Kardiografické zariadenie Philips. Absolútne lekárske vybavenie
Spoločnosť Philips je známa výrobou špičkových a efektívnych zariadení PageWriter Cardiograph. Po nedávnom odhalení slabých miest v oblasti kybernetickej bezpečnosti, ktoré útočníkom umožňujú zmeniť nastavenia prístroja tak, aby ovplyvňovali diagnostiku, spoločnosť Philips uviedla ICS-CERT poradný že tieto zraniteľnosti nezamýšľa skúmať až do leta 2019.
Zariadenia Cardiograph od spoločnosti Philips PageWriter prijímajú signály prostredníctvom senzorov pripevnených k telu a na základe týchto údajov vytvárajú vzory a diagramy EKG, ktoré potom môže lekár vykonať pri stanovení diagnózy. Tento proces by nemal mať žiadne rušenie, ktoré by zabezpečovalo integritu uskutočňovaných meraní a zobrazených grafov, ale zdá sa, že manipulátori sú schopní tieto údaje ovplyvňovať manuálne.
Zraniteľnosti existujú v modeloch Philips PageWriterTC10, TC20, TC30, TC50 a TC70. Zraniteľnosti vyplývajú zo skutočnosti, že vstupné informácie je možné zadávať manuálne a pevne kódovať do rozhrania, čo má za následok nesprávne zadanie, pretože systém zariadenia neoveruje ani neodfiltruje žiadne zo zadaných údajov. To znamená, že výsledky zo zariadenia priamo korelujú s tým, čo do nich používatelia vložili manuálne, čo umožňuje nesprávnu a neefektívnu diagnostiku. Nedostatok sanitácie údajov priamo prispieva k možnosti pretečenia vyrovnávacej pamäte a zraniteľnosti formátovacích reťazcov.
Okrem tejto možnosti využitia chyby údajov sa schopnosť hardvérového šifrovania údajov do rozhrania prispôsobuje aj pevnému kódovaniu poverení. To znamená, že každý útočník, ktorý pozná heslo zariadenia a má ho fyzicky poruke, môže upraviť nastavenia zariadenia a spôsobiť nesprávnu diagnostiku pomocou zariadenia.
Napriek rozhodnutiu spoločnosti nezaoberať sa týmito zraniteľnosťami do leta budúceho roka, zverejnené odporúčanie ponúklo niekoľko rád na zmiernenie týchto zraniteľností. Hlavné pokyny pre toto sa točia okolo fyzickej bezpečnosti zariadenia: zabezpečenie, aby útočníci so zlým úmyslom neboli schopní fyzicky k zariadeniu pristupovať alebo s ním manipulovať. Okrem toho sa klinikám odporúča, aby vo svojich systémoch iniciovali ochranu komponentov a obmedzili a regulovali prístupy, ktoré sú v zariadeniach dostupné.
