侦探工作通过多个关键系统的虚构巨型爆发痕迹
不安全的技术正在使医疗保健组织容易成为网络犯罪分子的猎物,以及有利可图的目标和巨大的目标,上周在《黑帽美国2020年》中的参与者听到了。
宾夕法尼亚州医院运营商Penn Medicine的信息安全总监Seth Fogie在上周的虚拟简报中,模拟了多个阶段的虚构数据泄露这总共损害了约225,000个记录。
他追溯了攻击者在涉及放射学,EMR停机,药物分配,护士呼叫和温度监测的多个集成系统中的运动。
福吉(Fogie)领导宾夕法尼亚医学的安全计划已有十多年了,他还提供了有关加强安全的建议卫生保健应用程序以及暴露的供应商的地方性失败,可以及时或正确地设计关键系统或贴合漏洞。
医疗保健部门的经济激励措施对于两者都是巨大的攻击者他指出,后卫还负担了保护患者数据甚至生活在最坏情况下的负担。
违反HIPAA的罚款与300万美元在2019年,虽然医疗保健记录在黑市上的价值大约是支付卡记录的40倍。Trustwave。
福吉说:“取决于你与谁交谈”,这种虚构的违规行为本来可以赚取225万美元的网络犯罪分子,达到2.25亿美元,仅仅损害了一个只有一个生态系统。
违反活检
正如Fogie在他的黑帽演示,宾夕法尼亚医学的安全团队遇到了一种场景,其中“爱丽丝”向诊所的安全部门提醒了恶意的信息 - “我将在看着你”,该信息出现在她丈夫'鲍勃'医院病房的电视上。
取证显示,攻击者“ Mallory”违反了患者教育系统的屏幕截图功能,该功能是损害更关键系统的桥梁。
Fogie预计但无法看到鲍勃的帐户,但未能看到身份验证提示。
但是使用Burp Suite,他发现了“返回包含出生日期,患者名称,beplay体育能用吗患者号码和房间号的XML的Web请求”,有500多个患者记录。
然后,他注意到Web插座升级请求,该beplay体育能用吗请求引用了Bob的四位数登录PIN引用 - 证明未经身份验证的API请求已通过“除了客户端以外没有验证”检索了患者数据。
Fogie的“危险信号指标”用于探索医疗保健系统
- 默认或明文凭据
- 数据库中缺乏凭证
- 通过客户端文件审核暴露的“秘密”
- 客户端/服务器协议设计错误
- OWASP 101包括API
- 客户端二进制评论或身份验证问题
- 直觉感觉有问题
误诊
然后,他推测,马洛里可能会违反一个系统,该系统捕获医生记录的程序和诊断信息。
如果是这种情况,攻击者可以以导致误诊的方式修改信息,或者“因为与保险有关”,则更高的护理费用。
使用DNSPY,调试器和.NET组装编辑器,他探究了客户软件代码的关键字,例如“加密”,“后门”和“秘密用户名”,并找到了“有两个特别令人不安的问题的代码段:后门参考和Dailypassword功能”。
然后,Fogie使用.NET FIDDLE SANDBOX分析Dailypassword代码并找到类似于密码的字符值。
将用户名后门和密码插入客户端界面,然后使后门完全访问100,000多个患者记录。
致命后果
与药物药物系统的整合还增加了马洛里修改药物处方的幽灵,并可能致命的后果。
Fogie发现,任何身份验证的用户都可以访问用作应用程序安装过程一部分的开放共享文件。
在共享文件中暴露的是一个配置文件,该文件使用解密SQL凭据函数解密了Fogie。这发现了似乎是默认供应商密码。
从这里开始,Fogie导航了几个步骤,以妥协本地管理员帐户和几个共享相同默认密码的供应商帐户。
AppSec处方
作为防御措施,福吉敦促他的其他医疗保健公司组织模仿Penn Medicine采取的安全措施。
例如,应用程序漏洞是通过健康信息共享和分析中心共享的(H-ISAC)。
宾夕法尼亚医学也会进行“ Lite”渗透测试在所有新产品上。这是基于团队的“ Penn”测试,以及建立战略安全应用程序测试目标以及持续的安全培训。
最后,Fogie建议安全审核,评估和笔测试应具有广泛的范围。
他解释说:“看看应用程序 - 不仅要查看Active Directory的工作原理或您在笔测试中寻找的普通内容。”“您可能会发现一些有趣和不同的东西,而不是扮演域名。”
