lunes, 21 de marzo de 2016

Riesgos de Seguridad en los "Connected Hospitals": Se murió por un conflicto de dirección IP.

Del blog: Un informático en el lado del mal.Recomendación de inicio de semana.

Suelo decir en muchas conferencias que no hay segundas oportunidades para proteger los datos de los clientes. Suelo decir eso, porque cuando se produce una filtración de la la información que una empresa u organización aglutina de una determinada persona, esta no puede ser destruida para siempre. Si es publicada en Internet, el afectado, el cliente que confió en esa empresa y le dio sus datos, podrá cambiar el usuario y la contraseña, podrá romper la tarjeta de crédito o cambiar de cuentas de correo electrónico y redes sociales, pero no podrá cambiar la fecha de su nacimiento o si compró un determinado producto o servicio en la empresa – como sucedió en el caso de Ashley Madison que llevó al suicidio a varias personas y a la extorsión masiva de todas -.

Figura 1: Riesgos de seguridad en los "Connected Hospitals"

Suelo decir en esas mismas conferencias que si esto pasa, aunque gastes mucho dinero en mejorar después la seguridad de tus sistemas, no podrás arreglarlo todo y tendrás que decir “Lo siento”. Siento haberte arruinado la vida dejándote expuesto a Internet, con lo que esto puede significar hoy en día con la masificación y globalización de los actos.

Cuando hablo de estas cosas, suelo hablar de datos, de información, de bits que pueden significar más o menos dolorosos para los dueños de la información, pero hoy quería hablar de otros entornos en los que el no cuidar los sistemas informáticos puede llevar a cosas más peligrosas, como directamente perder vidas humanas por un fallo en el sistema informático. No quiero ponerme tremendista - que para eso ya está Hollywood y sus películas que crean una ficción catastrofista, y luego la cruda realidad que viene para superar esa ficción - pero sí que me llama la atención que en un entorno en el que se cuida la vida de personas a veces los sistemas informáticos no están tan bien cuidados. Estoy hablando de los hospitales.

El Connected Human

A nadie se le escapa que hoy en día, y más con la eclosión del IoT, casi cualquier dispositivo médico está conectado. Hablar sobre esto y no hacerlo sobre Barnaby Jackes imposible, ya que el mundo se quedó impactado con el anuncio de su charla enBlackHat sobre cómo atacar los marcapasos y los desfibrilizadores cardiovasculares por medio de una conexión WiFi pudiendo llegar incluso a provocar la muerte del paciente.

Figura 2: Descripción de la charla de Barnaby Jack que nunca se llegó a dar

Nunca la pudo dar, murió en extrañas circunstancias en su apartamento de San Francisco días antes de la conferencia, y su charla nunca se hizo pública. Eso sí, elexvicepresidente de los EEUU Dick Cheney se cambió el suyo por uno que no pudiera ser atacado remotamente. Redujo la superficie de exposición para reducir el riesgo.

Figura 3: El desaparecido Barnaby Jack posando en una foto para su charla

Cuando se habla de estos temas, la imaginación se acelera y la llegada delConnected Human a la que nos dirigimos inexorablemente – primero poco a poco con los wereables que ayudarán a predecir la fecha de tu muerte, luego con los dispositivos médicos y por último con la nanotecnología y los elementos acoplados que son parte del “Enhanced Human” – trae consigo escenarios que hacen las delicias de los guionistas de películas con la mente más calenturienta posible.

El Connected Hospital

Claro que sí. Pero con mucha menos grandilocuencia, con mucha más cercanía a nuestro día a día, los sistemas informáticos de los hospitales no están siempre preparados para resistir un ataque dirigido y, en algunas ocasiones, ni tan siquiera masivo. Casos recientes tenemos el del Hospital de Los Ángeles que tuvo que pagar un rescate por un ransomware que les cifró los archivos de sus estaciones de trabajo y servidores. En muchos de esas equipos se ejecuta el software que controla máquinas que hacen los análisis a los enfermos, radiografías de todo tipo, o máquinas de soporte a operaciones o pruebas delicadas. Al final, tuvo que pagar por recuperar los archivos.

Figura 4: El Hospital quedo paralizado por un ransomware

No habían hecho los BASICS, y un ransomware dejó inutilizado parcialmente el funcionamiento de un hospital. Pero es que a veces esos BASICS son tan BASICS que da miedo pensar que esto pueda estar así. Recuerdo que hace tiempo, en una de las múltiples visitas que he hecho en mi vida a un hospital, me topé con este mensaje de error en el que se informa de que hay un conflicto de dirección IP.

Figura 5: Una máquina de monitorización en Windows con la IP duplicada

Era una máquina de monitorización en la UCI de un hospital, y estaba conectada a no sé qué red, pero el sistema de asignación de direcciones permitía que alguien pusiera la misma y dejara sin conexión a esta máquina que, como se puede observar, corría sobre Windows. ¿Y si eso hace que la máquina no pueda reportar las alertas de seguridad sobre la vida de un paciente en los sistemas adecuados durante el turno de noche?

Figura 6: Patch Pannel en un Hospital de Madrid en la sala de espera que se puede apagar

Algo tan básico como el control lógico de la red estaba siendo tomado a la ligera en el año 2010 en un hospital, pero es que esta misma semana, visitando uno de los hospitales emblemáticos de Madrid, me topé en la sala de espera de petición de citas con los racks de los Patch Pannels. Es decir, las conexiones físicas de los equipos a la red, y podía manipular los cables o cortarlos. No era difícil tirar del cable “naranja”, del cable “azul” o de cualquier cable de interconexión deswitches.

Figura 7: Los cables al alcance la mano para cualquiera en la sala de espera

No conozco qué se puede hacer desde este Patch Pannel en concreto pero estoy seguro que no están bien hechas las cosas. Que alguien pueda manipular las conexiones físicas de la red, que alguien pueda manipular la configuración lógica de una red e inyectar una dirección IP duplicada en el sistema, que alguien pueda instalar un ransomware en una estación de trabajo o un servidor y no haya un sistema de copias de seguridad o un Plan de Contingencia contra este tipo de situaciones son cosas muy básicas en 2016 como para que nos preocupemos por el futuro apocalíptico del Connected Human que puede ser asesinado remotamente.

Pero así vivimos, donde es posible que una negligencia en la gestión de la seguridad informática acabe generando algún día un grave problema en un hospital mal gestionado y el responsable tenga que salir para decir: “Lo siento, se reiniciaron las máquinas de sustento vital mientras estábamos operando”.

Saludos Malignos!

No hay comentarios:

Publicar un comentario en la entrada

Te agradezco tus comentarios. Te esperamos de vuelta.