DerbyCon 2015: Milhares de dispositivos m√©dicos on-line vulner√°veis ‚Äč‚Äča ataques

DerbyCon 2015: Conectar equipamentos médicos à Internet pode ter parecido uma ideia muito inteligente há alguns anos atrás.

Mas você mudará de idéia quando assistir à apresentação de Scott Erven e Mark Collao da recente conferência DerbyCon 2015 sobre segurança.

Dispositivos médicos DerbyCon

Segundo os dois pesquisadores de seguran√ßa, mais de 68.000 sistemas m√©dicos est√£o dispon√≠veis online, com pelo menos 12.000 deles pertencendo a uma √ļnica organiza√ß√£o de sa√ļde.

O que √© ainda mais preocupante √© que a maioria desses dispositivos se conecta √† Internet atrav√©s de computadores executando vers√Ķes muito antigas do Windows, como XP e 98, j√° que n√£o se sabe que eles foram atualizados e, portanto, t√™m muitas vulnerabilidades.

Todos esses dispositivos s√£o facilmente detect√°veis ‚Äč‚Äčpelo Shodan, um mecanismo de pesquisa que pode detectar dispositivos conectados on-line, e tamb√©m √© f√°cil invadi-los atrav√©s de ataques de for√ßa bruta e usando logins codificados.

Durante a pesquisa, os dois especialistas se viram diante de equipamentos de anestesia, dispositivos de cardiologia, sistemas de medicina nuclear, sistemas de inje√ß√£o, marcapassos, scanners de resson√Ęncia magn√©tica, al√©m de arquivar imagens e ferramentas de comunica√ß√£o, tudo com consultas simples em Shodan.

Utilizando suas descobertas iniciais, os dois especialistas em segurança criaram honeypots (iscas de hackers), em servidores especiais que pareciam dispositivos médicos externos, com vulnerabilidades e dados médicos falsos, mas também com poderosas credenciais de login.

Examinando as grava√ß√Ķes coletadas por esses honeypots, os pesquisadores descobriram que os invasores conseguiram passar a autentica√ß√£o SSH mais de 55.000 vezes, deixando para tr√°s 299 malwares.

Tamb√©m houve 24 casos em que os invasores exploraram com √™xito a vulnerabilidade MS08-067 XP, a mesma usada nas infec√ß√Ķes por worm Conficker.

Os pesquisadores dizem que na maioria das vezes os invasores não sabiam exatamente o que estavam fazendo e estavam satisfeitos simplesmente deixando para trás uma máquina infectada, como um pedaço de sua botnet.

Se o hacker percebesse o que estava √† sua frente, ele poderia facilmente obter informa√ß√Ķes sobre a sa√ļde dos pacientes atrav√©s desses dispositivos e at√© us√°-los para espalhar um malware mais perigoso dentro da infraestrutura de informa√ß√Ķes do hospital. o que os ajudaria a realizar ataques ainda mais devastadores.

Veja a apresentação de Scott Erven e Mark Collao no DerbyCon 2015, abaixo: