Seguridad de Dispositivos Médicos

1

Points:-------------------

Estoy muy contento de hablar nuevamente en NoConNameDi una charla de seguridad de telefonía VoIP en el 2006

Muchas gracias a NicoLas Cons requieren mucho trabajo y organizaciónSe hacen por pasión y no por dineroEs una labor importante que desarrolla las conexiones globales, las

oportunidades de investigación y la amistad

2

---------------

•Llevo 10 años trabajando en el campo de la seguridad•Empecé con Cisco, haciendo hacking a productos internos•También trabajé en TippingPoint, y algunos otros sitios…•Hize algunos trabajos de consultor privado

•Ahora: Trabajo y estudio en un Academic Health Center (Centro de Salud Academico)•University of Florida•Hospital, la escuela de medicina, odontología, farmacia, enfermería, etc•Operaciones de red, investigación de dispositivos médicos•Estudiando un segundo Master en Salud Pública•Discursos en conferencias y viajar cuando se puede

3

Agenda

•Cuáles son los dispositivos médicos•Qué peligrosos son los riesgos•Quién está haciendo la investigación•Cómo podeis participar•Tendencias y predicciones•Recursos

4

Objetivos: Después de esta charla, ustedes deberían tener…

•Una mejor idea de los riesgos de seguridad de los dispositivos médicos•Mundo real frente a la propaganda sensacionalista (FUD=Miedo, incertidumbre, duda)

•Aprender acerca de la investigación puntera•Los jugadores, las tendencias

•Obtener conocimientos para su propia investigación, carrera,•Ideas / objetivos para investigación de vulnerabilidades, discursos de conferencias

•Aprender fuentes de información útiles de la seguridad de dispositivos médico•Conocimiento de la industria, mantenerse al día, seguir los cambios

5

-------------------------------------------

Que es un Dispositivo Medico?

•Algunos dispositivos se clasifican como dispositivos médicos, y otros no.

•Hay muchas zonas grises – por ejemplo, el iPad no es un dispositivo médico por si mismo, per si fuese usada para ver una imagen medica, como la fotografía a la derecha, ?se convierte entonces en dispositivo médico? No esta claro desde un punto de vista reglamentario y gubernamental AHORA MISMO… pero es fácil que cambie.

6

Los dispositivos médicos son similares a los sistemas SCADA.

- Especializados- Fundados en COTS- Largo plazos operativos- Sin inactividad, las operaciones críticas- No está diseñado para ser actualizado (patched)- Mantenimiento del proveedor “Black Box”

La “Década Perdida" es una referencia a un blog de Dale Peterson en DigitalBond. El punto principal es que hemos permitido que los vendedores se laven las manos en cuanto de la responsabilidad y presionar para obtener software SCADA más seguro. Tenemos más riesgo que nunca, y realmente tuvimos la oportunidad de cambiar las cosas, pero lo fastidiamos ...

7

Habitación Conectada Moderna de Hospital

Daros cuenta de todos los ordenadores y material médico. La mayoría son Windows, o tal vez un Linux embebido.

En un futuro próximo veremos más dispositivos.

También veremos mas accesos remotos – con médicos especialistas que operan desde cientos de kilómetros de distancia

8

Las Redes Medicas son Complicadas

-----------------------

Las redes médicas son muy complicadas.

Hay muchos dispositivos diferentes, sistemas operativos, protocolos (incluyendo inalámbricas)

El núcleo de la red esta compuesto de las cosas de siempre - switches, routers, etc

Prestar atención a la BAN (Red de Area del Corporal?)- esto va a ser un área de crecimiento y los nuevos dispositivos de salud personales ahora se van a conectar a la red. Tal vez algún día los sensores nano irán en el flujo sanguíneo - cada uno con una dirección IPv6!

9

Y seguro pensabais que no tenía corazón

Pues es cierto, Dick Cheney no tiene latidos cardiacos. La bomba hace un ruido "whhhiirrrr"!

10

Este es un cuadro aterrador. A los de marketing les gusta mucho.

Pero es un buen ejemplo de cómo la mayoría de las personas ven esta tecnología, y cómo se adapta.

11

Algunos ejemplos de dispositivos médicos para uso personal.

12

La abuela tiene un ordenador nuevo! Y se conecta a su invento de presión arterial!

Este es un producto de Intel en el proceso de pruebas y ensayos clínicos.

Ofrecerá videoconferencia, conexión a dispositivos médicos como los de presión arterial, glucosa, etc

Proporcionará recordatorios de los medicamentos, alertas, recordatorios de citas.

Mi predicción es que ésta será la primera solución importante para el uso médico en casa. * * * * Quizá veamos esto en Defcon 20;-)

13

La calidad del software no es muy buena en los dispositivos médicos, y ha habido muchos programas rescindidos

Los vendedores no garantizan la seguridad del producto y es la "misma vieja historia" de que la seguridad es cosa secundaria, y luego tener que acoplar la seguridad como se pueda, en lugar de incorporarla desde el prinicipio

Los dispositivos médicos son complejos y es suficientemente difícil el que los dispositivos trabajen en un principio – y ahora hay que hacerlos ‘seguros’?

La integración dentro de la infraestructura de Nuevas Tecnologías (NT) significan una superficie de ataque más amplia

Más dispositivos pueden provocar interferencias en las frecuencias inalámbricas entre los dispositivos

14

Ahora forma parte de los sistemas integrados de información

Falta de reglamentación y supervisión de la FDA y FCC, pero esto está cambiando

Quién es el dueño del problema? ¿Quién paga por el arreglo? ¿Cuáles son los costos y quién los lleva? Proveedores, integradores, consultores, médicos, pacientes?

15

Esto va a empeorar antes de que mejore

Hoy en día, hay problemas con la manera de medir y dar seguimiento a las vulnerabilidades de los dispositivos médicos

Confiar en que el personal médicos informarme de los errores.

Hay gran cantidad de reportes informales, historias de bugs (errores), y ataques

Estamos en los inicios de la ciencia forense de los dispositivos médicos, siendo capaces de reconocer un ataque o un bug (error)

Esperen muchas “manos-en-las-caras = facepalms“ porque es frustrante y vamos a ver un montón de errores estúpidos y ataques que no deberían tener ninguna oportunidad.

Es como 1995 en relación a la seguridad y los dispositivos médicos. Ni siquiera hemos visto el "ping de la muerte" todavía!

16

Una pesadilla de posibilidad real es la n ataque Stuxnet contra los equipos médicos - como una máquina de radiación

¿Quién haría esto?

terroristas

Empresas que intentan hacer daño a la competición en el mercado

Hackers, hactivistas, empleados descontentos

Esto es lo que a los medios de comunicación les gusta reportar. Es “sexy" y asusta a la gente.

La realidad es que esto es posible, pero no es muy probable que ocurra PRONTO. Pero lo veremos en los próximos 2-5 años.

17

¿Cuáles son los riesgos más grandes a los dispostivos médicos hoy en día?

1. Mal software2. Equipo médico con sistema operativo Windows se infecta con un virus / gusano3. Empleado malo o estúpido -. Por ejemplo, mira su correo en el web con el navegador del dispositivo médicos ... Sí, esto pasa todo el tiempo!

Otros riesgos son los que ya he hablado en la diapositiva anterior.

18

¿Qué os hará daño?

Cosas como los apagones eléctricos causados por un tipo a 300 kilómetros.

Y, por supuesto, los generadores de respaldo que fallaron en dos hospitales.

Tuvieron que desplazar a la gente de la Unidad de Cuidados Intensivos (enfermos más graves) a otros hospitales - el transporte, el movimiento, el estrés

19

Un estudiante de 17 años de edad en Florida obtuvo identificación legítima

Fue descubierto porque quería acceso a más áreas del hospital y esto llamó la atención - también hizo algunas declaraciones extrañas (policía secreta en un caso en secreto)

Estas son situaciones difíciles con gente tan joven. Difícil de comprobar el historial de antecedentes.

Tal vez pensó que el era Frank Abagnale de la película "Atrápame si puedes?

20

El guardia de seguridad infectó los ordenadores del hospital con su propio botnet especial.

También invadió la climatización del hospital (calefacción y aire acondicionado)

Chuleó en internet de un Fire Sale (liquidación) – Igual que la película Die Hard 4 y el ataque cibernético "Everything Must Go“ (Afuera con Todo). Llamó mucho la atención.

Localizado y pillado en internet por Wesley McGrew.

Ahora esta en la cárcel de Texas para 9 años. Y no hay aire acondicionado en las cárceles de Texas.

21

Points:

This was the first major medical device failure caused by a software bug.

Killed several people. Injured many others.

Root cause was a race condition programming error that would give 125 times normal dose.

22

Points:

McAfee software update put many PCs into a non-bootable state. Each PC had to physically be worked on to recover.

This affected many hostpitals.

Great example of how complexity is the enemy of security. This is supposed to protect you and instead hurts you!

23

Points:

Kind of a philosophical slide

What does it mean to be secure?How can you prove something is secure? You cannot do this!

If someone tells you “it is secure” the first question you should as is “secure from what?”

In computer security, you can only prove that it resists tested attacks.

24

Points:

Because of academic research and recent hacker conference presentations, medical device security is now HOT.

I’m not overly impressed. MEH.

25

La seguridad de dispositivos médicos puede estar al día ahora, pero lleva años, por lo menos desde 2003.

Muchas reuniones, documentos de mejores prácticas, "tenemos que trabajar juntos"

En 2005, la FDA proporcionó información sobre cómo y cuándo se debe aplicar lasactualizaciones (patches). El problema con la actualización de dispositivos médicos es que si hay cambios en el funcionamiento, tienen que volver a pasar por la re-certificación del FDA, lo cual es caro, complejo y lleva tiempo.

26

Points:

Esta debe ser la diapositivas que de más miedo.

¿Por qué? Porque dice que no hay nadie que en realidad regule el software.

La FDA no regula software. Solo regula los dispositivos médicos.

Estamos de vuelta a la pregunta de "¿qué es un dispositivo médico?"

27

Points:

Sin embargo, la FDA hace algunas cosas bien, como las bases de datos de informes, como puede ser MAUDE

Esto proporciona un seguimiento de los asuntos, y hay varias categorías relacionadas de seguridad para la búsqueda

28

Points:

Este es un ejemplo de búsqueda libre de texto con "buffer overflow" y los 10 registrosresultantes.

29

Points:

Hablaré de quienes son los “jugadores importantes’ de las areas en estos días.

30

Points:

Todas estas personas tienen páginas web de la Universidad, trabajos, etc. en internet.

31

Presentaciones sobre dispositivos médicos del 2011 Blackhat y Defcon 19

Jerome Radcliff - hackeando su propia bomba de insulina

Tim Morris Elrod y Stephan – Muchachos de seguridad Fishnet. Trabajando con herramientas de Dicom Fuzzing. Ver el sitio web Fishnet para más información.

32

Points:

¿Qué vamos a ver en los próximos 2 años?

Más de lo que los investigadores de seguridad pueden obtener ...

Dispositivos médicos personales (hackeos propios)Equipos médicos de gama baja (Ebay)Gabinetes de dispensación de fármacos (dispositivos de terceros?)Equipos médicos de casa (véase el recuadro de la abuela)Otros equipos médicos (desfibrilador)

33

Points:Points:

A los Hackers les encanta la documentación. Les permite aprender todo sobre el software. Las compañías de dispositivos médicos suelen mantener un control muy firme sobre los documentos

Normalmente no es nada fácil el poder encontrar manuales técnicos, guías de administración, etc

El acceso a los dispositivos puede ser difícil. Las leyes de los Estados Unidos restringe la venta de algunos tipos de dispositivos – hace falta ser un proveedor de salud legítimo, como un médico, etc

Hay un mercado de terceros es un área muy ‘gris’. Si te esfuerzas mucho en encontrar un dispositivo, es probable que lo encuentres.

Las excepciones serían los dispositivos para implantaciones ... esas son muy difíciles de conseguir.

34

Points:

Estos son algunos ejemplos de lo que he encontrado haciendo una búsqueda por “medical ethernet” en el Ebay de los Estados Unidos.

Si quisiera atacar ciertos dispositivos, los compraría de Ebay, y empezaría a hacerles ataques de red.

Si tiene un interfaz de red, es una victima para escaneos completos de puertos, nessus, fingerprinting , etcBuscar cualquier servicio de escucha e ir a por ellos. Probablemente vereis telnet, etc

Consejo Pro: Análisis pasivo (sniff) del interfaz de red mediante un hub durante el arranque inicial (boot) del dispositivo. “llama a casa" por la red?

35

Points:

Hay muchos apps (programas) médicos disponibles para Apple y Android.

Algunos son sólo para introducir datos, como el seguimiento de presión arterial y la entrada de datos manual.

Otros programas muestran imágenes especiales, como los rayos X

Creo que tenemos tener el Mes de Bugs de Apps Médicoss (Més de Errores de Programas Médicos) para llamar la atención al asunto. Aún mejor sería un trimestre de Bugs (Errores) –eso sería 90 días, con un error diferente para un App diferente cada día.

Mira lo que está pasando con SCADA. DerbyCon es una nueva conferencia de hackers. Cien SCADA bugs durante cien días de presentación.

36

Points:

Tendencias a seguir

Vamos a ver un conflicto entre la industria y el gobierno a sobre los dispositivos médicos

¿Qué es un dispositivo médico? ¿Quién tiene el poder de regularlos?

Podeis esperar la influencia de la política y el dinero lobby (intereses especiales?). La industria de dispositivos médicos gasta mucho dinero en donaciones (lobby) a los políticos.

La pregunta más importante de todas: ¿Quién es responsable desde el punto de vista legal? ¿Quién puede ser demandado si algo malo occurre?

La Corte Suprema de los Estados Unidos dictaminó que si el dispositivo está aprobado por la FDA, entonces hay “riesgoslimitados" - esto significa que la compañía podría tener que pagar por daños y perjuicios, pero no tanto como si el daño fuese debido a la negligencia.

Podemos esperar más miedo, más incertidumbre, más duda y sensacionalismo de los medios de comunicación - haciendo que el reportaje aparente ser una amenaza mayor de lo que es en realidad.

37

Points:

Tener en cuenta que en prácticamente todos los reportajes de investigación, las empresas y los productos específicos no son mencionados. Si llega a haber una revelación completa, mucha más información y nombres de empresas se harían públicos.

Yo creo que esto se debe a que muchos investigadores tienen miedo de ser demandados por las empresas.

Además, los investigadores académicos universitarios quieren dinero de financiación, por lo que no quieren alienar (enfadar) a las empresas y la industria.

Algunos investigadores son diferentes. Jerome Radcliff en un primer momento no dio el nombre de la empresa en su presentación Blackhat porque estaba trabajando con ellos. Sin embargo, la compañía Medronic y el tienen diferencias de opiniones sobre las reparaciones y otros temas, y ahora para poner más presión sobre Medtronic, Jerome ha hecho más información pública.

Esta es una situación a seguir.

38

Points:

La seguridad de la industria de la salud es un área muy puntera. La demanda crecerá para los profesionales de la seguridad en los próximos años.

¿Por qué? Debido a las nuevas tecnologías (como el expediente médico electrónico) y los nuevos riesgos.

Hay varias opciones a dónde ir: los vendedores / fabricantes de dispositivos, como consultor, el trabajo en el hospital de NT

Observar los jugadores grandes y de seguridad médica de NT - Realmente están tratando de meterse al mercado!

Algunas firmas de boutique chulas como Fishnet

39

Points:

Si queris hacer algo de hacking, ¿por qué no hacer una evaluación de seguridad de los programas médicos?

Recuerdar que hay muchos - En torno a los 17.000 (diecisiete mil)

Recomiendo encontrar Bugs en programas múltiples, y publicar un "mes de errores programas médicos"

Crear un entorno de pruebas en su PC – usar los kits de desarrollador de Apple y Android.

Que buscar en los errores de programas (Bugs)?

Información personal oculta en el programa (App)Intenta leer, escribir, modificar / cambiar o destruir los datos en el AppCrash (chocar?) y obtener el código ejecutable l33t

Ser hackers Whitehat y enviar vuestros errores a CERT / CC, la FDA y la FCC

Escribir documentos técnicos, publicar vuestras herramientas, hablar en conferencias de seguridad

40

Points:

Algunos recursos útiles.

USENIX HealthSec tiene documentos y algunos videos de charlas. Es una fuente muy buena. Sólo lleva dos años, así que obviamente es un tema nuevo.

41

Points:

Medical Device Security Center - la mayoría son académicos aquí, pero algunos artículos son buenos

Guía de aislamiento (Isolation Guide) es como el Departamento de Asuntos de Veteranos en los EEUU maneja la seguridad de dispositivos médicos - tienen 50.000 (cincuenta mil) dispositivos y han creado 3.500 (tres mil quiñientas) VLANs separadas. Este es un buen comienzo, pero hay un montón de gastos generales en relación a la gestión de cambios, tanto en la red y como con las nuevas características de los dispositivos.

42

Points:

MDISS - tiene un documento de cuestionario muy útil para dar a los fabricantes de dispositivos médicos - les pregunta sobre la seguridad en el producto de una manera técnica. Este documento es viejo y necesita una reforma, pero es un comienzo.

Carolina del Norte tiene un cuestionario técnico más adecuado para dar a los vendedores. Si combináis este con el documento MDISS, ahí ya tendreis un buen conjunto de preguntas.

“Killed by code” ("Asesinado por el código“)- es un documento defendiendo el Código abierto (open source) en los dispositivos médicos. Hay muchos abogados en esta organización y es una a seguir conforme las vulnerables van aumentando y llaman la atención del público, y los abogados se involucran más.

Therac-25 - algunos documentos sobre el primer fallo terrible de dispositivo médico que mató a la gente.

43

Points:

Empecé MedSec en LinkedIn hace aproximadamente 2 años. El grupo cuenta ahora con más de 200 personas. Muchos de los académicos que he mencionado aquí pertenecen al grupo, y también la personas de grandes empresas, proveedores de equipos médicos, consultores, etc

Por favor enviar una solicitud para unirse al grupo y yo les apuntaré. Mucha de la información son las noticias, artículos, charlas, investigación, etc que pongo yo. También es una buena manera de ponerse en contacto con otros investigadores y empresas.

Podéis contactarme por correo electrónico usando shawnmer@ufl.edu o shawnmer@gmail.com

44