Bomba de infusão de remédio pode ser ‘hackeada’, revela pesquisador

Publicado em 11 de junho de 2015 por rbatori

Dosagem pode ser modificada, prejudicando o paciente.
Fabricante nega existência da vulnerabilidade

O pesquisador de segurança Billy Rios revelou a descoberta de uma vulnerabilidade em bombas de infusão de medicamentos que permite a hackers alterarem o sistema e controlarem a dosagem, injetando até quantidades letais do remédio. O problema foi encontrado em máquinas fabricadas pela empresa norte-americana Hospira.

A Hospira comercializa alguns produtos no Brasil e divulga um dos sistemas vulneráveis, o Plum A+, em seu site brasileiro. O G1 entrou em contato com a empresa para obter um posicionamento sobre a falha e sobre a comercialização de seus produtos no Brasil, mas não teve resposta até a publicação desta reportagem.

O site da “Wired”, que publicou a notícia, também tentou contato com a Hospira e não conseguiu. Rios, o pesquisador que descobriu a falha, entrou em contato com a empresa para comunicar a vulnerabilidade. Segundo ele, a companhia negou que seja possível realizar o ataque que ele descreve.

A Hospira teria alegado que o ataque não é possível porque há uma separação entre o módulo de comunicação, que é ligado à rede do hospital, e a placa que controla o equipamento. Mas essa afirmação, explica Rios, é falsa: há um cabo interno que liga a máquina ao módulo de comunicação. Não é um cabo de rede, mas um cabo serial. Apesar disso, a conexão ainda é possível.

Essa ligação é usada pela Hospira para distribuir atualizações de software para o equipamento. No entanto, o sistema não verifica a procedência dessas atualizações. Um criminoso poderia, portanto, instalar uma atualização de sistema falsa na bomba de infusão para controlar a dosagem do medicamento.

O sistema malicioso poderia ainda exibir uma dosagem diferente daquela que está realmente sendo administrada, ocultando o problema.

Para realizar o ataque, um hacker precisa de acesso à rede interna do hospital. Caso a rede hospitalar esteja mal configurada, o ataque poderia até ocorrer pela internet. Em outras situações, seria preciso a colaboração de alguém que trabalha no hospital e têm acesso à rede.

A Food and Drug Administration (FDA), agência reguladora de equipamentos hospitalares dos Estados Unidos, publicou um alerta confirmando a existência da vulnerabilidade em dois dos modelos analisados pelo pesquisador e fazendo recomendações para a configuração de rede dos hospitais que usam a máquina. A agência pediu que Rios não revelasse a existência do problema nos demais modelos enquanto a Hospira ainda estivesse investigando o caso, mas Rios se recusou a aguardar. Segundo ele, a fabricante já teve um ano para analisar a falha.

O G1 procurou a Agência Nacional de Vigilância Sanitária (Anvisa), responsável por registrar e autorizar a comercialização de equipamentos médicos e hospitalares no Brasil. Não houve resposta até a publicação da reportagem.

Pesquisador comprou máquina no eBay
Billy Rios, também conhecido como “XSniper”, comprou as bombas de infusão no site de leilões eBay somente com o intuito de analisar a segurança dos equipamentos. As máquinas foram usadas por hospitais antes de serem colocadas à venda.

O pesquisador já havia revelado no início do ano a descoberta de uma vulnerabilidade que permitia a um invasor alterar os limites de dosagem. Sem o bloqueio, um operador local poderia configurar uma dose letal. No entanto, o hacker não podia controlar a dose sem acesso físico direto.

Rios precisou desvendar o funcionamento da máquina para reprogramar o software e instalar o novo sistema como “atualização”. Ele confirmou a existência da falha em cinco modelos da Hospira.

A ausência de verificação de procedência na atualização dos chamados sistemas embarcados (ou “firmwares”, no termo técnico) é um problema comum. Em 2011, pesquisadores encontraram o problema em dezenas de modelos de impressoras. O supervírus “Equation” tira proveito do mesmo tipo de comportamento para infectar o chip da placa lógica de discos rígidos.

Uma demonstração de ataque nas bombas de infusão da Hospira será realizada por Rios durante a SummerCon, uma conferência de segurança marcada para os dias 17 e 18 de julho em Nova York, nos Estados Unidos.

Fonte: http://g1.globo.com/tecnologia/noticia/2015/06/bomba-de-infusao-de-remedio-pode-ser-hackeada-revela-pesquisador.html

Publicado em Invasão | Comments Off on Bomba de infusão de remédio pode ser ‘hackeada’, revela pesquisador

Hackers sírios invadem página do Exército americano

Publicado em 9 de junho de 2015 por rbatori

Hackers do grupo Exército Eletrônico Sírio (EES) teriam se infiltrado na página oficial do Exército americano nesta segunda (8) e postado uma imagem com críticas à estratégia americana contra o extremismo no Oriente Médio, segundo o site CBS News.

“Os seus comandantes admitem que estão treinando as mesmas pessoas contra as quais vocês foram enviados para morrer lutando”, o grupo deixou como mensagem na página. Após ficar fora do ar por algumas horas, o site voltou a funcionar normalmente na noite desta segunda (8).

15159504

A mensagem foi interpretada pela CBS News como uma referência aos documentos publicados pela fundação Judicial Watch nesta semana, que apontam que o governo americano já tinha ciência da ascensão da facção radical Estado Islâmico em 2012 e, ainda assim, teria auxiliado rebeldes no país na insurgência contra o ditador Bashar Assad.

Segundo o site New York Post, o EES também divulgou imagens nas redes sociais insinuando que o grupo teria tido acesso a alguma base de dados do Exército americano com informações sobre funcionários.

O grupo Exército Eletrônico Sírio é partidário de Assad e já realizou dezenas de outros ataques a sites do governo e empresa americanos.

Fonte: http://www1.folha.uol.com.br/mundo/2015/06/1639613-hackers-sirios-invadem-pagina-do-exercito-americano.shtml

Publicado em Invasão | Comments Off on Hackers sírios invadem página do Exército americano

EUA dizem não saber ainda quem invadiu computadores do governo

Publicado em 5 de junho de 2015 por rbatori

Casa Branca disse que ainda não chegou a ‘nenhuma conclusão’.
Invasão pode ter comprometido dados pessoais de 4 milhões de pessoas.

A Casa Branca afirmou nesta sexta-feira (5) que “nenhuma conclusão” foi tirada sobre a origem de uma brecha massiva na segurança cibernética do governo. A invasão dos computadores do governo americano atingiu a agência nacional responsável por coletar informações pessoais de funcionários federais.

O porta-voz da Casa Branca, John Earnest, afirmou nesta sexta que “a atribuição” da entidade por trás do ciberataque ainda está sendo investigada.

Ele disse que o Escritório de Gestão de Pessoal começará, na próxima segunda-feira (8), a notificar os funcionários que tiveram dados comprometidos durante o ataque. Segundo Earnest, o órgão será “o mais específico possível” nessa tarefa.

China
À agência de notícias Reuters, uma fonte das forças de segurança dos EUA disse que “uma entidade ou governo estrangeiro” era suspeito de estar por trás do ciberataque. Autoridades estavam analisando a possibilidade de ligação da China, de acordo com uma fonte próxima ao caso.

Um porta-voz do Ministério das Relações Exteriores da China disse que acusações desse tipo têm sido frequentes e são irresponsáveis.

Entenda a invasão
Hackers invadiram computadores do governo dos Estados Unidos, possivelmente comprometendo dados pessoais de 4 milhões de atuais e ex-funcionários federais, e investigadores apuram se os culpados estão localizados na China, disseram autoridades norte-americanas nesta quinta-feira.

Investigadores relacionaram a invasão a roubos passados de dados da Anthem, a segunda maior seguradora de saúde dos Estados Unidos, e da Premera Blue Cross, fornecedora de serviços médicos.

Na mais recente de uma série de invasões aos sistemas tecnológicos de agências norte-americanas, o Escritório do Departamento Pessoal sofreu o que parece ter sido o maior vazamento de informações de funcionários do governo. O órgão é responsável por dados e informações de segurança dos funcionários.

Fonte: http://g1.globo.com/mundo/noticia/2015/06/eua-dizem-nao-saber-ainda-quem-invadiu-computadores-do-governo.html

Publicado em Invasão | Comments Off on EUA dizem não saber ainda quem invadiu computadores do governo