Ziekenhuissysteem Philips gebruikte hardcoded encryptiesleutel
Een systeem van Philips dat in ziekenhuizen wordt gebruikt voor het monitoren van MRI-systemen was door negen verschillende beveiligingslekken kwetsbaar voor aanvallen, waaronder het gebruik van een hardcoded encryptiesleutel en het onversleuteld versturen van gevoelige en beveiligingskritieke data.
Het gaat om de Philips e-Alert, een systeem dat wordt gebruikt voor het monitoren van MRI-systemen op zaken als luchtvochtigheid, temperatuur, gekoelde watervoorziening en heliumniveau. Ook biedt e-Alert remote monitoring via internet of telefoon. Via de negen kwetsbaarheden in het product had een aanvaller de e-Alert kunnen laten crashen, willekeurige code kunnen uitvoeren en inloggegevens, contactgegevens en geauthenticeerde sessie van gebruikers kunnen stelen.
Verder bleek het systeem een hardcoded cryptografische sleutel te gebruiken voor het versleutelen van interne data. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden werd dit beveiligingslek met een 9,8 beoordeeld. Vier van de kwetsbaarheden, waaronder de hardcoded cryptografische sleutel, zijn via een beveiligingsupdate verholpen. Voor de resterende vijf beveiligingslekken verschijnt eind 2018 een update. Een deel van de kwetsbaarheden is alleen uit te buiten wanneer een aanvaller op hetzelfde subnet als de e-Alert zit. Misbruik van de beveiligingslekken vereist volgens het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid weinig kennis bij een aanvaller.
Of het nu nuttig is, of niet.
Waarom moet het hele interne netwerk van een ziekenhuis direct kunnen communiceren met internet?
Waarom moet iedere PC in een ziekenhuis verbonden (kunnen) worden met het internet?
Zomaar mijn gedachten......
Als een medisch systeem weigert (even wat mis met encryptie sleutels vernieuwen), en de patiënt overlijdt, dan kun je in zo een medisch kastje misschien even de backup terugzetten. Maar bij de patiënt niet! En je kan als ziekenhuis denk ik ook moeilijk de familie zeggen dat opa is heengegaan in het belang van zijn privacy....????
Machines met desktop computers als embedded controllers, het blijft moeilijk.
Waarom moet iedere PC in een ziekenhuis verbonden (kunnen) worden met het internet?
Zomaar mijn gedachten......
Als iemand zoiets verzint dat het kan, dan is het de technicus. Ale iemand verzint dat het wel makkelijk direct op internet is dan is het een beslisser/manager. Remote monitoring ofwel outsourcing dan wel thuiswerken is een directe besparing op arbeidsuren/personeel de indirecte kosten van toegenomen risico komen negens in de boekhouding voor.
Op zich niets nieuws, de calling home optie zag ik al begin jaren 80. Een telefoonlijn met modem weliswaar maar dat werkte wel op die manier van externe monitoring door de leverancier.
Nergens staat dat rechtsstreek op de MRI apparatuur ingegrepen wordt. Er staat dat met vele sensors het functioneren van de apparatuur bijgehouden wordt. Vergelijkbaar met doorgave van de bandenspanning zonder invloed op de auto.
Echt niet... Met een code review door peers met hetzelfde kennisniveau vang je alleen de fouten af die je op dat specifieke kennisniveau maakt. Zeker nuttig maar tegelijkertijd beperkt.
De monitoring voor de kwaliteit mag je prima losgekoppeld neerzetten met minder cybersecurity eisen. Zoiets als een brandalarm die voordat het gevaarlijk kan worden waarschuwt.
He tis niet handige de boel te integreren zoals minitix op de intel-processoren voor de monitoring.
Of het kan worden aangevallen dus het moet aangevallen worden.
Zelfs als er totaal geen belang bij is dan moet het gesloopt worden en moet de partij die het gemaakt of gekocht heeft
gedwongen worden tot extra moeite en kosten.
Het "touwtje uit de deur" kan niet meer, er moet een driedubbel slot op.
Ik vint het een walgelijke mentaliteit.
Of het kan worden aangevallen dus het moet aangevallen worden.
Zelfs als er totaal geen belang bij is dan moet het gesloopt worden en moet de partij die het gemaakt of gekocht heeft
gedwongen worden tot extra moeite en kosten.
Het "touwtje uit de deur" kan niet meer, er moet een driedubbel slot op.
Ik vint het een walgelijke mentaliteit.
Er wordt niets kapotgemaakt. Er wordt alleen ingegrepen omdat er potentieel risico's onstaan als iemand het op z'n heupen zou krijgen. Als bij een auto blijkt dat de wielen niet goed vastgedraaid zijn, dan komt er ook een recall om dat alsnog te doen.
De "ik weet het niet" nog veel vaker, vooral als het encryptie betreft. Weinig mensen kunnen goede encryptie inbouwen die bestand is tegen alle bekende aanvallen. Je hebt heel veel kennis nodig van encryptie, de aanvallen, je moet bij blijven met de nieuwste ontwikkelingen, noem maar op. 99 van de 100 programmeurs kunnen dat niet en zien een hoop dingen over het hoofd. Het is een specialisme dat weinigen beheersen.
gedwongen worden tot extra moeite en kosten.
Het "touwtje uit de deur" kan niet meer, er moet een driedubbel slot op.
Ik vint het een walgelijke mentaliteit.
Het touwtje uit de deur was mogelijk omdat je iedereen in het dorp kende, en diegene die er misbruik van maakte meteen de paria van het dorp was.
Je zit met Internet nu eenmaal met een "deur" die vanaf de hele wereld getest kan worden, met volstrekte anonimiteit voor diegenen die het proberen. Dus moet je je beschermen alsof iedereen aan het touwtje kan trekken...
Er wordt niets kapotgemaakt. Er wordt alleen ingegrepen omdat er potentieel risico's onstaan als iemand het op z'n heupen zou krijgen. Als bij een auto blijkt dat de wielen niet goed vastgedraaid zijn, dan komt er ook een recall om dat alsnog te doen.
Er komt geen recall als er weer eens iemand na een race- of branie actie zijn auto tegen een lantarenpaal of tegenligger
heeft opgevouwen.
Dus niet bij alle potentiele risico's wordt er wat gedaan. Er zijn ook gevallen waarbij met de risico-veroorzakende
personen aanpakt.
In dit geval moeten de mensen die altijd maar bezig zijn met slopen en beschadigen worden aangepakt.
(samen met degenen die steeds maar vertellen dat dit mogelijk is. in een huis inbreken is ook mogelijk maar toch
worden niet alle huizen omgebouwd tot bunkers)
heeft opgevouwen.[...]
Wat is je point?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.