En el marco de la 11° edición de ekoparty, los costarricenses Bertin Bervis Bonilla y James Jara desarrollaron su charla llamada “SSL Certificate Massive Analysis… and Medical Applications Fingerprinting”. En su exposición, ambos investigadores demostraron cómo funciona un buscador de Internet de las Cosas que desarrollaron, llamado NetDB - The Network Database Project, el cual les permitió encontrar información relacionada a dispositivos médicos.
En algunas otras ocasiones hemos escrito acerca de Google hacking, pero en esta ocasión profundizaremos sobre un tema relacionado, basándonos en dos principios vinculados: la evolución de Internet de las Cosas y de la Industria 4.0. Analizando el panorama de la seguridad informática es lógico observar que día a día abre más su abanico de opciones en lo que refiere a vectores de ataque, y en este caso veremos cómo los investigadores mediante su herramienta detectan a múltiples dispositivos de diversas industrias.
En la exposición, demostraron de qué manera funciona su buscador NetDB:
El algoritmo que funciona como robot de búsqueda monitorea todo Internet aleatoriamente las 24 horas del día, basándose en las respuestas de TCP/UDP/SNMP. Implementado en unos 50 puertos, consulta cada IP pública de todos los sistemas autónomos del mundo, indexando banners de cada respuesta, como por ejemplo las cabeceras HTTP, los banners de puertos de Telnet y SSH.
Al analizar la huella digital y el certificado correspondiente, se vuelca información como nombres de empresas, dominios y países a una base de datos del tipo Big Data.
Más de 18 millones de resultados de todo el mundo están presentes en este buscador, y se pueden consultar por puertos o palabras claves. De este modo, se identifican los distintos dispositivos como dispensadores de combustible, por ejemplo, que normalmente están relacionados a determinados puertos o servicios.
Como podemos observar en la siguiente imagen, estos dispositivos permiten conectarse sin mayores problemas mostrando los niveles de combustible disponibles mediante una simple conexión vía Telnet.
De este modo, la charla se enfocó en lo sencillo que es identificar dispositivos y aplicaciones médicas consultando la base de datos en la información contenida de los certificados SSL de todo el mundo. Dentro los dispositivos encontrados, los investigadores profundizaron sobre algunos puntuales como estetoscopios, PACS servers o IMPAX servers, entre otros.
Buscando la cadena "medical", “IMPAX,” o “PACs” en la información del sistema autónomo o dentro de los certificados, el buscador devuelve una cantidad de IPs o servidores con dichos servicios expuestos a Internet. En muchos casos estas aplicaciones poseen servicios o usuarios por defecto que no han sido deshabilitados, incrementando aún más el riesgo de una intrusión.
De este modo, los investigadores llegaron a mostrar algunas plataformas que se encontraban públicas con usuarios por defecto y mostrando alguna información guardada en el interior de los servidores.
Como conclusión, debemos destacar que debido a la potencia de estos buscadores es posible detectar dispositivos utilizados en diversas instituciones de salud, dejando expuestos resultados de análisis médicos e inclusive historias clínicas en Internet - con la única protección de un usuario y una contraseña en un sitio web. El daño potencial de una modificación de esta información podría ser catastrófico, tanto para la vida del paciente como para la reputación de la institución.
NetDB no solo apunta a dispositivos médicos, sino que también posee información sobre cámaras de seguridad, impresoras, turbinas eólicas, detectores sísmicos y otros equipos. Sin embargo, los investigadores se enfocaron en los equipos médicos para crear un poco de conciencia sobre la importancia de protegerlos en la infraestructura pública de Internet.
Si bien muchas veces la seguridad se confronta cara a cara con la funcionabilidad, los administradores de seguridad deberán ser conscientes del peligro que se corre al perder el control de esta clase de información crítica contenida en servidores. El impacto va más allá de la pérdida de información que podría ser recuperada desde una copia de seguridad; termina poniendo en riesgo la integridad física de las personas, por lo que debe ser resguardada con diversas capas de seguridad.
Utilizando VPNs, IDS, WAFs, Firewalls y distintos tipos de segundos factores de autentificación, se logrará incrementar los niveles de seguridad sin perder ninguna funcionalidad de los dispositivos, permitiendo a los profesionales de la industria de la salud seguir conectándose de forma remota pero más segura.