TM_129

8 14|9|2022 #129 Τα τρωτά σημεία στις μονάδες μπαταρι- ών για συσκευές ιατρικών αντλιών έγχυ- σης που κατασκευάζονται από την Baxter θα μπορούσαν να επιτρέψουν πρόσβαση στο δίκτυο, επίθεση DoS και επιθέσεις man-in-the-middle, υπογραμμίζοντας τα ζητήματα ασφάλειας σε IoT και την ανά- γκη να παροπλιστεί σωστά ο εξοπλισμός, αναφέρει η εταιρεία ασφαλείας Rapid7. Η ευπάθεια βρέθηκε σε αλληλεπίδραση μεταξύ ενός συστήματος μπαταρίας με δυνατότητα Wi-Fi και μιας αντλίας έγχυ- σης για τη χορήγηση φαρμάκων. Το πιο σοβαρό ζήτημα αφορά στην αντλία έγχυσης SIGMA Spectrum της Baxter International και το συσχετιζόμε- νο σύστημα μπαταρίας Wi-Fi, ανέφερε η Rapid7. Η επίθεση απαιτεί φυσική πρό- σβαση στην αντλία έγχυσης. Η ρίζα του προβλήματος είναι ότι οι μονάδες μπατα- ρίας Spectrum αποθηκεύουν πληροφο- ρίες διαπιστευτηρίων Wi-Fi στη συσκευή σε μη πτητική μνήμη, πράγμα που σημαί- νει ότι ένας εγκληματίας θα μπορούσε απλώς να αγοράσει μια μονάδα μπαταρί- ας, να τη συνδέσει στην αντλία έγχυσης να την ενεργοποιήσει και να την απενερ- γοποιήσει άμεσα, για να αναγκάσει την αντλία έγχυσης να γράψει τα διαπιστευ- τήρια Wi-Fi στη μνήμη της μπαταρίας. Η Rapid7 πρόσθεσε ότι η ευπάθεια εγκυμονεί τον πρόσθετο κίνδυνο ότι οι απορριφθείσες ή μετα-πωλημένες μπα- ταρίες θα μπορούσαν επίσης να αποκτη- θούν για τη συλλογή διαπιστευτηρίων Wi-Fi από τον αρχικό οργανισμό, εάν αυτός ο οργανισμός δεν έχει φροντίσει να διαγράψει τις πληροφορίες από τις μπαταρίες πριν τις απορρίψει. Η εταιρεία ασφαλείας π ροειδοποίησε και για πρόσθετες ευπάθειες, συμπεριλαμ- βανομένου ενός προβλήματος telnet που περιλαμβάνει την εντολή «hostmessage» που θα μπορούσε να χρησιμοποιηθεί για την προβολή δεδομένων από τη στοίβα δι- εργασιών της συνδεδεμένης συσκευής και μια παρόμοια ευπάθεια συμβολοσειράς που θα μπορούσε να χρησιμοποιηθεί για ανάγνωση ή εγγραφή στη μνήμη της συ- σκευής ή για τη διενέργεια επίθεσης DoS. Επιπλέον, οι μονάδες μπαταριών που δο- κιμάστηκαν ήταν ευάλωτες σε επιθέσεις αναδιαμόρφωσης δικτύου χωρίς έλεγχο ταυτότητας χρησιμοποιώντας πρωτόκολλα TCP/UDP. Ένας εισβολέας που στέλνει μια συγκεκριμένη εντολή XML σε μια συγκε- κριμένη θύρα της συσκευής θα μπορούσε να αλλάξει τη διεύθυνση IP αυτής της συ- σκευής, δημιουργώντας τη δυνατότητα επιθέσεων man-in-the-middle. Για τα τρωτά σημεία των telnet και TCP/UDP, η λύση είναι η προσεκτική παρακολούθηση της κυκλοφορίας δι- κτύου για τυχόν ασυνήθιστους host που συνδέονται με την ευάλωτη θύρα —51243— των συσκευών και περιορί- ζουν την πρόσβαση σε τμήματα δικτύ- ου που περιέχουν τις αντλίες έγχυσης. Η Baxter έχει επίσης εκδώσει νέες ενη- μερώσεις λογισμικού, οι οποίες απε- νεργοποιούν το Telnet και το FTP για τις ευάλωτες συσκευές. Του Στάθη Ασπιώτη Ευπάθεια ιατρικής συσκευής θέτει σε κίνδυνο διαπιστευτήριαWi-Fi Ψηφιακό Σύστημα Υγείας στην Κύπρο από τον ΟΤΕ Ο ΟΤΕ, μέσα από ανοιχτό διεθνή διαγωνισμό, υλοποιεί ολοκλη- ρωμένο πληροφοριακό σύστημα υγείας για το Εθνικό Σύστημα Υγείας της Κύπρου. Πρόκειται για ένα εμβληματικό έργο του Υπουργείου Υγείας της Κύπρου και του Οργανισμού Κρατικών Υπηρεσιών Υγείας (ΟΚΥπΥ), με στόχο την αναβάθμιση, απλο- ποίηση και αυτοματοποίηση των διαδικασιών και των παρεχό- μενων υπηρεσιών υγείας προς τους πολίτες της Κύ- πρου, με τη συνδρομή της τεχνολογίας. Το έργο περι- λαμβάνει τον λειτουργικό, επιχειρησιακό και τεχνο- λογικό εκσυγχρονισμό του συνόλου των Δημόσιων Μονάδων Υγείας (νοσοκο- μείων και κέντρων υγείας). Με το ολοκληρωμένο πλη- ροφοριακό σύστημα υγείας που θα υλοποιήσει ο Όμι- λος ΟΤΕ, η διαχείριση του φακέλου υγείας του ασθε- νούς και όλη η διαδικασία της νοσηλείας, από την εισαγωγή του στο νοσοκο- μείο μέχρι το εξιτήριό του, συμπεριλαμβανομένης της συνταγογράφησης, θα γίνονται πλέον ηλεκτρονικά. Στο σύστη- μα θα εντάσσονται, επίσης, οι επιχειρησιακές λειτουργίες των μονάδων υγείας, όπως η διαχείριση των κλινικών εργαστηρίων, της Μονάδας Εντατικής Θεραπείας, της Τράπεζας Αίματος, αλλά οι διοικητικές λειτουργίες, όπως η διαχείριση του ανθρώπινου δυναμικού, ο έλεγχος δαπανών, η διαχείριση αποθεμάτων και εγκαταστάσεων, κ.ά. Για την υλοποίηση του έργου, ο ΟΤΕ αναλαμβάνει τη μελέτη εφαρμογής, τη σχεδίαση, την ανάπτυξη, καθώς και την εγκα- τάσταση εξειδικευμένου λογισμικού, καθώς και την υλοποίηση δύο πλήρως εξοπλισμένων ιδιωτικών data centers. Επιπλέον ανα- λαμβάνει την προμήθεια και εγκατάσταση του συ- νόλου του περιφερειακού εξοπλισμού (PCs, laptops, tablets, κ.λπ.), ενώ θα εκ- παιδεύσει το διοικητικό και επιστημονικό προσωπικό των μονάδων υγείας ως προς τη χρήση του εξοπλι- σμού και των επιμέρους υποσυστημάτων του πλη- ροφοριακού συστήματος υγείας. Το ιδιαίτερα σύνθετο αυτό έργο έχει συνολική διάρ- κεια έως 16 έτη. Η ανάπτυξη των συστημάτων θα υλοποιηθεί εντός 2 ετών, με τον ΟΤΕ να αναλαμβάνει για 8 συν 5 χρόνια και τη λειτουργική υποστήριξή τους.