Doom spielen auf dem Medizingerät

Die Hospital Programmer, mit denen die Implantate konfiguriert oder Daten ausgelesen werden können, werden üblicherweise an die Kliniken vermietet oder geleast. Dennoch wurden die Forscher auf einer Handelsplattform fündig und konnten einen Boston Scientific Programmer für 2.000 US-Dollar erstehen.

Stellenmarkt

1. IT-Mitarbeiter (m/w/d) Technik und Support
   Hardware Express Computervertriebsgesellschaft mbH, Göppingen
2. Digital Transformation Manager (m/w/d) mit Schwerpunkt EDI
   Paulaner Brauerei Gruppe GmbH & Co. KGaA, München

Detailsuche

Im Unterschied zu den Implantaten wurde hier auf Standardkomponenten gesetzt, was eine Analyse vereinfachte. So arbeitete im Inneren ein Intel Pentium aus dem Jahr 2004, auf der Festplatte fanden die Sicherheitsforscher einen Linux-Kernel aus dem Jahr 2002, obgleich die Software aus dem Jahr 2011 stammte. Entsprechend dürften sich im Linux-Kernel etliche Sicherheitslücken finden.

Durch eine kleine Änderung an einem Skript auf der Festplatte des Gerätes konnte Puschner automatisch den Windowmanager Twm starten. Über diesen konnte er per Touchscreen oder USB-Tastatur das Terminal xTerm aufrufen - als Root. Ganz ohne weitere Sicherheitslücke.

Einige Funktionen wie ein Region Lock oder der Update-Mechanismus per USB-Stick waren über einen Sicherheitsschlüssel geschützt. Diesen konnten die Sicherheitsforscher per Reverse Engineering umgehen und anschließend ein Freedos von einem USB-Stick booten und darüber Doom spielen. Ein Hindernis dabei sei es gewesen, einen USB-1.1-Stick aufzutreiben, da aufgrund der alten Hardware neuere Sticks nicht unterstützt worden seien.

Responsible Disclosure an die Hersteller

Golem Akademie

1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
   15.–17. März 2022, Virtuell
2. Unity Basiswissen: virtueller Drei-Tage-Workshop
   7.–9. Februar 2022, Virtuell

Weitere IT-Trainings

Abschließend haben sich die Forscher noch die Webserver der Medizingeräte-Hersteller angesehen, an die die Home Monitoring Units ihre Daten abliefern beziehungsweise auf denen die Ärzte auf diese Daten zugreifen. Diese habe man allerdings nur oberflächlich angeschaut, da es sich um produktive Systeme und lebenswichtige Infrastruktur handle; entsprechend habe man etwa keine SQL-Injections versucht, erklärte Puschner. Auf den ersten Blick habe alles in Ordnung ausgesehen.

Alle gefundenen Sicherheitslücken wurden vor mindestens sechs Monaten an die Hersteller gemeldet. Die Informationen seien schnell an die Security-Teams der Firmen weitergeleitet worden, mit denen es anschließend einen guten Austausch über Videokonferenzen gegeben habe, sagte Saatjohann. Alle Firmen hätten ihnen einen Job in ihrem Security-Team angeboten.

Letztlich habe man mehrere Sicherheitslücken in Geräten verschiedener Hersteller finden können, mit denen Patienten beispielsweise über die Manipulation therapierelevanter Daten hätten verletzt werden können. Mit regelmäßigen Softwareupdates und Maintenance könnten die meisten dieser Probleme behoben werden, zieht Puschner ein Fazit. Er wünsche sich, dass die Hersteller ihre Medizingeräte so sicher wie irgend möglich bauen und Kryptografie auf dem aktuellen Stand der Technik nutzen würden.