Onderzoekers vinden kwetsbaarheid in Philips-röntgenscanners - update

Beveiligingsonderzoekers hebben in röntgenscanners van Philips een beveiligingsprobleem gevonden, dat het mogelijk maakt om op afstand in te loggen op het apparaat. Inbreken op het apparaat was erg eenvoudig: de authenticatie was zwak.

Onderzoekers Terry McCorkle en Billy Rios presenteerden hun bevindingen op een speciale conferentie over beveiliging op industriële systemen. De onderzoekers kwamen er achter dat XPER-röntgenscanners van Philips over zwakke authenticatie beschikken; daardoor was het makkelijk om toegang te krijgen tot het apparaat, schrijft DarkReading.

De onderzoekers kregen vergaande privileges op de scanner en konden onder meer alle gegevens die waren opgeslagen uitlezen. Ook was het mogelijk om in te loggen op apparaten waarmee de röntgenscanner verbinding maakte. Welke versies van de software van de röntgenscanners precies kwetsbaar zijn, is nog onduidelijk. Ze geven vanwege de ernst van het beveiligingsprobleem geen exploit vrij.

Volgens de hackers was het erg eenvoudig om op het apparaat in te loggen. Ze gebruikten een fuzzer, die ongeldige of willekeurige data naar een systeem stuurt om de beveiliging te testen. Voor de röntgenscanner was een eenvoudige fuzzer, die een grote hoeveelheid hoofdletter-A's richting de scanner stuurde, voldoende. Moeilijker was het om een exemplaar van de röntgenscanner te pakken te krijgen: de verkoop daarvan is aan restricties gebonden. Uiteindelijk vonden ze een verkoper die een exemplaar wilde verstrekken.

De onderzoekers hebben Philips op de hoogte gesteld en werken samen met de ict-beveiligingsorganisatie van de Amerikaanse overheid. Ook de Amerikaanse Food and Drug Administration, enigszins vergelijkbaar met de Nederlandse Voedsel- en Warenautoriteit, is betrokken bij het onderzoek. De Nederlandse afdeling van Philips was niet beschikbaar voor commentaar.

Update, 12:01: Woordvoerder Steve Klink bevestigt dat een systeem lek is. "Wij werden daarom benaderd door het Amerikaanse ministerie van Binnenlandse Veiligheid", aldus Klink. Het gaat echter niet om een lek in de röntgenscanner, stelt hij, maar in een 'informatiemanagementsysteem' dat is gekoppeld aan de röntgenscanner. Dat informatiemanagementsysteem wordt enkel gebruikt in combinatie met de röntgenscanner, maar dat is niet vereist. Daarnaast gaat het 'voor zover wij weten' om verouderde software, stelt Klink. Voor zover bekend is er geen misbruik gemaakt van het beveiligingsprobleem.

IT-banen

Reacties (31)

Verwijderd 17 januari 2013 10:52

"De onderzoekers hebben Philips op de hoogte gesteld en werken samen met de ict-beveiligingsorganisatie van de Amerikaanse overheid"

Zo hoort het te zijn, als Philips nu niet aanklaagt en dit netjes oplost, dan is dit een perfect voorbeeld van hoe de relatie bedrijf - hacker zou moeten zijn...

Finraziel

@Verwijderd • 17 januari 2013 11:03

Behalve dan dat ze het toch al wereldkundig maken. Nee, niet de precieze methode, maar als je alleen al zegt "product X is kwetsbaar" dan weten kwaadwillenden gelijk waar ze hun energie het beste in kunnen steken.
Nou vraag ik me ook af hoe je het zou moeten misbruiken, hangt zo'n ding gewoon aan internet? If so, dan lijkt me dat erg kwalijk, maar als je fysieke toegang nodig hebt dan valt het nog wel mee.

LOTG @Finraziel • 17 januari 2013 11:42

Maar zoals in het bericht staat, Product X is lastig te verkrijgen. De vraag is ook inderdaad of zo een apparaat makkelijk is te benaderen via het internet, want anders zul je dus moeten inbreken in een zieken huis en de scanner moeten localiseren voor je het dingen kunt hacken. Dat zal wel opvallen als jij met je laptop naast een scanner staat, tenzij je goed kunt social engineeren.

Ik vind het wel opvallend dat dit zo makkelijk zou moeten gaan, zo een machines worden toch allemaal door de FDA goedgekeurd en de berg werk die je als bedrijf moet doen voor zo een FDA keuring is niet niets.

Het lijkt mij dat er eens grondig bij de FDA moet worden rondgekeken wat ze daar eigenlijk doen met die gegevens, kijkt er ook daadwerkelijk iemand naar?

psychodude @LOTG • 17 januari 2013 14:44

Tsja, wat is makkelijk benaderbaar via het internet. Het is theoretisch benaderbaar. Dit soort röntgen stations zijn namelijk in staat tot export naar PACS servers, welk weer via VPN verbindingen met het ziekenhuis toegankelijk zijn vanuit huis. Dus ergens ligt er wel een link naar de buitenwereld.

Die röntgen stations bevatten echter relatief weinig data gezien het initieel non-compressed data is. Dit wordt vervolgens naar PACS servers overgeplaatst en een beetje afhankelijk per ziekenhuis en protocol staat data gemiddeld genomen slechts ca. 72 uur op een röntgen station zelf.

Daarnaast is het voordeel ook dat dit soort stations vaak geen patiënt identificeerbare data bevatten, ik ken er eigenlijk geen. Maar session id's gebruiken, welk weer via een afzonderlijk systeem gekoppeld kunnen worden. Dus wil je het linken, zou je er een 2e systeem bij moeten hacken. Ik verwacht dat het met deze Philips modellen niet anders zal zijn.

Als laatste, wat niet vergeten dient te worden, is dat radiologische beelden van het gehele patiënten dossier wat je je maar kunt verzitten, toch wel hetgeen is met de minste waarde voor publieke angsten; in handen komen te vallen van verzekeraars, werkgevers, familie, etc.

Tsja, ze hebben een aantal plaatjes, maar dat is dan ook alles. Een botbreuk kunnen velen nog wel herkennen als het er dik bovenop ligt. Maar buiten dat? Je werkgever en familie zal er niets in zien. Verzekeringsmaatschappijen hebben wel wat artsen rondlopen, maar ook voor de gemiddelde arts is interpretatie van röntgenbeelden lastig indien ze geen frequente ervaring hebben. Des te exotischer het wordt, des te lastiger.

Dan is het voor een potentiële hacker veel interessanter om bijv de röntgen verslagen te achterhalen, of medische brieven. Dan resteert enkel een medisch woordenboek om in te schatten wat er ongeveer staat.

Bovendien ben ik er vrij zeker van dat dit soort kwetsbaarheden in medische apparatuur meer regel dan uitzondering zal zijn. Of het nu röntgen stations, ECG-monitoren, pomp systemen, capnografen, wat dan ook zijn zullen vrijwel alle modellen die op een intern netwerk aangesloten worden waarschijnlijk wel zo lek als een mandje.

Het is namelijk nog nooit dusdanig een issue geweest om dat anders te laten worden. Zolang als een ziekenhuis er zorg toe draagt dat het interne netwerk slecht toegankelijk is voor ongewensten van buiten af, of vanuit intern, zal dat ook niet snel een probleem vormen.

Fireshade @Finraziel • 17 januari 2013 11:38

Behalve dan dat ze het toch al wereldkundig maken.

Ja, daar dacht ik ook aan.
Ze zeggen dat ze de exploit niet geven, maar ondertussen wordt wel uitgelegd hoe:

Volgens de hackers was het erg eenvoudig om op het apparaat in te loggen. Ze gebruikten een fuzzer, die ongeldige of willekeurige data naar een systeem stuurt om de beveiliging te testen. Voor de röntgenscanner was een eenvoudige fuzzer, die een grote hoeveelheid hoofdletter-A's richting de scanner stuurde, voldoende.

Een beetje hacker heeft hier toch voldoende aan?

[Reactie gewijzigd door Fireshade op 25 juli 2024 19:11]

Grauw @Fireshade • 17 januari 2013 11:45

Nee want om de details uit te kunnen vinden moeten ze eerst toegang hebben tot zo’n scanner voor tests, terwijl als een exploit zou zijn vrijgegeven dat kant-en-klare code zou zijn die via een trojan afgeleverd kan worden.

Jiriki @Verwijderd • 17 januari 2013 10:59

Ik ben wel benieuwd wat de praktische kwetsbaarheid van deze scanners is. Normaal is dit model 1-1 aangesloten op een bedienstation, dat dan weer is aangesloten op het interne netwerk. Is nu de scanner kwetsbaar of het bedienstation?

Hopelijk kunnen ze samen er voor zorgen dat het voor al onze gegevens veiliger wordt.

marino_centrino @Jiriki • 17 januari 2013 11:09

Precies, het lijkt me dat deze apparaten in een lokaal netwerk draaien en dat dus eerst de beveiliging van het lokale netwerk omzeild dient te worden om ze uberhaupt te kunnen benaderen. Maar misschien is dit in kleinere ziekenhuizen of klinieken niet het geval?

blouweKip @Verwijderd • 17 januari 2013 15:51

Zo hoort het te zijn, als Philips nu niet aanklaagt en dit netjes oplost,

Draai je het hier niet om? de enige die aangeklaagd kan worden in dit geval is Philips (door de gebruikers van een dergelijk systeem)

RocketKoen 17 januari 2013 11:02

Mijn vraag is: Moet je bij het ontwikkelen van medische apparatuur dan tegenwoordig rekening houden met hackers?

Peregrine @RocketKoen • 17 januari 2013 11:07

Geheel afhankelijk van wat voor apparaat het is. Als er patientgegevens opstaan wel, bij een nieuw soort thermometer (of willekeurig welk ander instrument) niet. Je zou daar met een hack het apparaat onveilig kunnen maken, maar dat gaat makkelijker / kan altijd met een 'hardware hack'.

Stoney3K @Peregrine • 17 januari 2013 11:10

Geheel afhankelijk van wat voor apparaat het is. Als er patientgegevens opstaan wel, bij een nieuw soort thermometer (of willekeurig welk ander instrument) niet. Je zou daar met een hack het apparaat onveilig kunnen maken, maar dat gaat makkelijker / kan altijd met een 'hardware hack'.

Een hardware-hack lukt je alleen niet van afstand.

Stel je voor dat een röntgenscanner, medische laser of bestralingsapparaat een kwetsbaarheid bevat waardoor je op afstand een dosis toe kan dienen, dat levert nog interessante veiligheidsproblemen op.

TheGhostInc @Stoney3K • 17 januari 2013 11:45

In het verleden zijn er ook medicijnen 'vergiftigd'. Hierdoor heb je nu van die 3 dubbele beveiligingen op medicijnen die 'in het schap' liggen. Veiligheidsproblemen heb je ook 'in real-life'. Je ziet nu in de VS ook mooi welke 'veiligheidsproblemen' er zijn. Je zet gewoon een pistool op iemands hoofd en die persoon heeft een 'veiligheidsprobleem'. Uiteraard op te lossen met altijd een wapen bij je te hebben, ook als brandweerman of ambulancebroeder.

Vooral bij systemen die wel gebruik maken van netwerktechnologie, maar niet direct aan internet/interne netwerk hoeven te hangen is het de keuze van systeembeheer om dit soort kwetsbare systemen van buitenaf beschikbaar te maken. Als fabrikant is er gewoon een grens wat kan, zeker als techniek al jaren in gebruik is.
Soms staat er zelfs expliciet in de handleiding hoe er gewerkt moet worden, maar word daar vanaf geweken omdat het 'niet handig' is, of omdat de netwerkbeheerder de handleiding er niet bij pakt.

In de luchtvaart zie je soms hoe het mis kan gaan. Bij de laatste crash in NL stond er in de handleiding dat de automatische piloot niet gebruikt mocht worden bij dat specifieke probleem. Hoewel Boeing misschien een beter product had moeten opleveren werd het vliegtuig gebruikt op een manier die de fabrikant had afgeraden.

Ik weet niet wat Philips bij de installatie voor voorschiften gebruikt, maar als dit apparaat nooit toegankelijk mag zijn voor andere apparaten dan de controlstation, dan ontstaat het probleem dus alleen al als je het apparaat niet gebruikt zoals het hoort, tja, dan begeef je je als klant al op glad ijs, zeker als er mensenlevens aan vast zitten.

ari3 @RocketKoen • 17 januari 2013 11:09

Lijkt me wel. De meetgegevens van deze apparaten worden immers geautomatiseerd gekoppeld aan het dossier van een patient. Die patient wil niet dat zijn gegevens op straat liggen voor verzekeraars, werkgevers, familie, media, e.d.

swtimmer @ari3 • 17 januari 2013 11:30

Ik weet niet hoe het precies met deze machines is maar uit de MRI scanners die wij gebruiken komen de images met een sessie ID. Dus zolang je niet weet wie zich in welke sessie heeft laten scannen is deze data nog steeds nutteloos of in ieder geval ongevaarlijk qua privacy.

hiostu @RocketKoen • 17 januari 2013 11:09

Als deze normaliter aangesloten worden op netwerken, al dan niet indirect op internet, dan ja zeker wel.

Neko Koneko 17 januari 2013 10:53

Sense and simplicity... Nu ook voor hackers

Waterbeesje @Neko Koneko • 17 januari 2013 11:13

Je wordt gedownmod, maar de kern klopt volledig...

Bedieningsgemak staat vooraan, en blijkbaar ook voor hackers.

Zou dit met een software update worden verholpen?

Zouden dan de ziekenhuizen die zo'n machine hebben, de update ook masaal toepassen? Hierbij denk ik terug aan het bericht dat overheden waarschijnlijk al jaren lang een en ander aan rotte software op computers had staan.

Zou Philips nooit heel hard hebben nagedacht over de beveiliging en dergelijke?

Offtopic: volgend jaar wordt de eerste senseo gehackt?

LOTG @Waterbeesje • 17 januari 2013 11:46

Volgens mij is het niet iets wat ziekenhuizen zelf doen. Dit gaat om apparaten die erg veel geld kosten en die ook mensen levens kunnen kosten als er iets niet klopt.

Ik denk dat er een telefoontje naar de klant (ziekenhuis) gaat met de vraag wanneer ze kunnen komen voor onderhoud, iets wat er meestal bij verkocht word.

Denk aan software updates in je auto, die worden ook gewoon uitgevoerd als hij in de garage staat. Er word jou ook niet een mail gestuurd met download link naar de update voor falende ABS software.

Kevinp @Neko Koneko • 17 januari 2013 11:35

Wanneer een ziekenhuis zijn zaakjes op orde heeft zie ik het probleem nog niet zo. Immers kan je er dan gewoon niet bij komen.

WoutervOorschot

17 januari 2013 11:12

Je moet maar op het idee komen om een röntgenscanner heel zwaar te beveiligen. Hier denk je toch niet aan als je dat aan het ontwerpen bent? Wel goed dat het wordt ontdekt.

Nappie @WoutervOorschot • 17 januari 2013 11:18

Als zo'n scanner in een bedrijfsnetwerk komt te hangen en gekoppeld wordt met het case management systeem waar de patiëntgegevens in staan, dan is het dus kwetsbaar.

Zoals anderen al opmerkten: zowel privacyoverwegingen zijn van belang, maar eventueel ook persoonlijke veiligheid van mensen als ze gescand worden. Of denk eens aan de impact van verkeerde gegevens in je dossier hebben staan.

Natuurlijk hangt zo'n apparaat niet rechtstreeks aan internet. Maar je kan er ook niet zomaar vanuit gaan dat het bedrijfsnetwerk van een ziekenhuis helemaal veilig is. Er zijn genoeg voorbeelden van hacks waarbij men diep in een netwerk doordringt.

Verwijderd 17 januari 2013 11:27

Software voor medische apparatuur wordt m.b.v. logica op 'fouten' gecheckt. PHILIPS heeft hier ook een naam in. Software checken op deze wijze is duur [understatement] maar ook erg zeker dat het toch vrijwel 100% foutvrij is. Ik begrijp dan ook niet hoe dit kan. Bezuiniging?
EDIT:
Niet medisch lees ik net maar industrieel.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 19:11]

mae-t.net @Verwijderd • 17 januari 2013 14:18

Industrieel dus inderdaad van een ander bedrijf(sonderdeel), dat kennelijk niet overgenomen of afgestoten is (ik wist wel dat ze nog buizen maakten en die in hun eigen medische apparatuur gebruikten). Dat verklaart opzich ook, maar Philips bezuinigt wel degelijk op de medische tak. Deels is dat natuurlijk het 'ontdubbelen' van dingen die zowel bij Philips als bij HP en andere overgenomen partijen aanwezig waren of zijn, maar vast ook ordinaire bezuinigingen.

Christiaan676 17 januari 2013 11:38

Vraag me af hoelang de update van dit beveiligingsprobleem op zich laat wachten. Ooit een presentatie gehad van een medewerker van philips medical en afhankelijk van hoe groot de update was duurt het zeker een half jaar tot een jaar voordat updates vrijgegeven worden.

SuperDre @Christiaan676 • 17 januari 2013 13:32

en dan heeft die dus ook uitgelegd waardoor dat komt... alles moet echt zeer goed getest en gecertificeerd zijn voordat ze zo'n update kunnen draaien..

SuperDre 17 januari 2013 13:32

typisch gevalletje van 'onderzoeker' die zn 15-minutes of fame wil hebben...

Overigens vindt ik het sowieso maar een beetje een storm in een glas water, want je moet al wel eerst zo'n apparaat weten te vinden.. Tja, zo zijn er wel 100.000 systemen die zo lek zijn als een mandje, niet bijzonder dus...

[Reactie gewijzigd door SuperDre op 25 juli 2024 19:11]

mae-t.net @SuperDre • 17 januari 2013 14:23

Om maar even in dezelfde stijl te reageren: Tsja, zo'n reactie als de jouwe is typisch een gevalletje van een frontpageposter die z'n 15 seconden van het leven van de lezer opeist. Ga je die ooit nog terugbetalen aan iedereen?

Inhoudelijk: Als zulke onderzoekers hun werk niet zouden doen, zouden er veel meer en veel ernstiger fouten opduiken in grotere getale dan ze nu al doen. Zelfs als een fout niet tot onmiddelijke risico's of problemen leidt, is het verstandig om er aandacht aan te besteden.

Op zo'n conferentie lijkt me dat absoluut op zijn plaats, en eigenlijk leidt dat niet tot '15 minutes of fame'. Dat gebeurt pas als de media (zoals tweakers) het oppikt. Bedoel je jouw commentaar als kritiek op de nieuwsselectie van tweakers? Dan moet je in 'geachte redactie' zijn, en die zien je al komen. Je kan dan immers vrijwel alle nieuwsberichten wel laten vervallen.

jj71 17 januari 2013 10:57

Interessant, maar ik vraag me af hoe belangrijk dit nu in de praktijk is. Ten eerste, wat moet je met access tot zo'n specialistisch medisch apparaat, wat zou een crimineel daarmee willen? En verder, hoeveel van die apparaten zijn er? Je moet maar toevallig een ziekenhuis hebben waar ze dit apparaat gebruiken en niet een ding van een andere fabrikant of een ander model.

Natuurlijk zijn beveiligingsgaten nooit goed, maar de impact van dit probleem in dit specifieke model van een specialistisch medisch apparaat lijkt me niet zo groot.

biglia 17 januari 2013 11:25

Ik denk dat het risico dat een onbevoegd iemand een kamertje met zo'n scanner inloopt, groter is.

beascob

17 januari 2013 11:16

Bij dit model lukt het eenvoudig.
Nu nog de scanner op de vliegvelden...
Uitlezen wie er gescand worden, of zelf doorlopen, omdat je hem op safe zet.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (31)

Sorteer op:

Weergave: