image

WannaCry-ransomware infecteert medische apparatuur

vrijdag 19 mei 2017, 12:49 door Redactie, 35 reacties

De WannaCry-ransomware heeft niet alleen servers geïnfecteerd, ook medische apparatuur is door de ransomware getroffen. Dat blijkt uit een foto die zakenblad Fortune in handen kreeg. Het gaat om een Bayer Medrad-apparaat in een Amerikaans ziekenhuis waarop de WannaCry-melding te zien is.

Het gaat om apparatuur die wordt gebruikt bij het ondersteunen van MRI-scans. Een woordvoerder van Bayer bevestigde dat het twee meldingen van klanten in de Verenigde Staten had ontvangen die door de ransomware waren getroffen, maar wilde niet zeggen om welke organisaties of producten het ging. De problemen op beide plekken zouden binnen 24 uur zijn hersteld. De fabrikant laat verder weten dat het binnenkort een Microsoft-update voor de Windowsgebaseerde apparaten die het aanbiedt zal uitrollen.

In een beveiligingsbulletin (pdf) waarschuwt Siemens Healthineers dat sommige klanten met de impact van WannaCry te maken kunnen krijgen. Verschillende producten van het bedrijf zouden met de kwetsbaarheid te maken hebben die WannaCry aanvalt om zich te verspreiden. Misbruik van het beveiligingslek is afhankelijk van de configuratie en omgeving van elk product, zo laat de waarschuwing verder weten.

Ook andere fabrikanten van medische apparatuur, waaronder BD, Philips, Smiths Medical, Medtronic en Johnson & Johnson, waarschuwen klanten en geven waar van toepassing overzichten van apparaten die Windows draaien en over een netwerkaansluiting beschikken.

Image

Reacties (35)
19-05-2017, 12:56 door Ron625
Waarom is dat op het openbare internet aangesloten en niet via een beveiligde, encrypte, VPN verbinding?
19-05-2017, 13:04 door Anoniem
Door Ron625: Waarom is dat op het openbare internet aangesloten en niet via een beveiligde, encrypte, VPN verbinding?

Verspreidde dat WannaCry zich niet via SMB v1?
Zoja, dan heeft een VPN of een encrypte verbinding niet zo veel zin; je zit dan gewoon op een netwerk.
19-05-2017, 13:04 door Anoniem
Door Ron625: Waarom is dat op het openbare internet aangesloten en niet via een beveiligde, encrypte, VPN verbinding?
WannaCry is een worm. Aanval komt vanuit het eigen windows netwerk.
19-05-2017, 13:22 door Anoniem
Door Ron625: Waarom is dat op het openbare internet aangesloten en niet via een beveiligde, encrypte, VPN verbinding?

Waar lees je dat deze apparaten aan het publieke internet hangen?
19-05-2017, 13:32 door Anoniem
Door Anoniem:
Door Ron625: Waarom is dat op het openbare internet aangesloten en niet via een beveiligde, encrypte, VPN verbinding?
WannaCry is een worm. Aanval komt vanuit het eigen windows netwerk.
Dat is één van de manieren.
Of: besmette e-mail, besmette USB-stick, direct aan internet hangen met poort 445 open.
Kortom: via alle gebruikelijke kanalen kan ook het wannacry virus in eerste instantie binnenkomen.
19-05-2017, 13:41 door Anoniem
1 geinfecteerde doos binnen je eigen netwerk en die worm gaat binnen je eigen netwerken zijn gang.
Hij hoeft dus helemaal geen connectie met de buitenwereld te hebben.
19-05-2017, 13:50 door Anoniem
Door Ron625: Waarom is dat op het openbare internet aangesloten en niet via een beveiligde, encrypte, VPN verbinding?

Waarom denk je dat de infectie vanaf het openbare internet gekomen is ?
19-05-2017, 15:20 door Anoniem
@Ron625 dat vraag ik mij ook zo lang af, ik zie geen duidelijke redenen waarom een ziekenhuis (op mail na) aan het internet hou horen te hangen. Dat zou gescheiden moeten zijn, ik heb in Bronovo ziekenhuis ooit mee gemaakt dat de ene verpleegster tegen de andere zei moet je komen kijken naar dit filmpje dat ik net via facebook kreeg........ dat is vragen om ellende.

Bovendien niet nader genoemd NL beveiligings bedrijf dat al vaker diverse Nederlandse ziekenhuizen gepentest en rapporten gegeven, die vervolgens in de lade verdwenen en bij een re test twee jaar later nog steeds dezelfde problemen had omdat er niks met het advies gedaan werd omdat het te duur zou zijn en te veel tijd zou kosten. Niet gek dat we dan dit soort berichten krijgen.
19-05-2017, 15:47 door Ron625 - Bijgewerkt: 19-05-2017, 15:47
Een medisch apparaat heeft geen email, dat is simpel.
Wanneer de besmetting niet via een USB stick is gekomen, dan is er toch echt een fout gemaakt.
Een VPN verbinding kan ook op poort 445, die waarschijnlijk niet open hoeft te staan en al helemaal niet op een openbaar internet.
Er moet een verbinding met openbaar internet mogelijk zijn geweest, misschien via een aantal clients en/of servers, maar het blijft een verbinding met openbaar internet.
Dit was dus niet 100% afgeschermd, dus ......... eigenschuld, dikke bult
19-05-2017, 17:10 door Anoniem
Door Ron625: Een medisch apparaat heeft geen email, dat is simpel.
Wanneer de besmetting niet via een USB stick is gekomen, dan is er toch echt een fout gemaakt.
Een VPN verbinding kan ook op poort 445, die waarschijnlijk niet open hoeft te staan en al helemaal niet op een openbaar internet.
Er moet een verbinding met openbaar internet mogelijk zijn geweest, misschien via een aantal clients en/of servers, maar het blijft een verbinding met openbaar internet.
Dit was dus niet 100% afgeschermd, dus ......... eigenschuld, dikke bult
Dus als je fiets, auto of kruiwagen gestolen is, eigen schuld dikke bult. Ingebroken in je huis, juwelen, geld en laptop gestolen, eigen schuld dikke bult!
19-05-2017, 17:16 door Anoniem
Door Ron625: Een medisch apparaat heeft geen email, dat is simpel.
Wanneer de besmetting niet via een USB stick is gekomen, dan is er toch echt een fout gemaakt.
Een VPN verbinding kan ook op poort 445, die waarschijnlijk niet open hoeft te staan en al helemaal niet op een openbaar internet.
Er moet een verbinding met openbaar internet mogelijk zijn geweest, misschien via een aantal clients en/of servers, maar het blijft een verbinding met openbaar internet.
Dit was dus niet 100% afgeschermd, dus ......... eigenschuld, dikke bult

Je snapt het overduidelijk niet en wij zijn kennelijk niet bij machte om het je uit te leggen.
Gooi maar een kwartje in duckduckgo of zo.
19-05-2017, 17:38 door Anoniem
Door Ron625: Een medisch apparaat heeft geen email, dat is simpel.
Wanneer de besmetting niet via een USB stick is gekomen, dan is er toch echt een fout gemaakt.
Een VPN verbinding kan ook op poort 445, die waarschijnlijk niet open hoeft te staan en al helemaal niet op een openbaar internet.
Er moet een verbinding met openbaar internet mogelijk zijn geweest, misschien via een aantal clients en/of servers, maar het blijft een verbinding met openbaar internet.
Dit was dus niet 100% afgeschermd, dus ......... eigenschuld, dikke bult
Medische apparaten hebben verblinding met intern netwerk en geen internet routering. Dikke kans dat het door een geïnfecteerde windows werkplek is besmet.
19-05-2017, 17:55 door [Account Verwijderd]
[Verwijderd]
19-05-2017, 18:58 door karma4
Door Clarence322:
Door Ron625: Een medisch apparaat heeft geen email, dat is simpel.
Wanneer de besmetting niet via een USB stick is gekomen, dan is er toch echt een fout gemaakt. ...

Conclusie: de high-risc computers zelf hangen niet aan internet. De PC van de secretaresse alleen als maildoorlaatklep (mogelijk via proxy). Toch besmetting!
Meedenken met Ron kan verhelderend zijn. Het echte vakgebied van electonicus kan veel verklaren. Indien je geen scheidingen filters en spaningsrichting bescherming gebruikt heb je snel dropjes soldeer (zeg maar datalek). Getraind in het vakgebied leer je hoe dat te voorkomen en de invloeden van buiten in een operationele omgeving (ruis enp) zo veel mogelijk uit te sluiten. Het is verbazend wat elektronische apparatuur tegenwoordig overleefd.
Verplaats dat naar de ict en informatie wereld.

Data diodes uh ja waarom zou je.
Filters op weglaten persoonskenmerken bij big data modellen hè wat jammer nou mag dat niet met die leuke resultaten.
Scheiding van functies ofwel isolatie van informatiegevens bij herleidbaarheid controleerbaar heide, dat is toch wel erg moeilijk en duur.

Het zijn de zaken waar ict en code kloppen mis gaat. Je denkt er echt niet aan dat soort geklungel met een andere achtergrond.
19-05-2017, 19:27 door [Account Verwijderd] - Bijgewerkt: 19-05-2017, 19:28
[Verwijderd]
19-05-2017, 19:44 door karma4
Door Clarence322: Ik had wel een idee als galvanische scheiding in gedachten maar niet iedere niet-techneut begrijpt dat, Karma. Net zoals toepassing van een EMI-filter dus vandaar dat ik het op deze Jip en Janneke manier probeerde. ...
Helemaal met je eens Clarence322. Je had trouwens de beste en een nette post om mee verder te gaan. Die voorgaande twee poogden niet eens om iets te doorgronden. Nu weet ik best veel van ron625. Na een recent misverstand rond VHF weet ik dat hij een echt electronicus is. Op dat gebied is hij denk ik wel beter dan ik.
19-05-2017, 21:47 door Anoniem
Door Ron625: Een medisch apparaat heeft geen email, dat is simpel.
Wanneer de besmetting niet via een USB stick is gekomen, dan is er toch echt een fout gemaakt.
Een VPN verbinding kan ook op poort 445, die waarschijnlijk niet open hoeft te staan en al helemaal niet op een openbaar internet.
Er moet een verbinding met openbaar internet mogelijk zijn geweest, misschien via een aantal clients en/of servers, maar het blijft een verbinding met openbaar internet.
Dit was dus niet 100% afgeschermd, dus ......... eigenschuld, dikke bult

een niet afgeschermd VLAN .. ja, dat is iemand zijn eigen schuld. Maar allemaal wat minder boter op je hoofd ... en kijk eens naar je eigen organisatie ALS je al in een security hoedanigheid in een dergelijke organisatie werkt.

a) Vector of Compromise kan zoals eerder aangegeven een email, usb, wardriving of zelfs gewoon een besmet iFrame zijn en hoeft absoluut niet aan het internet te hangen
b) zelfs al hangt het aan het internet (Xerox printertje iemand??) dan kan het zomaar zijn dat de genoemd poorten getunneled worden door de firewall 'gewoon omdat de fabrikant niets anders heeft'
c) er zijn weinig of geen scanners die wannacryptor eruit halen.

Kortweg; ja.. medische apparatuur zou niet in hetzelfde VLAN mogen zitten als kantoor LAN. Maar ga nou niet gooien met VPN, encryptie en meer van dat soort mode woorden als je geen idee hebt waar je het over hebt.

Eminus
19-05-2017, 23:18 door Anoniem
Laatst heeft een klant van me (ziekenhuis) een microscoop aangeschaft... waarde 1.2 miljoen euro.
Draait... ja hoor.. op Windows XP...

Als je dat soort dingen accepteert, dan vraag je erom...
Het zijn gewoon kinderen die met vingers in het stopcontact in het hoogspanningsgedeelte spelen van een kerncentrale...
Als ze echt willen blijven spelen geef ik ze de breinaalden desnoods wel.

Het jammere is dat de top 25% van alle bobo's (top ziekenhuizen, top gemeenten, top politie, top provincies, burgemeesters, gewoon allemaal in het old-boys krentenbrood netwerk zitten...
Het enige wanneer die stoppen met debiel zijn is wanneer stikken in hun cubaanse sigaar terwijl ze hoofd oncoloog zijn ofzo.
20-05-2017, 08:01 door [Account Verwijderd] - Bijgewerkt: 20-05-2017, 08:30
[Verwijderd]
20-05-2017, 08:49 door karma4 - Bijgewerkt: 20-05-2017, 08:50
Door Kaba:ROFL! Wat een open deur! Alleen had je "op dat gebied" moeten weglaten. En voor ron625 kan je zo ongeveer iedereen op dit forum invullen :-)
Nope schoenmaker blijf bij je leest. Je hebt een lockin met je Linux verslaving. Ik heb geheel andere achtergronden en ervaringen dan de meeste hier. Elk mens is uniek heeft zijn eigen kennis ervaringen en weetjes. Als je dat beseft kun je van elkaar zien te leren dan wel accepteren dat ze er anders over denken. Dan hoef je het nog niet eens met elkaar te zijn.

Het meest vervelende zijn die mensen die anderen persé van hun eigen gelijk moeten zien te overtuigen in het goedschiks of kwaadschiks gedoe als een soort dictator. Snap je je dat ik jou in die categorie zet?
20-05-2017, 09:34 door Ron625
Door karma4:
Door Kaba:ROFL! Wat een open deur! Alleen had je "op dat gebied" moeten weglaten. En voor ron625 kan je zo ongeveer iedereen op dit forum invullen :-)
Nope schoenmaker blijf bij je leest. Je hebt een lockin met je Linux verslaving. Ik heb geheel andere achtergronden en ervaringen dan de meeste hier. Elk mens is uniek heeft zijn eigen kennis ervaringen en weetjes.
Daarom vind ik de vergelijking met mij en iedereen op dit forum wel erg kort door de bocht en mogelijk een belediging.
Even een korte omschrijving mij:
42 jaar in de elektronica gewerkt, waarvan ruim 35 jaar in draadloze telecommunicatie.
Sinds 1971 bezig met ICT (heette toen anders) m.n. de technische kant hier van.
In 1992 CP/M 2.2 volledig herschreven voor de Z80 en daar gelijk ook een paar uitbreidingen op gemaakt.
Op dit moment ben ik:
OpenStandaard evangelist,
OpenSource promotor,
OpenData liefhebber,
actief in de lokale politiek.

Kan het nu weer terug naar het onderwerp?
20-05-2017, 12:00 door KennyAshes
Door Anoniem:
Door Ron625: Een medisch apparaat heeft geen email, dat is simpel.
Wanneer de besmetting niet via een USB stick is gekomen, dan is er toch echt een fout gemaakt.
Een VPN verbinding kan ook op poort 445, die waarschijnlijk niet open hoeft te staan en al helemaal niet op een openbaar internet.
Er moet een verbinding met openbaar internet mogelijk zijn geweest, misschien via een aantal clients en/of servers, maar het blijft een verbinding met openbaar internet.
Dit was dus niet 100% afgeschermd, dus ......... eigenschuld, dikke bult

een niet afgeschermd VLAN .. ja, dat is iemand zijn eigen schuld. Maar allemaal wat minder boter op je hoofd ... en kijk eens naar je eigen organisatie ALS je al in een security hoedanigheid in een dergelijke organisatie werkt.

a) Vector of Compromise kan zoals eerder aangegeven een email, usb, wardriving of zelfs gewoon een besmet iFrame zijn en hoeft absoluut niet aan het internet te hangen
b) zelfs al hangt het aan het internet (Xerox printertje iemand??) dan kan het zomaar zijn dat de genoemd poorten getunneled worden door de firewall 'gewoon omdat de fabrikant niets anders heeft'
c) er zijn weinig of geen scanners die wannacryptor eruit halen.

Kortweg; ja.. medische apparatuur zou niet in hetzelfde VLAN mogen zitten als kantoor LAN. Maar ga nou niet gooien met VPN, encryptie en meer van dat soort mode woorden als je geen idee hebt waar je het over hebt.

Eminus

Zit ook niet in dezelfde VLAN.
Maar vb. medische foto's moeten opgeslaan worden op een locatie die ook bereikbaar is via vb. een werkstation van een dokter ofzo. (laten we even in het midden hoe ze dat doen want de discussie gaat niet over hoe voorkomen maar over hoe dit kon gebeuren).
Als zo een werkstation geïnfecteerd geraakt is en dan een fileserver die in 2 VLAN's zit besmet heb je het spek aan je broek want al die medische apparatuur op die andere VLAN is net afgeschermd en het wannacrytooltje kan geen connectie maken naar de vereiste website en dus zal alles geëncrypt worden.
In mijn ogen is dat net het gevaarlijke, dat vb. productiemachines die normaal geen target zijn nu wel ineens een target zijn.
20-05-2017, 13:04 door [Account Verwijderd]
[Verwijderd]
20-05-2017, 15:37 door Ron625
Door KennyAshes: Als zo een werkstation geïnfecteerd geraakt is en dan een fileserver die in 2 VLAN's zit besmet heb je het spek aan je broek want al die medische apparatuur op die andere VLAN is net afgeschermd en het wannacrytooltje kan geen connectie maken naar de vereiste website en dus zal alles geëncrypt worden.
Dat is duidelijk, bedankt.
21-05-2017, 00:07 door [Account Verwijderd]
[Verwijderd]
21-05-2017, 08:31 door karma4
Door 4amrak:
karma je bent een charlatan en als je tegengas krijgt, dan wimpel je iedereen weg als een linux fanaat en gedraag je je als een kleuter. dat doe je niet alleen op dit forum, dat doe je ook bijv op webwereld.nl op echte inhoudelijke response krijgen we nooit een begrijpbare of leesbare reactie van je.
Kijk ik geef tegengas kom met inhoudelijke zaken met links en referenties. Vervolgens wordt je (ik dus) voor van alles uitgemaakt. Dat de inhoud je niet bevalt is duidelijk maar het wegzetten op een manier wat jij nu doet is gewoon fout.

Voor de achtergrond is het voldoende dat ik me begeef in de werelden tussen infra big-data en het gebruik van ICT rond structurering van processen. Daar heb ik inmiddels tientallen jaren mee te maken. Grootste issues zijn security en de data governance omdat het niet in de wereld van OS mensen en niet in de wereld van klassieke code kloppers past.
21-05-2017, 08:41 door karma4
Door Ron625: ....
Kan het nu weer terug naar het onderwerp?
Graag ik vraag me af hoe een goede scheiding van datastromen er uit zou moeten zien.
Die koppeling moet in de Applicatie-laag of vlak daaronder (7) van het OSI model zitten en kan niet op netwerk nivo (3) van routers. Hierboven zag ik een paar keer langs komen waarom het op nivo-3 niet lukt.

Je zou aan een NAS kunnen denken, maar die gebruiker nu net vaak het SMB protocol al hoewel het met een ander OS niet om dezelfde kwetsbaarheid hoeft te gaan.

Ik stel me voor dat verschillende machines / OS / protocollen in een scheiding de beste garantie biedt. Wat te denken van een aparte machine met aparte netwerkkaarten en een eigen OS die met MFT (Managed File Transfer) alleen gecontroleerde bestanden op bepaalde tijdstippen overhaalt. Het gaat op clearance lijken. Apart in alles dus relatief duur in beheer en onderhoud.
21-05-2017, 09:30 door [Account Verwijderd] - Bijgewerkt: 21-05-2017, 09:42
[Verwijderd]
22-05-2017, 10:51 door [Account Verwijderd] - Bijgewerkt: 22-05-2017, 10:55
[Verwijderd]
22-05-2017, 15:31 door Ron625
Door Kaba: Nogal lomp en kort door de bocht ja.
Duidelijk, no hard feelings :-)
22-05-2017, 17:43 door Anoniem
Door Anoniem: Laatst heeft een klant van me (ziekenhuis) een microscoop aangeschaft... waarde 1.2 miljoen euro.
Draait... ja hoor.. op Windows XP...

Dit verhaal is zo herkenbaar. En dit is de ECHTE oorzaak van het probleem: naar een IT-er wordt gewoonweg niet geluisterd. Ziekenhuizen, pharmaceutische bedrijven, schaffen allemaal nieuwe apparatuur aan die miljoenen kost zodat de dokters/onderzoekers de laatste nieuwe snufjes hebben en dat is gerechtvaardigd, maar dan komt er een IT-er langs en die zegt: "jamaar, dat spul draait nog XP. Dat mag niet. Dat hangen we niet op ons netwerk, want niet compliant met security standard X of Y van ditzelfde bedrijf."

Twee keer raden wie het pleit gaat winnen, maar als hun spullen dan gehacked worden is het de schuld van IT, jaja..
En de fabrikanten, die zitten op hun lui gat, want hun scanner is toch verkocht geweest. Waarom zouden die moeite steken in het updaten naar W7, W10, etc....
22-05-2017, 19:21 door [Account Verwijderd]
[Verwijderd]
22-05-2017, 21:16 door karma4 - Bijgewerkt: 22-05-2017, 21:20
Door 4amrak: ik ben al 20j een actief publicerende wetenschapper (PhD) met een vaste aantelling aan een nederlandse uni in een harde beta hoek die heel veel met IT in aanraking komt en daarom ook redelijk (senior) (commercieel) gecertificeerd ben. denk in de richting van o.a. CERN / NIKHEF / (Surf)SARA en Grids enzv.
Hardcore opleiding +30 jaar terug (zeg maar bachelor) in de IT gerold waar mijn klantjes van de Uni afkomen. Wat er aan Uni doorrolt naar hardcore IT (OS) level is gewoonlijk nogal problematisch. Zo te zien richt je je op de certificaatjes en je status en minder op de echte inhoud.
Gewend aan het werken in grote omgevingen met alle daarbij horende gevoelige data, Grids ... no problem het is meer een probleem als je afwijkend technisch gedrag tegenkomt. Het uittesten van timingissues in basissoftware is iets wat slecht begrepen wordt. Je noemt een hele trits WO instellingen maar heb je er zelf ooit met dat soort zaken te maken gehad?
Het uitzoeken en napluizen van zoiets is namelijk behoorlijk tijdrovend, dan kom je niet zo maar aan publiceren toe.

En nog eentje, heb je je ooit verdiept in data governance met allerlei security richtlijnen en hoe dat grondig verziekt kan worden binnen organisaties? Je zou er eens een onderzoek naar moeten kunnen doen. Dat lukt natuurlijk niet want die openheid wordt je niet geboden. Ik heb vermoedelijk meer meegemaakt dan je je kan voorstellen.
22-05-2017, 21:32 door [Account Verwijderd] - Bijgewerkt: 22-05-2017, 21:38
[Verwijderd]
22-05-2017, 21:32 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.