Idriss, expert en sécurité informatique pirate le téléphone portable des chroniqueurs en direct
Les chercheurs ont localisé des dispositifs médicaux en cherchant des termes comme «radiologie» et «podologie» dans Shodan, une recherche. moteur pour trouver des dispositifs connectés à Internet.
Certains systèmes étaient connectés à Internet par conception, d'autres à cause d'erreurs de configuration. Et une grande partie de l'équipement médical utilisait encore les identifiants et mots de passe par défaut fournis par les fabricants.
Les chercheurs ont étudié la documentation publique destinée à installer l'équipement et trouvé des pratiques de sécurité effrayantes.
Les mêmes mots de passe par défaut ont été utilisés à plusieurs reprises pour différents modèles d'un appareil, et dans certains cas, un fabricant a averti les clients que s'ils changeaient les mots de passe par défaut, ils pourraient ne pas être éligibles pour un support. C'est apparemment parce que les équipes de support avaient besoin des mots de passe pour entretenir les systèmes.Les chercheurs se sont concentrés sur l'équipement de GE Healthcare, mais ils ont dit qu'ils auraient pu choisir n'importe quelle entreprise.
Ils ont construit un nuage de mots montrant les identifiants et mots de passe les plus fréquemment utilisés pour les produits de GE, qui ressemblaient à ceci.
Scott Erven / Mark Collao
Nuage de mots indiquant les noms d'utilisateur et les mots de passe par défaut fréquemment utilisés dans les dispositifs médicaux GE
Evren a indiqué qu'il n'est pas nécessaire de compromettre la sécurité des patients. peut se mettre en danger. Il a cité un cas de deux patients à l'hôpital après un accident qui a piraté leurs gouttes de médicaments contre la douleur afin d'augmenter le dosage.
"Si vous êtes sur la morphine et que vous pouvez trouver comment pirater votre propre pompe" La sécurité est clairement "n'est pas très bon", a déclaré Evren.
Les appareils ne sont pas seulement vulnérables au piratage en ligne. Les chercheurs ont consulté le réseau d'un fournisseur de santé anonyme et ont trouvé des informations détaillées sur plus de 68 000 dispositifs, y compris les noms d'hôtes, une description de l'équipement, son emplacement physique à l'hôpital et les médecins qui lui sont assignés. > Quelqu'un pourrait facilement utiliser ces informations pour commettre une attaque de phishing - un e-mail ciblé qui empêche quelqu'un d'ouvrir une pièce jointe malveillante.
Pour savoir comment les pirates ciblent activement les appareils médicaux, Collao a créé 10 "honeypots" - - des ordinateurs qui imitaient l'apparence des systèmes médicaux pour attirer les hackers. Ils ont attiré 55 connexions réussies, 24 exploits - la plupart utilisant la vulnérabilité MS09-067 Windows - et 299 échantillons de logiciels malveillants.
Sur le plan positif, il n'y avait aucune preuve que les pirates avaient ciblé les appareils spécifiquement parce qu'ils ressemblaient à des systèmes médicaux, a dit Collao, mais ils sont toujours ciblés.
Des milliers de dispositifs médicaux, notamment des scanneurs IRM, des appareils de radiographie et des pompes à perfusion, sont vulnérables au piratage, ce qui crée des risques pour la santé des patients, ont déclaré des chercheurs en sécurité cette semaine. De plus en plus connecté à Internet pour que les données puissent être introduites dans les systèmes de dossiers électroniques des patients, a déclaré le chercheur Scott Erven, qui a présenté ses découvertes avec son collègue chercheur Mark
Outre les problèmes de confidentialité, le piratage informatique peut modifier les dossiers médicaux et les plans de traitement des patients.
Le fabricant d'appareils médicaux Animas, une filiale de Johnson & Johnson, avertit les patients diabétiques qui utilisent ses pompes à insuline OneTouch Ping des problèmes de sécurité qui pourraient permettre aux pirates informatiques de délivrer des doses non autorisées d'insuline.
Les vulnérabilités ont été découvertes par Jay Radcliffe, chercheur en sécurité chez Rapid7, qui est un diabétique de type I et un utilisateur de la pompe. Les défauts proviennent principalement d'un manque de cryptage dans la communication entre les deux parties de l'appareil: la pompe à insuline elle-même et le lecteur distant qui surveille la glycémie et indique à distance à la pompe combien d'insuline administrer.
