image

Russische hackers gijzelen Australische patiëntendossiers

maandag 10 december 2012, 11:56 door Redactie, 16 reacties

Russische hackers hebben de elektronische patiëntendossiers van duizenden Australiërs voor losgeld gegijzeld. Om weer toegang tot de patiëntengegevens te krijgen moet het Miami Family Medical Centre in het Australische Gold Coast 3.000 euro betalen. Mede-eigenaar David Wood van het medisch centrum dacht over een goed systeem te beschikken, zo laat hij tegenover ABC News weten.

"We beschikken over virusscanners en wat meer, er was ook geen teken van een virus. Ze hebben letterlijk de server gehackt en vervolgens hun encryptiesoftware gedraaid", zo laat hij weten. "Het gaat om mensen die weten hoe ze firewalls moeten omzeilen en wachtwoorden hacken om toegang tot een s ever te krijgen."

De mede-eigenaar laat patiënten weten dat ze zich geen zorgen hoeven te maken, aangezien hun gegevens niet gestolen zouden zijn. "Het is veilig in de zin dat niemand het heeft meegenomen." Er wordt nu gekeken hoe men de hackers kan betalen of de gebruikte encryptie kraken.

Betalen
Hoewel het medisch centrum met een IT-bedrijf samenwerkt om een back-up te herstellen, stelt IT-expert Niger Phair dat de informatie mogelijk voorgoed verdwenen is. "Op dit moment is mogelijk de enige optie om te betalen." Hij erkent dat dit niet de beste optie is, omdat de aanvallers dan mogelijk om meer losgeld zullen vragen.

Het medisch centrum blijft ondanks de aanval operationeel, hoewel dit zonder de patiëntengegevens volgens Woord 'erg, erg, erg lastig' is. Wood adviseert andere bedrijven om hun IT-beveiliging te controleren en geen back-ups met de server verbonden te laten.

Reacties (16)
10-12-2012, 12:12 door Anoniem
"We beschikken over virusscanners en wat meer, er was ook geen teken van een virus. Ze hebben letterlijk de server gehackt en vervolgens hun encryptiesoftware gedraaid", zo laat hij weten. "Het gaat om mensen die weten hoe ze firewalls moeten omzeilen en wachtwoorden hacken om toegang tot een s ever te krijgen."

Welke viruscanners ?

Hoe vaak worden de virusscanner geupdate ?

Welke gebruikers hebben admin rechten op de server ?

Ik vermoed dat een administrator of gebruiker met admin rechten slachtoffer is geworden van een keylogger.
10-12-2012, 12:17 door Security Scene Team
Door Redactie:
Het medisch centrum blijft ondanks de aanval operationeel, hoewel dit zonder de patiëntengegevens volgens Woord 'erg, erg, erg lastig' is. Wood adviseert andere bedrijven om hun IT-beveiliging te controleren en geen back-ups met de server verbonden te laten.

Of gewoon geen EPD systeem.
als dit ons ook staat te wachten, zal de PVDA net als David Wood zeggen: "We beschikken over virusscanners en wat meer, er was ook geen teken van een virus" én dat het opheldering wil, omdat verzekerd is dat het veilig zou zijn.

ik zeg weg met dat hele EPD.
10-12-2012, 12:49 door Fabian76
Door Security Scene Team:
Of gewoon geen EPD systeem.
als dit ons ook staat te wachten, zal de PVDA net als David Wood zeggen: "We beschikken over virusscanners en wat meer, er was ook geen teken van een virus" én dat het opheldering wil, omdat verzekerd is dat het veilig zou zijn.

ik zeg weg met dat hele EPD.

Je weet duidelijk niet waar je het over hebt. In het EPD worden geen dossier opgeslagen!
Stel jouw huisarts gebruikt HIS pakket A. Dit werkt vaak al via een centraal systeem met een centrale database welke gewoon via Internet Explorer werkt (of een terminal sessie). Als "hackers" dan de servers kraken waar deze database gehost wordt, heb je precies hetzelfde als hierboven. Alle dossiers in Nederland zijn allang elektronisch. Steeds meer HIS leveranciers hebben niet meer een lokale database op de PC van de huisarts maar hebben dit al gecentraliseerd. Het enige wat het EPD toevoegt is een verwijs index zodat men in geval van nood weet waar een bepaald dossier op te halen is (als je over de nodige authenticatie en goedkeuring beschikt).

EPD staat voor Elektronisch Patienten Dossier maar die benaming klopt niet. Deze naam is gekozen omdat men dacht dat dit het voor de leek duidelijk zou maken maar zorgt in de praktijk alleen maar voor meer verwarring (zie ook jouw reactie). Een betere benaming zou CPI zijn (welke regionaal al jaren gebruikt wordt). CPI staat voor Centrale Patienten Index en heeft niets met dossier te maken.

Dossiers worden ook al jaren elektronisch uitgewisseld middels de OZIS standaard (zie http://www.ozis.nl/). Deze standaard is in 2002 opgericht en sindsdien worden dossier al elektronisch overgedragen!!

Het grote nadeel van de OZIS implementatie is dat er geen authenticatie is. In de OZIS standaard zijn hier geen regels voor opgezet want in 2002 vertrouwde men alle communicatie nog (heerlijk naïef).
Met het EPD (vreselijke naam) wil men allerlei regels introduceren om meer te kunnen garanderen dat de juiste personen iets opvragen. Dus je kan wel tegen het EPD zijn maar OZIS is er nu en dat is nog veel minder goed beveiligd. En dat minder goed geveiligde systeem wordt nu dus nog meer gebruikt omdat het EPD op een laag pitje gezet is.
Wat het merendeel ook niet weet is dat het EPD op 1-1-2013 gewoon weer operationeel is maar dan met een opt-in aanmelding.

Als jij dus ligt te creperen onder een auto en je wilt niet dat het ziekenhuis in de buurt de beschikking heeft over jouw actuele dossier, dan moet je dus aangeven bij je huisarts dat je NIET wilt deelnemen.
10-12-2012, 13:15 door Anoniem

Als jij dus ligt te creperen onder een auto en je wilt niet dat het ziekenhuis in de buurt de beschikking heeft over jouw actuele dossier, dan moet je dus aangeven bij je huisarts dat je NIET wilt deelnemen.
Het was toch zo dat bij de nieuwe EPD toestemming moet geven ?
Dus opt-in ipv opt-out,
10-12-2012, 13:17 door AdVratPatat
Het betreft hier weer een volgend slachtoffer van "ACCDFISA."
Deze infectie is genoemd naar de publieke voorlichter van de criminele organisatie achter deze gijzelnemingen.
Vooral begin dit jaar heb ik de ontwikkelingen gevolgd, het is uniek dat een malware-infectie met financiële motieven zo duidelijk en publiekelijk wordt opgeëist, puur terrorisme als je het mij vraagt.


In het kort:
Sinds begin dit jaar wordt Windows Server 2003 actief gehackt, data-bestanden met AES-256 omgezet, en via een .txt of .bmp als desktop-achtergrond een ransom-note achtergelaten.


Voor de geïnteresseerden:
De gijzelnemer staat bekend als de (banned) gebruiker 'accdfisa', die zelf komt uitleggen wat hij doet:
http://www.bleepingcomputer.com/forums/topic449398.html

Wat meer uitleg over de materie:
http://www.bleepingcomputer.com/forums/topic446111.html

EDIT: typo's
10-12-2012, 13:20 door Anoniem
"Het is veilig in de zin dat niemand het heeft meegenomen."

Ik ben benieuwd of hij dat ook kan aantonen. Hij kan tenslotte ook niet aantonen op welke wijze men is binnengekomen.
10-12-2012, 13:54 door schele
@AdVP, bedankt, nuttige lectuur.

@Fabian
Beetje hak op de tak uitleg, maar kortgezegd is je betoog volgens mij: EPD is een slechte naam want het is maar een index naar een dossier en niet het dossier zelf. Dat is allang gecentraliseerd.

Best mogelijk, maar dan verlegt dat het de bezwaren gewoon naar een hoger niveau: de centrale databank. Die kan en zal gehacked worden zoals hier ook maar weer bewezen is. Waarom moet dit gecentraliseerd opgeslagen worden waar ook nog eens iedere half zachte verzorger er straks toegang tot krijgt?

Het gaat om gegevens die nu net mij persoonlijk, mijn lichaam, betreffen. Waarom kunnen die dan niet gewoon op een beveiligde manier in de buurt van dat lichaam bewaard worden ipv op een centrale locatie? Niemand heeft ooit iets aan mijn EPD als ik er niet in de buurt ben. Iedereen is toch al verplicht om ID bij te hebben, breidt dat maar uit met een beveiligde opslag aan medische gegevens op de kaart, enkel uit te lezen door geautoriseerde readers en enkel als ik toestemming geef of wanneer levensbedreigend en bewusteloos binnen gebracht wordt. Lever je niks in aan risicos's omdat ze je medische conditie niet kennen maar wel eens stuk veiliger.
10-12-2012, 14:23 door Anoniem
Door Fabian76:
Door Security Scene Team:


Als jij dus ligt te creperen onder een auto en je wilt niet dat het ziekenhuis in de buurt de beschikking heeft over jouw actuele dossier, dan moet je dus aangeven bij je huisarts dat je NIET wilt deelnemen.

Ik blijf vertrouwen op het vakmanschap van het SEH personeel, niet op dossiers of indexregisters. dat kleine invoerfoutje van de assistente van mijn huisarts staat als waarheid in het dossier. invoerfouten zijn een van de meest voorkomende oorzaken van gegevenscorruptie, invoerfouten kunnen onopzettelijk maar zeker ook opzettelijk worden gemaakt. Toch vervelend als je ineens een heel andere bloedgroep hebt volgens je EPD.

Een EPD in welke vorm dan ook mag nooit voor waarheid worden aangenomen in urgente gevallen, een EPD is een prachtig instrument om de medische geschiedenis van een patient inzichtelijk te krijgen, ook buiten de vaste behandelaars. verder is alle informatie die in een EPD is opgenomen twijfelachtig.

Dus ja, inderdaad, als ik onder een auto lig te creperen dan wil ik graag behandeld worden door vakmensen, niet door EPD lezers die vervolgens op Wikipedia de bijpassende behandeling gaan opzoeken.
10-12-2012, 16:17 door Security Scene Team
Door Fabian76:
Door Security Scene Team:
Of gewoon geen EPD systeem.
als dit ons ook staat te wachten, zal de PVDA net als David Wood zeggen: "We beschikken over virusscanners en wat meer, er was ook geen teken van een virus" én dat het opheldering wil, omdat verzekerd is dat het veilig zou zijn.

ik zeg weg met dat hele EPD.

Je weet duidelijk niet waar je het over hebt. In het EPD worden geen dossier opgeslagen!
Stel jouw huisarts gebruikt HIS pakket A. Dit werkt vaak al via een centraal systeem met een centrale database welke gewoon via Internet Explorer werkt (of een terminal sessie). Als "hackers" dan de servers kraken waar deze database gehost wordt, heb je precies hetzelfde als hierboven. Alle dossiers in Nederland zijn allang elektronisch. Steeds meer HIS leveranciers hebben niet meer een lokale database op de PC van de huisarts maar hebben dit al gecentraliseerd. Het enige wat het EPD toevoegt is een verwijs index zodat men in geval van nood weet waar een bepaald dossier op te halen is (als je over de nodige authenticatie en goedkeuring beschikt).

EPD staat voor Elektronisch Patienten Dossier maar die benaming klopt niet. Deze naam is gekozen omdat men dacht dat dit het voor de leek duidelijk zou maken maar zorgt in de praktijk alleen maar voor meer verwarring (zie ook jouw reactie). Een betere benaming zou CPI zijn (welke regionaal al jaren gebruikt wordt). CPI staat voor Centrale Patienten Index en heeft niets met dossier te maken.

Dossiers worden ook al jaren elektronisch uitgewisseld middels de OZIS standaard (zie http://www.ozis.nl/). Deze standaard is in 2002 opgericht en sindsdien worden dossier al elektronisch overgedragen!!

Het grote nadeel van de OZIS implementatie is dat er geen authenticatie is. In de OZIS standaard zijn hier geen regels voor opgezet want in 2002 vertrouwde men alle communicatie nog (heerlijk naïef).
Met het EPD (vreselijke naam) wil men allerlei regels introduceren om meer te kunnen garanderen dat de juiste personen iets opvragen. Dus je kan wel tegen het EPD zijn maar OZIS is er nu en dat is nog veel minder goed beveiligd. En dat minder goed geveiligde systeem wordt nu dus nog meer gebruikt omdat het EPD op een laag pitje gezet is.
Wat het merendeel ook niet weet is dat het EPD op 1-1-2013 gewoon weer operationeel is maar dan met een opt-in aanmelding.

Als jij dus ligt te creperen onder een auto en je wilt niet dat het ziekenhuis in de buurt de beschikking heeft over jouw actuele dossier, dan moet je dus aangeven bij je huisarts dat je NIET wilt deelnemen.

niet wetend waar het overgaat? het is idd niet het zelfde, dat had ik ook allang door hoor.
waar het mij omgaat is de hack zelf, die gericht is op patiënten dossiers.
dit soort aanvallen zullen we ook gaan zien met het EPD zoals we het in nederland kennen.

je bent wel erg snel met je reactie zo te zien, want ik zat niet te wachten op een uitleg over het EPD.
die wijsneuzen zooi houd je dus maar voor je zelf. volgende keer even een 2e keer na denken voor je over het hoofd ziet waar ik nou eigenlijk op doelde.

succes.
10-12-2012, 16:21 door Security Scene Team
Door AdVratPatat: puur terrorisme als je het mij vraagt.

dit soort geintjes is inderdaad pure terrorisme. hoewel de hack me intrigeert, ben ik het met je eens dat dit een terroristische actie is.

maar goed dit zal wel een voorbode zijn voor wat ons in de toekomst staat te wachten helaas.

+1
10-12-2012, 16:24 door Security Scene Team
Door schele: @AdVP, bedankt, nuttige lectuur.

@Fabian
Beetje hak op de tak uitleg, maar kortgezegd is je betoog volgens mij: EPD is een slechte naam want het is maar een index naar een dossier en niet het dossier zelf. Dat is allang gecentraliseerd.

Best mogelijk, maar dan verlegt dat het de bezwaren gewoon naar een hoger niveau: de centrale databank. Die kan en zal gehacked worden zoals hier ook maar weer bewezen is. Waarom moet dit gecentraliseerd opgeslagen worden waar ook nog eens iedere half zachte verzorger er straks toegang tot krijgt?

Het gaat om gegevens die nu net mij persoonlijk, mijn lichaam, betreffen. Waarom kunnen die dan niet gewoon op een beveiligde manier in de buurt van dat lichaam bewaard worden ipv op een centrale locatie? Niemand heeft ooit iets aan mijn EPD als ik er niet in de buurt ben. Iedereen is toch al verplicht om ID bij te hebben, breidt dat maar uit met een beveiligde opslag aan medische gegevens op de kaart, enkel uit te lezen door geautoriseerde readers en enkel als ik toestemming geef of wanneer levensbedreigend en bewusteloos binnen gebracht wordt. Lever je niks in aan risicos's omdat ze je medische conditie niet kennen maar wel eens stuk veiliger.

Eens, maar die speciale readers ervoor, zou geen oplossing zijn. aangezien sommige hackers goed zijn in het spelen met hardware is er zomaar een oplossing voor ze, schat ik zo in.
10-12-2012, 16:51 door Anoniem
zou met een persoonlijk offline pasje niet hebben kunnen gebeuren.
10-12-2012, 17:22 door prikpost
Had je daar niet extern opgeslagen backups van de systemen en data voor?
10-12-2012, 23:09 door AdVratPatat
Door prikpost: Had je daar niet extern opgeslagen backups van de systemen en data voor?
Wij gelukkig wel, enkel de mensen die dat niet hebben halen het nieuws natuurlijk :p
Als de boel was afgebrand was het resultaat hetzelfde geweest.


Door Security Scene Team: hoewel de hack me intrigeert
Telnet? Brakke on-gepatchte WS2003? Metasploit? Vervolgens een gebatchte WinRAR erover, klaar. Technische hoogstandjes zijn het niet bepaald, wel zeer effectief... De inzet en vooral het resultaat ervan is inderdaad 'vernieuwend' (al is het idee duidelijk gestolen van Reveton), leuk dat we het een keer eens zijn :p Overigens heeft betalen in enkele gevallen wel degelijk nut gehad, de data is wel degelijk weer te ontsleutelen, maar dat is voor het slachtoffer inmiddels al wel bekend gok ik. In verband met 'al die NAS-jes van TV' ook zoiets waar ik aan moest denken, 2TB capaciteit per stuk ;]


Door Anoniem:
"Het is veilig in de zin dat niemand het heeft meegenomen."

Ik ben benieuwd of hij dat ook kan aantonen. Hij kan tenslotte ook niet aantonen op welke wijze men is binnengekomen.
Op basis van redelijk vermoeden wel, zie de links in mijn 1e reactie.
Bewijsmateriaal aanleveren is natuurlijk onmogelijk, zijn systeem is volledig gecompromitteerd (geweest), nog naast het feit dat het een eindgebruiker is die een poging heeft gedaan een zakelijk / medisch systeempje op te zetten.
Code ID-10-T...
10-12-2012, 23:50 door AdVratPatat
dubbel post :[
11-12-2012, 10:27 door Anoniem
Een virusscanner helpt helemaal niet tegen een gerichte aanval. Iedereen die denkt dat dat wel helpt heeft het echt niet begrepen. Patches helpen iets meer, maar ook daar ben je niet alleen mee klaar. De verdediging moet in lagen zitten, en dan nog moet je anticiperen op doorbraak. De beveiliging kan nog zo goed zijn, als mensen ermee werken gaat het een keer mis.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.