raoul

Raoul “Nobody” Chiesa

President, Founder, Security Brokers ScpA

Membro del Permanent sStakeholders Group presso l’ENISA (European Union Network & Information Security Agency)

Socio Fondatore del CLUSIT, Associazione Italiana per la Sicurezza informatica

Board of Directors dell’ISECOM, Institute for Security and Open Methodologies

Cultural Attachè e Responsabile Italiano dell’APWG, Anti-Phishing Working Group, European Chapter

Senior Advisor on Cybercrime and Hacker’s Profiling presso l’UNICRI, United Nations Interregional Crime & Justice Research Institute

Membro del Comitato Scientifico dell’OPSI, Osservatorio Privacy & Sicurezza Italiano presso AIP (Associazione Informatici Professionisti)

Scenariu

Ne aflăm în plină “eră digitală” (Digital Age), trăim într-o societate a informaţiei care vrea să fim online constant, conectaţi şi “sociali”: trecerea de la Web 2.0 la “the next thing” este gata să se întâmple. În acest scenariu ajunge, în toată Europa, e-Government, adică administraţia publică tinde să devină integral online, şi odată cu ea toate datele noastre de cetăţeni, deveniţi cu toţii digitali. Dar acest trend nu este nimic în comparaţie cu ceea ce urmează, adică paradigma Internet of Things (IoT) sau, cum este deja denumită de unii, Internet of Everything (IoX).

Acest IoX a apărut acum câţiva ani şi devine tot mai important pe zi ce trece, cu tot mai multe dispozitive pe care le purtăm asupra noastră, mult mai invazive decât Goggle Glass: de la pace-makere care comunică prin Bluetooth la pompe de insulină acţionate prin Wi-Fi, la automobile inteligente care se vor conduce singure (şi care oricum deja în ziua de azi au o adresă de IP), la electrocasnice, unde avem deja frigidere care emit spam-uri, până la varianta „urbană totală”, adică ceea ce numim smart cities. Să nu uităm, în acest context, de IPv6 şi de toate noile vulnerabilităţi pe care le va aduce cu el, aşa cum se întâmplă mereu cu fiecare nou protocol complex şi la fiecare nouă implementare.

Revenind la contextul de sănătate şi security, este evident că sănătatea devine şi ea digitală, aceasta fiind o evoluţie naturală. Această schimbare este însoţită de legi, normative şi decrete, dar şi de necesitatea de a optimiza timpii şi costurile sistemului medical central şi local, prin voinţa mişcării e-Governement a fiecărei ţări în parte dar şi prin îndeplinirea planurilor şi directivelor aprobate la nivelul Uniunii Europene.

Începem deja să avem probleme foarte serioase, ca de pildă cu anumite pace-makere sau cu pompele de insulină, unde vânzătorii din companiile IT de e-sănătate produc şi comercializează platforme, softuri şi sisteme absolut nesigure sau, mai elegant spus, al căror aspect de securitate al informaţiilor nu este nici pe de parte o prioritate.

Acest fenomen se întâmplă deoarece operatorii din domeniul sănătăţii nu au (în afara câtorva excepţii foarte rare) o viziune şi o educaţie suficientă asupra noilor provocări legate de ICT Security. Dacă observăm tendinţele din ultimii 2-3 ani, mai ales cele provenind din lumea ethical hacking dar şi a Cybercrime, sectorul medical este, cu siguranţă, una dintre următoarele ţinte cu risc foarte ridicat. Aceste informaţii trebuie să ne preocupe în acest context al IoX şi al dispozitivelor “implantate în corpul uman”!

Hacking-ul dispozitivelor medicale

Este suficient să căutăm pe Google “hacking medical devices” pentru a verifica şi a înţelege ceea ce am afirmat mai sus: în 2010, rezultatele acestei căutări numărau câteva sute de mii (reprezentative, adică, ale cercetării întreprinse atunci de comunitatea underground), iar în 2012 au ajuns la aproape trei milioane şi jumătate, pentru a ajunge azi la cifre care ating de la unul la patru milioane, în funcţie de ţara sau VPN-ul cu care se face căutarea.

În ceea ce priveşte faimosele pompe de insulină despre care am amintit mai sus, este incredibilă povestea lui Jerome Radcliffe, un ethical hacker, care a prezentat proiectul său “medical devices hacking” la Black Hat 2011. Când a împlinit 22 de ani, Jerome a pierdut dramatic din greutate în mai puțin de 2 luni, îi era sete continuu iar după o serie de analize, a descoperit că suferea de o formă foarte gravă de diabet.

Doctorul său i-a prescris injecţii de insulină, care trebuiau administrate între patru şi șapte ori pe zi. Folosirea unei seringi nu e confortabilă pentru nimeni, aşadar doctorul i-a propus un nou dispozitiv care iniectează în mod automat insulina în corpul uman. Acest dispozitiv era un dispozitiv “e-health”, adică copilul mariajului dintre progresul digital şi ştiinţa medicală şi era dotat cu comandă de la distanţă.

Jerome, fiind expert în domeniu, a hotărât să afle mai multe despre funcţionarea dispozitivului: a deschis un nmap dupa ce stabilise un link cu device-ul şi…, foarte puţin timp mai târziu, a prezentat descoperirile proprii la Black Hat, unind eforturile sale cu cele ale unei echipe de cercetători foarte cunoscuţi, printre care Travis Goodspeed, Shawn Merdinger şi regretatul Barnaby Jack (acelaşi care, tot la Black Hat, a adus un Bancomat pe podium şi l-a făcut să “scuipe bancnote” continuu).

Poveşti şi experienţe personale

În anul 2005 eram încă manager al primei firme înfiinţate de mine în 1997, când am fost contactat de un mare spital situat în Italia de Nord, care mi-a propus un contract de realizare a unei serii de Penetration Testings.

În domeniul medical, acest tip de verificări nu aveau precedent, datorită securităţii operative a gestiunii datelor pacienţilor şi mai mult, datorită instituirii obligativităţii actului normativ privind protecţia datelor personale, cunoscută de toţi în Italia sub numele de “196”.

Ceea ce descoperisem a fost – puţin zis – de-a dreptul halucinant, deoarece era pe departe cel mai prost nivel de securitate întâlnit, mai prost chiar decât cel al universităţilor italiene!

Dupa 3 ani de activităţi derulate în mod ciclic şi de activităţi punctuale (fiindcă securitatea este, înainte de toate, o metodologie organizată și procedurală), am reușit cu toţii să facem ca spitalul amintit să devină, ceea ce este încă şi azi, o mica bijuterie ICT security în acest sector.

Mai târziu, am fost contactat împreună cu echipa mea de alte structuri judeţene de sănătate şi de o serie de clinici private, pentru a verifica mai multe alte aspecte, printre care infidelitatea angajaţilor prin abuzul de utilizare a dispozitivelor IT şi verificarea scurgerii de informaţii medicale ce puteau fi vândute de insiders (digital forensics) precum și compliance în relația cu normele şi standardele în vigoare, mai ales cu cele din străinătate, unde sensibilitatea privind siguranţa în acest domeniu este mult mai mare.

Piața, inclusiv cea italiană, este foarte mare şi nu toate structurile medicale au capacitate de anticipare, chiar dacă acest lucru e foarte necesar. În iulie 2012, o structură judeţeană de sănătate din Italia de Nord a hotărât să fie “on-line”. Această decizie a fost dramatică, toate dosarele medicale ale pacienților s-au dovedit a fi accesibile de către terți (prin Internet), din cauza problemelor legate de SQL Injection (vulnerabilitate bazată pe web prin lipsa de securizare a input-urilor de către front-end-ul Web).

Puțin mai devreme, în 2011-2012, alte exemple (publice şi cunoscute) de “black-box security testing” şi de “reverse engineering” aplicate la produsele medicale au avut o creștere total neprevăzută. Lumea din “digital underground” a descoperit noile “jucării” cu care să se amuze. În aceste condiţii s-a apelat la  cercetători din domeniul security, iar descoperirile de fisuri şi vulnerabilităţi au început să plouă, – o adevărată furtună!

Dacă ne uităm un pic încă și mai devreme şi considerăm perioada din 2009 până azi, răspunsurile (cel puțin cele făcute publice) date de marii vendori ai lumii e-Health au fost egale cu zero.

Nicio deschidere publică pe tema vulnerabilităţii, nicio comunicare asupra “security patch”, nicio dezbatere cu experţi din domenii precum  InfoSec sau Ethical Hacking!

De parcă, dacă i-am asculta, abordarea clasică (şi complet greşită!) a “Security through Obscurity” ar funcţiona…

Problematici

Fără să ne întoarcem în timp atât de departe, revenim la datele medicale, la FSE (Fascicolo Sanitario Elettronico), de unde pleacă totul, bun sau rău, adică unitățile spitaliceşti judeţene, spitelele şi structurile medicale care gestionează dosarele noastre medicale.

Înainte să intrăm în detalii tehnice, trebuie să aruncăm o privire asupra organizării şi gestionării sănătăţii şi a motivelor atâtor disfuncționalităţi în domeniul digital:

  • structurile medicale (exact ca şi operatorii de telefonie mobilă) au încredere în ceea ce le spune vendor-ul în ceea ce priveşte “soluțiile sigure”;
  • operatorii structurilor medicale sunt prioritar focalizaţi şi implicaţi în operaţiuni tipice ale lumii medicale, cu o apreciere sporită către upgrade-uri de software, performanţe de reţea şi continuitate a aparatelor medicale, dar şi alte obligaţii de rutină foarte consumatoare de timp…
  • aceşti operatori dispun foarte rar de cunoștinţe in-house asupra tematicii ICT security;
  • în mod tipic, în structurile medicale, există o separare foarte rigidă între divizia de IT (sistemele informatice) şi “toți ceilalţi”, generând de fapt două domenii diferite de security;
  • rezultatul aceastei abordări este că cea mai mare parte a acestor structuri medicale sunt vulnerabile la atacuri externe şi interne.

Nu trebuie uitat în plus că, în cadrul licitaţiilor publice din Italia, factorul decisiv este întotdeuna preţul şi politica de a scrie dosarele de licitaţii “ad minima”; foarte rar citim în licitaţii vocea “securităţii informatice” sau impunerea explicită a metodologiilor de verificare a siguranţei precum cele ale OSSTMM/ISECOM (www.isecom.org și www.osstmm.org) sau OWASP (www.owasp.org) şi încă mai rar găsim o obligaţie clară de a implementa framework-uri ale S-SLDC (Secure Software Life Development Cycle).

Cu tot ceea ce am descris, concluzia este că, în general, atât software-ul cât şi aplicaţiile web (portaluri, CMS, front-end și back-end) care sunt vandute administraţiei publice de către firmele private sunt nesigure, pline de viermi şi de greşeli de programare, inclusiv cele mai cunoscute şi “clasice”, precum SQL Injections, Cross-Site Scripting etc.

Cazul ASL (i.e. unitate medicală judeţeană)

În Repubblica Inchieste a fost publicat recent un dosar special dedicat furtului de identitate, la care am lucrat personal cu jurnalistul Alessandro Longo.

În acest dosar special, printre multe alte subiecte şi cazuri prezentate, se vorbeşte despre un ASL şi despre date ale pacienţilor care sunt expuse şi accesibile publicului.

E vorba de un oraş de mărime medie din nordul Italiei, de circa 200.000 locuitori. Nici prea mare, nici prea mic. Într-un astfel de loc, probabil lăsat de o parte de către mafia licitațiilor trucate şi a puterilor transversale, ar fi de aşteptat să se acorde o atenţie deosebită securităţii datelor cu caracter personal ale cetăţenilor săi şi selecţiei de companii de software care scriu aplicaţii şi proceduri pentru a le gestiona.

Din păcate, Repubblica Inchieste a reuşit să obţină informaţii foarte clare din diferite surse, care reprezintă dovezi concrete şi incontestabile ce denotă o situaţie cel putin catastrofală: scenarii teribile, situații care merg mult mai departe decât o simplă jenă pe care ar avea-o ASL dacă ar fi cunoscute de către rău-voitori, traficanţi de date personale şi lumea obscură a Cybercrime.

Când, acum câteva luni, am fost contactaţi de către un informator, ne așteptam la ceva îngrijorător. Ne gândisem la clasica fisură de securitate în codul software utilizabil de către cetăţeni, la capacitatea atacatorilor de a citi, sau chiar a modifica datele personale ale pacienţilor: domiciliu, telefon, numere de securitate socială, date ale rudelor etc.

Realitatea faptelor despre care am aflat și pe care le-am verificat cu grijă, relevă cel mai teribil scenariu posibil de imaginat. Aș putea spune că rezultatele ne amintesc foarte mult de filmul “The Net” cu Sandra Bullock… dar, din păcate, noi nu suntem la Hollywood şi aici nu este vorba despre un film.

În continuare, am încercat să rezumăm lista acţiunilor comise şi consecinţele lor pentru pacienţi:

  • Adăugarea unui pacient în baza de date ASL;
  • Ştergerea unui pacient din baza de date ASL;
  • Crearea unei programări CUP la această unitate medicală, fără să stăm la coadă şi, mai mult, fără să plătim nimic;
  • Ştergerea unei programări CUP: în acest caz, vulnerabilitatea informatică are consecinţe grave în lumea reală. Să ne imaginăm programarea efectuată cu trei luni înainte de către un pacient care, cu o zi mai târziu, are şi o vizită la cardio-chirurg. Rău-voitorul poate efectua o substituţie în dosarul pacientului, astfel încât, atunci când se va prezenta pacientul real, programarea sa să fie respinsă, pentru că doctorul așteaptă o altă persoană. Ca şi când nu ar fi suficient, în plus de dauna suportată, vine şi jignirea: în cazul în care pacientul real face o contestaţie, el nu se va putea baza pe nimic decât pe o programare anulată de sistem, pe cand pacientul “adăugat” va avea în mâna sa documentul ştampilat cu o programare validă. Cu aceste date, putem lansa şi ipoteza unei vânzari de programări de către grupări criminale, structurile medicale nemaistăpânind propriul sistem informatic.
  • Adăugarea unei plăţi care nu a fost făcută niciodată, pentru unele prestaţii (examen medical, analize, etc.): în acest caz, posibilitatea pentru criminali de a folosi fisura informatică pentru a face bani uşor, este foarte concretă.
  • Accesarea istoricului tuturor programărilor efectuate de pacienţi în orice structură a unităţii medicale menţionate: examinări, vizite, analize, operaţii…. Totul!

În acel moment, ne-am stabilit întrebările şi ne-am imaginat unele scenarii, cu siguranţă nu plăcute pentru cei care au ghinionul de a fi înscrişi în acest ASL al ţării noastre.

CE AR PUTEA FACE CRIMINALII CU ACESTE DATE?

Desigur, o astfel de arhivă de date va fi apetisantă pentru o mulțime de persoane, din motive şi obiective foarte diferite. Un prim comentariu al nostru este, evident, legat de piaţa neagră a datelor personale în lumea infracțiunilor, adică acele date esenţiale pentru a crea fraude financiare precum cele pe care Repubblica le ilustrează în alte servicii de anchetă.

Presupunând totuşi, alte scenarii ilegale, am explicat această situaţie unui tânăr expert în securitate informatică, Pawel Zorzan Urban, şi i-am cerut opinia.

“Mă pot gândi imediat la revânzarea ilegală a acestor date”, spune Zorzan Urban, “poate unui cumpărător care poate asigura un profit ridicat. Să ne gândim la lumea asigurărilor, să ne imaginăm că asigurarea analizează posibilitatea de a accepta asigurarea de viaţă a unui client”.

“Din datele achiziţionate de la ASL, asiguratorul află că clientul face câte o vizită oncologică la fiecare şapte zile. Acest exemplu nu ne împiedică desigur să ne gândim la scenarii mai clasice”, continuă Pawel Zorzan, “cum ar fi vânzarea acestor date unor grupuri specializate în furtul de identitate. Baza de date de care mi-aţi vorbit, de fapt, conţine toate datele necesare pentru cei care comit furtul de identitate, deoarece sunt prezente în arhivele digitale ale acelui grup spitalicesc datele fiecărei persoane care a fost, chiar şi numai o singură dată, într-una dintre secţiile medicale din grup”.

Să ne imaginăm acum un scenariu diferit: haideţi să luam un orăşel cu un primar foarte expus, fie pentru că aparţine unui anumit partid politic, fie din alte motive. Ideea de a pune online datele private ale acelui primar şi ale familiei sale aminteşte de strămoşeasca “expunere pe căruţă” (condamnatul era legat pe o căruţă şi expus la înjurături, huiduieli şi scuipat de către cetăţeni, n.d.r.) în variantă digitală şi 2.0.

Pe de altă parte, vorbim despre un ASL cu aproape 500.000 de pacienţi activi şi circa 25.000 dintre ei cu programări active pentru următoarele 60 de zile de la data discuţiei…

Nu sunt numere mici şi este de reţinut faptul că daunele unei astfel de falii informatice sunt incalculabile. Dacă această situație va fi făcută public, să nu ne mirăm dacă se va depune un recurs colectiv în judecată împotriva grupului medical amintit mai sus, aşa cum deja a fost cazul şi este des cazul în SUA, în mai multe sectoare, printre care şi cel financiar, exact din cauza vulnerabilităţilor informatice.

În fine, nu putem exclude o luare de poziţie serioasă din partea Garantului Italian al Datelor Personale, care foarte probabil ar începe cu amenzi usturătoare la adresa structurii medicale incriminate, obiectul investigaţiei noastre.

Ceea ce ne întrebăm acum, însă, merge mult mai departe decât acest exemplu. Câte grupuri medicale din țară şi din străinătate expun în mod atat de iresponsabil datele pacienţilor? Câţi tineri hackeri au identificat deja fisuri în multe alte site-uri web ale administraţiei publice şi/sau au profitat deja să vândă pe bani grei rezultatele  obţinute de către grupări organizate de cybercrime.

Concluzii

  • Domeniul Information Security aplicat lumii e-Health este în fază preistorică.
  • Există o nevoie extremă şi imediată de:
    • cercetare aplicată,
    • teste de securitate a dispozitivelor (Ethernet, WiFi, Bluetooth, ZigBee…),
    • teste de securitate a software-ului, (poate chiar înainte de a fi cumpărat!),
    • sensibilizarea publicului din domeniu,
    • cultură şi conştientizare atât a personalului informatic cât şi medical şi mai ales cel managerial.
  • Problema este foarte diferită faţă de cea a ICT Security din lumea financiară, TLC etc…, pentru că aici vorbim în special de vieţi umane aflate în joc!