domingo, marzo 20, 2016

Riesgos de Seguridad en los "Connected Hospitals": Se murió por un conflicto de dirección IP.

Suelo decir en muchas conferencias que no hay segundas oportunidades para proteger los datos de los clientes. Suelo decir eso, porque cuando se produce una filtración de la la información que una empresa u organización aglutina de una determinada persona, esta no puede ser destruida para siempre. Si es publicada en Internet, el afectado, el cliente que confió en esa empresa y le dio sus datos, podrá cambiar el usuario y la contraseña, podrá romper la tarjeta de crédito o cambiar de cuentas de correo electrónico y redes sociales, pero no podrá cambiar la fecha de su nacimiento o si compró un determinado producto o servicio en la empresa – como sucedió en el caso de Ashley Madison que llevó al suicidio a varias personas y a la extorsión masiva de todas -.

Figura 1: Riesgos de seguridad en los "Connected Hospitals"

Suelo decir en esas mismas conferencias que si esto pasa, aunque gastes mucho dinero en mejorar después la seguridad de tus sistemas, no podrás arreglarlo todo y tendrás que decir “Lo siento”. Siento haberte arruinado la vida dejándote expuesto a Internet, con lo que esto puede significar hoy en día con la masificación y globalización de los actos.

Cuando hablo de estas cosas, suelo hablar de datos, de información, de bits que pueden significar más o menos dolorosos para los dueños de la información, pero hoy quería hablar de otros entornos en los que el no cuidar los sistemas informáticos puede llevar a cosas más peligrosas, como directamente perder vidas humanas por un fallo en el sistema informático. No quiero ponerme tremendista - que para eso ya está Hollywood y sus películas que crean una ficción catastrofista, y luego la cruda realidad que viene para superar esa ficción - pero sí que me llama la atención que en un entorno en el que se cuida la vida de personas a veces los sistemas informáticos no están tan bien cuidados. Estoy hablando de los hospitales.

El Connected Human

A nadie se le escapa que hoy en día, y más con la eclosión del IoT, casi cualquier dispositivo médico está conectado. Hablar sobre esto y no hacerlo sobre Barnaby Jack es imposible, ya que el mundo se quedó impactado con el anuncio de su charla en BlackHat sobre cómo atacar los marcapasos y los desfibrilizadores cardiovasculares por medio de una conexión WiFi pudiendo llegar incluso a provocar la muerte del paciente.

Figura 2: Descripción de la charla de Barnaby Jack que nunca se llegó a dar

Nunca la pudo dar, murió en extrañas circunstancias en su apartamento de San Francisco días antes de la conferencia, y su charla nunca se hizo pública. Eso sí, el exvicepresidente de los EEUU Dick Cheney se cambió el suyo por uno que no pudiera ser atacado remotamente. Redujo la superficie de exposición para reducir el riesgo.

Figura 3: El desaparecido Barnaby Jack posando en una foto para su charla

Cuando se habla de estos temas, la imaginación se acelera y la llegada del Connected Human a la que nos dirigimos inexorablemente – primero poco a poco con los wereables que ayudarán a predecir la fecha de tu muerte, luego con los dispositivos médicos y por último con la nanotecnología y los elementos acoplados que son parte del “Enhanced Human” – trae consigo escenarios que hacen las delicias de los guionistas de películas con la mente más calenturienta posible.

El Connected Hospital

Claro que sí. Pero con mucha menos grandilocuencia, con mucha más cercanía a nuestro día a día, los sistemas informáticos de los hospitales no están siempre preparados para resistir un ataque dirigido y, en algunas ocasiones, ni tan siquiera masivo. Casos recientes tenemos el del Hospital de Los Ángeles que tuvo que pagar un rescate por un ransomware que les cifró los archivos de sus estaciones de trabajo y servidores. En muchos de esas equipos se ejecuta el software que controla máquinas que hacen los análisis a los enfermos, radiografías de todo tipo, o máquinas de soporte a operaciones o pruebas delicadas. Al final, tuvo que pagar por recuperar los archivos.

Figura 4: El Hospital quedo paralizado por un ransomware

No habían hecho los BASICS, y un ransomware dejó inutilizado parcialmente el funcionamiento de un hospital. Pero es que a veces esos BASICS son tan BASICS que da miedo pensar que esto pueda estar así. Recuerdo que hace tiempo, en una de las múltiples visitas que he hecho en mi vida a un hospital, me topé con este mensaje de error en el que se informa de que hay un conflicto de dirección IP.

Figura 5: Una máquina de monitorización en Windows con la IP duplicada

Era una máquina de monitorización en la UCI de un hospital, y estaba conectada a no sé qué red, pero el sistema de asignación de direcciones permitía que alguien pusiera la misma y dejara sin conexión a esta máquina que, como se puede observar, corría sobre Windows. ¿Y si eso hace que la máquina no pueda reportar las alertas de seguridad sobre la vida de un paciente en los sistemas adecuados durante el turno de noche?

Figura 6: Patch Pannel en un Hospital de Madrid en la sala de espera que se puede apagar

Algo tan básico como el control lógico de la red estaba siendo tomado a la ligera en el año 2010 en un hospital, pero es que esta misma semana, visitando uno de los hospitales emblemáticos de Madrid, me topé en la sala de espera de petición de citas con los racks de los Patch Pannels. Es decir, las conexiones físicas de los equipos a la red, y podía manipular los cables o cortarlos. No era difícil tirar del cable “naranja”, del cable “azul” o de cualquier cable de interconexión de switches.

Figura 7: Los cables al alcance la mano para cualquiera en la sala de espera

No conozco qué se puede hacer desde este Patch Pannel en concreto pero estoy seguro que no están bien hechas las cosas. Que alguien pueda manipular las conexiones físicas de la red, que alguien pueda manipular la configuración lógica de una red e inyectar una dirección IP duplicada en el sistema, que alguien pueda instalar un ransomware en una estación de trabajo o un servidor y no haya un sistema de copias de seguridad o un Plan de Contingencia contra este tipo de situaciones son cosas muy básicas en 2016 como para que nos preocupemos por el futuro apocalíptico del Connected Human que puede ser asesinado remotamente.

Pero así vivimos, donde es posible que una negligencia en la gestión de la seguridad informática acabe generando algún día un grave problema en un hospital mal gestionado y el responsable tenga que salir para decir: “Lo siento, se reiniciaron las máquinas de sustento vital mientras estábamos operando”.

Saludos Malignos!

17 comentarios:

Carlos de Nova dijo...
Este comentario ha sido eliminado por el autor.
Anónimo dijo...

Joder con lo de Barnaby, cómo me he quedado...

MaNDaRiNo dijo...

Path panel? Jajajaja menudo experto en redes que estas hecho. Patch panel. Patch. Patch. Patch, de parcheo Chema Alonso. A ver si voy a tener que darte clases de redes para explicarte esto y la conversación que dejamos a medias 4 artículos atrás, donde bloqueaste los comentarios para no quedar en evidencia.

FlorValiente dijo...

Me encantaría poder contradecirte pero lamentablemente cuentas la pura realidad, y ni siquiera hace falta un ataque dirigido para acceder a las bases de datos ya que muchas veces los nombres de usuario y contraseñas están escritos en post-it y pegados al lado del ordenador. Dispositivos colocados en salas con el acceso tan libre como el metro. También hay equipos con sistemas operativos antiguos como windows xp, sin cortafuegos, usando exploradores ya difuntos a través de los que se accede a las bases de datos... Por eso cuando me hablan sobre la importancia de proteger la intimidad de los pacientes sólo puedo echarme a reír por no llorar.

Maligno dijo...

@Mandarino,

La verdad es que cada vez me doy cuenta de que no te das cuenta lo ridículo que llegas a mostrarte. Viniste a trollear al post de Esteganografía en TCP/IP de Pablo y en tus comentarios demostraste tu nivel intelectual, así que para que no molestases más a Pablo y los lectores, cerré los comentarios. De hecho, me llegaron correos de lectores pidiéndome que los abriera para contestarte, pero no lo hice.

Después viniste a trollear en el post en el que explicaba cómo me había topado con un servidor de Apple con un bug de IIS, para hacerte el graciosete. Ahí, como el post era mío y no de otros, no cerré los comentarios y te deje mostrarte tal y como eres.

Viniste a trollear también en el post del fingerprinting de SQL Server, confundiendo conceptos de redes y fingerprinting a nivel de aplicación, pero... no te das ni cuenta. Viniste a trollear en el post de los eventos.

Ahora vienes a trollear en este post por un typo. En fin, la empresa que monté hace 3 años se llama Eleven Paths y como escribo con una versión en español, le he corregido varias veces Eleven Patchs por Eleve Paths, y el Patch 5 por Path 5, así que me ha jugado una mala pasada y punto. Como ayer que puse navegadors en lugar de navegadores.

Yo, lo arreglo y listo, pero lo tuyo necesita mucho tiempo para solucionarlo. Definitivamente eres un "paseante" - joven, e inexperto - pero un autentico "stroller", y a gente como tú ya le dediqué un artículo: Paseantes (Strollers).

Si quieres demostrar todo lo que sabes de redes y seguridad, ábrete un blog. Si quieres medirte conmigo, ponme un correo electrónico y te invito a un café para que me demuestres lo mucho que sabes, o mejor: sácate un doctorado, que con eso tendrías todos mis respetos.

Mientras tanto, ahórrate todo comentario soez, infantil o mediocre con cualquier pseudónimo que uses, porque lo voy a borrar, que ya bastante pesado es que te aguante yo, como para que te aguanten los lectores, que estos posts los lee mucha gente durante mucho tiempo.

Saludos!

Emerito Montilla dijo...

Y perdiste un valioso tiempo contestándole a una rata así, usted es un maestro chema y .

Guille dijo...

Yo quiero medirme contigo Chema, asique invitamé a un café. No tengo mucha idea asique salgo ganando porque aprenderé de ti jejeje.
Con respecto al post no entiendo que tipo de ser humano puede querer atacar un hospital...
Y fallos tenmos todos, que somos humanos.

Un saludo.

Hispachan dijo...

Hola Chema,

Estamos tratando de contactarte para hacerte una invitación (en privado), pero no me queda claro cuál es el mejor método para hacerlo (en tu página de contacto dices que no aceptas correos electrónicos ahora mismo).

¿Dónde podemos escribirte y que puedas leerlo? No hay ninguna prisa, si estás de vacaciones esperamos sin problemas.

Gracias, y enhorabuena por tu trabajo!

Anónimo dijo...

como dijo Guille Chema... yo te invito todos los cafes que quieras con tal de aprender de un maestro como tu....=)
Saludos...

Anónimo dijo...

Está claro que la seguridad no es una prioridad. Todo el mundo se llena la boca de las maravillas de certificación de sus sistemas (véanse las normas de la FDA para sistemas médicos) y resulta que luego parchear un fallo de seguridad es un mundo (recertificar el sistema) y por tanto, no se hace. El resultado, pues equipos llenos de virus, penetrables por cualquier script kiddie, etc.

Por otro lado, no hay políticas de parcheo de sistemas, no hay políticas de seguridad y si las hay, no se respetan (restringir los permisos de los usuarios? No fastidies, que luego hay que gestionarlos. Trabajar como Domain Admin, usuarios administradores locales, etc. etc.). Y da igual que sea España, como en EEUU u otros países (donde estoy, supuestamente "avanzado").

El ejemplo más famoso: el hospital ese de Hollywood, donde alguien ha debido ejecutar una m. de adjunto de un e-mail (no tiene por qué haber sido un ataque dirigido a ese hospital) y les ha cifrado todos los sistemas. "Hola Paco, te mando la factura para que la revises" y Paco va y lo ejecuta y ya está liada.

Y no es el único. Tres veces hemos tenido que tirar de backup porque un médico ha ejecutado un adjunto y se ha comido (cifrado) todos los documentos del servicio (adjunto no detectado por los 3 antivirus diferentes por los que ha pasado hasta llegar al usuario, e incluso siempre menos de 6 detecciones positivas en virustotal). Afortunadamente, nosotros sí restringimos el acceso a los datos de los servidores y el daño ha sido limitado, pero... idealmente applocker lo evitaría pero no hay interés por parte de la dirección en enfrentarse a nadie.

Es lo que hay. Así que cuidadito ahí fuera ;)

Joacko Fletcher dijo...

Muy bueno Chema, es muy triste lo de Jack..
Saludos!

acerswap dijo...

Se me acaba de pasar una cosa por la cabeza: Todos hemos leido noticias de gente que tras una operación importante se dedican a hacer ejercicio y participar en competiciones. ¿Creeis que pueda haber alguien que decida "tunear" su marcapasos o la protesis que corresponda para mejorar su rendimiento en una carrera, aprovechando que se pueda reprogramar usando NFC? ¿Podríamos ver en el futuro unas pruebas de dopaje tecnologico en los juegos paralimpicos? Es mas, ¿podríamos encontrarnos un problema similar al de los coches de Volkswagen en protesis?

kevin yamel dijo...

Me puedes decir como puedo entrar a la codificación de cualquier programa?

Shoun dijo...

Some people just wants to see the world burn.

Shoun dijo...

Some people just wants to see the world burn.

David dijo...

Ostras!, que pensamientos más conspiranoicos se me han venido a la mente al leer que habia muerto Barnaby Jack...

Una pasada esta entrada me ha encantado, sobre todo por que tienes muchisima razón en todo, pero te digo algo que ya sabrás: la seguridad no es la primera preocupación en grandes empresas ni en las PYMES, la seguridad implica costos y en ocasiones ralentización del trabajo, claro, hacer las cosas bien no es lo mismo que hacerlas mal y a la carrera. Para que la seguridad funcione, tendrá que ser transparente para todos los usuarios, como a aquel chico que recuerdo leer que dijo: La seguridad en los coches es transparente, nadie se preocupa de tener que mover o encender/apagar el switch "X" en el coche para que los ABS funcionen, los ABS estan y funcionan cuando deben, y yo que no tengo ni idea de mecanica no tengo nada más que saber que existen. Yo en mi ignorancia creo que a día de hoy la seguridad informatica no es transparente para el usuario. Simplemente deberiamos hacer las cosas mejor.

¿Quiere tener 2FA?¿Quiere utilizar Mobile Connect? estas preguntas seguidas de todo el funcionamiento de los susodichos procesos... Por que no: Esta página funciona así y es lo que hay, te guste o no, te parezca más pesado o no utilizarlo.... Igual me equivoco, es posible, soy un ignorante, pero esta es mi opinion.

Anónimo dijo...

MaNDaRiNo, iluminanos a los incultos, no nos dejes a medias.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares