ho individuato alcuni dispositivi connessi ad Internet; essi, tuttavia, risultavano essere protetti piuttosto bene: nessuna password di default rilevata, nessuna vulnerabilità a livello di interfaccia di controllo web, etc. Ad ogni caso, anche se la facility appare ben protetta sul lato Internet, una simile situazione non impedisce ad un cyber criminale di ricercare altri metodi per potersi introdurre illecitamente nell’infrastruttura IT presa di mira, se lo scopo del malintenzionato è quello di ottenere l’accesso a qualsiasi costo.

Ed ecco la seconda falla di sicurezza: i dispositivi non sono protetti nei confronti di eventuali accessi effettuati attraverso le reti locali.

Nel mio caso, mi sono recato sul luogo dove si trova l’ospedale e ho rilevato una serie di access point Wi-Fi appartenenti a tale struttura. Uno di essi presentava una password Wi-Fi “debole”, che sono stato in grado di “craccare” nel giro di due ore. Con tale password sono poi riuscito ad ottenere l’accesso al network interno dell’ospedale; qui ho individuato le stesse apparecchiature mediche da me scoperte in precedenza su Internet, ma con una differenza sostanziale: adesso ero in grado di connettermi ad esse, visto che la rete locale rappresentava, per queste ultime, un network attendibile. I produttori di dispositivi medici, nel momento in cui realizzano un intero sistema, sono soliti proteggere gli stessi da eventuali accessi interni. Per qualche ragione, tuttavia, si è ritenuto che se qualcuno avesse tentato di accedere alle apparecchiature dall’interno, tale azione sarebbe stata considerata attendibile di default.
Un concetto del genere è profondamente sbagliato: non fate quindi per forza affidamento sugli amministratori del sistema locale, e sul modo in cui essi possono organizzare, a volte, la protezione della rete informatica interna di un ospedale.

A questo punto compare, poi, la terza falla di sicurezza, costituita dalle vulnerabilità presenti nell’architettura del software.

Quando mi sono connesso ad un dispositivo, passando attraverso la schermata di login prevista di default, ho immediatamente ottenuto l’accesso all’interfaccia di controllo, così come ai dati personali e alle informazioni relative alle diagnosi eseguite riguardo ai pazienti ricoverati in ospedale. Non è stato tuttavia questo ad attirare la mia attenzione. Ho in effetti individuato una shell di comando implementata nell’interfaccia utente, che mi consentiva di accedere al file system del dispositivo.

Ospedali sotto attacco nel 2016

Risultato della risonanza magnetica (MRI) eseguita su un paziente

Si tratta, a mio parere, di una grave vulnerabilità a livello di progettazione dell’applicazione: anche se non vi fosse alcuna possibilità di accesso remoto, perché mai i software engineer dovrebbero cogliere l’occasione di fornire l’accesso alla shell di comando attraverso l’interfaccia riservata al medico? Di sicuro non dovrebbe essere disponibile per impostazione predefinita. È proprio quello di cui stavo parlando all’inizio. Si può, da un lato, fornire una buona protezione, ma si può, al tempo stesso, completamente trascurare la necessità di prestare le dovute attenzioni ad altri importanti aspetti; così, un malintenzionato che sta progettando un attacco, probabilmente scoprirà qualcosa di simile, e comprometterà agevolmente, in seguito, l’intero dispositivo.

L’altro problema di particolare rilevanza, riguardo alle vulnerabilità presenti nelle applicazioni, è rappresentato, ovviamente, sia dalle versioni ormai obsolete dei sistemi operativi utilizzati, sia dalle difficoltà riscontrate a livello di gestione delle patch. Si tratta, in sostanza, di un ambiente completamente diverso rispetto alle infrastrutture IT standard previste per i PC o i dispositivi mobile; in effetti, non è possibile rilasciare semplicemente una patch in grado di “fissare” una vulnerabilità, e poi effettuare l’upload di tale patch sui dispositivi medici interessati. Occorre, in pratica, eseguire un processo manuale particolarmente complesso; in molti casi, si rivela necessaria la presenza, sul sito ospedaliero, di un tecnico qualificato, in grado di effettuare l’upgrade del sistema e testare poi il corretto funzionamento dei dispositivi una volta realizzato l’aggiornamento. Operazioni del genere richiedono tempo e denaro; è quindi essenziale creare un sistema protetto fin dall’inizio – ovvero nella fase stessa di sviluppo del software – con il minor numero possibile di vulnerabilità nelle applicazioni via via realizzate.

I vendor di apparecchiature mediche, così come i team di esperti informatici che operano presso le strutture ospedaliere, dovrebbero prestare la massima attenzione al tema della cyber-sicurezza in campo medico; infatti, essi sono, ora, sulla lista degli obiettivi di valore, presente negli ambienti dell’underground cyber criminale. Assisteremo quindi, nel corso di questo anno, a un numero crescente di attacchi condotti nei confronti di strutture sanitarie, compresi attacchi informatici mirati, infezioni ransomware, DDoS e persino attacchi volti a danneggiare fisicamente i dispositivi medici. Il settore ha infine iniziato a dedicare le necessarie attenzioni al problema; la FDA (Food and Drug Administration; l’Agenzia per gli Alimenti e i Medicinali statunitense), ad esempio, ha
emesso
specifiche linee guida, evidenziando le importanti misure che dovrebbero essere adottate, da parte dei produttori di dispositivi medici, per far fronte in maniera efficace e continuativa ai rischi presenti in materia di cyber-sicurezza, allo scopo di mantenere al sicuro i pazienti e proteggere quindi in maniera ancor più efficace la salute pubblica.

Desidero infine fornire alcune utili raccomandazioni al personale IT impegnato localmente nelle strutture ospedaliere:

  • Siate consapevoli del fatto che i cybercriminali, adesso, stanno prendendo di mira anche le strutture mediche; leggete, quindi, riguardo a tali incidenti, e cercate di capire se i metodi di attacco possano effettivamente colpire la vostra infrastruttura.
  • Applicate nel modo più rigoroso possibile le policy di sicurezza IT implementate in precedenza e sviluppate ugualmente, in maniera tempestiva, specifiche policy dedicate alla gestione delle patch e alla valutazione delle vulnerabilità.
  • Concentratevi non solo sulla protezione della vostra infrastruttura nei confronti delle minacce provenienti dall’esterno – quali, ad esempio, malware ed attacchi hacker – ma anche sul mantenimento di uno stretto controllo su ciò che avviene all’interno della vostra rete locale – determinando esattamente chi ha accesso a che cosa – e su qualsiasi altro elemento che potrebbe condurre ad una seria compromissione dei sistemi e dei dispositivi locali.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *