轉自welivesecurity,作者Cameron Camp,藍色摩卡譯,合作站點轉載請註明原文譯者和出處為超級盾!
在當今的醫療保健領域,幾乎沒有一個領域不採用更多的技術。從通過智能手錶和可穿戴設備實時無線訪問您自己的健康參數,到植入體內的設備,可隨著攻擊技術日漸猖獗,我們能保證這些設備的安全嗎?
幾年前在黑帽安全大會,很多人都親眼目睹了一個胰島素泵被黑客攻擊。
無論該設備上的大部分軟體是否已經上市,監管機構說,集成商都要負責整個堆棧的安全,包括底層的作業系統,即使作業系統有良好的安全記錄。換句話說:無論黑客使用何種技術破解了設備,設備製造商都應對之有責任。
可能被黑客入侵的無線胰島素泵
因此,儘管市場壓力依賴於企業快速生產設備,但未來的道路看起來並不平坦,而且成本高昂。
那麼補丁呢,誰負責這些呢?根據FDA的說法,製造商會負責。由於一些醫療設備預計要使用很多年,所以支持這些設備需要很長一段時間。
那麼,它們被黑客攻擊的可能性有多大?醫療行業聯網設備的安全問題,下面是五個漏洞:
來自藍牙的威脅
很多醫療設備通過藍牙集成了監控和交互功能,其漏洞存在的時間很長。
藍牙血糖儀
雖然可能會有補丁,但很難確定該領域的實際採用率和時間表。與此同時,如果你的血糖測量數據被欺騙了,如果你試圖根據錯誤的讀數來調整血糖水平,你可能會面臨真正的身體危險。
系統危機
許多醫院的醫療設備管理計算機運行在較舊的、不受支持的Windows版本上,原因是製造商更新滯後。
老舊的醫療電腦系統
製造商不能隨便在產品進行廣泛測試、查看集成問題之前推出最新Windows補丁,所以補丁審查可能會很棘手。
一個潛在的攻擊者在這方面有優勢,因為他們可以在已知的漏洞一暴露就進行攻擊,而且還會打得供應商措手不及。
雲安全危機
我們在今年的黑帽和DEF CON大會上看到的,雲安全暴露出很大的危機。患者不可能知道潛在的漏洞,但攻擊者很快會抓住已知的漏洞進行攻擊,通過他們的攻擊框架快速利用這些漏洞。
因此一些患者會因為擔心遭到黑客攻擊而選擇不與心臟起搏器進行外部通信,但將雲技術應用於植入式心臟裝置,將推動其進一步應用,這依然也會面臨危險。
乙太網
許多醫療設備通過乙太網接入醫療TCP/IP網絡,但對許多臨床醫生和患者來說,很難注意到與現有設備連接在一起的網絡。
每個環節都緊密連接,不可或缺
通過嵌入在這種竊聽裝置中的無線連結竊取數據,攻擊者可以窺探並製造漏洞。攻擊者只需要一次物理訪問,由於成本低、且不必返回拿走竊聽設備,使得風險進一步加大。
無線鍵盤
一段時間以來,鍵盤記錄器一直是記錄無線鍵盤按鍵的標準工具,它們偽裝成插在插座上的假USB充電器,同時監聽信號,並通過4G無線網卡竊取這些信號。
無線滑鼠和鍵盤
這會捕獲受害者的敏感數據,如鍵入密碼,攻擊者會通過下載和安裝遠程後門漏洞繞過安全產品。
措施
多年來,醫療領域一直緊隨其後–安全方面。在未來幾年內,「醫療車隊安全化」將是一項挑戰。了解醫療設備的任何漏洞是明智的,特別是這些漏洞與醫療保障有關,早日將醫療保障安全提上日程是至關重要的。
聲明:我們尊重原創者版權,除確實無法確認作者外,均會註明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯繫小編刪除
精彩在後面
Hi,我是超級盾
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
成功抵禦史上最大2.47T黑客DDoS攻擊,
超級盾具有無限防禦DDoS、100%防CC的優勢