В последнее время участились случаи заражения сетей медицинских учреждений различной малварью. Чаще всего больницы атакует вымогательское ПО, но встречаются и случаи хищения данных. С чем связан столь внезапный интерес злоумышленников к медицинским учреждениям? Специалисты IBM X-force полагают, что корень проблемы заключается в том, что больницы защищены гораздо хуже тех же банков.
Новое исследование компании Duo Security наглядно подтверждает этот печальный факт. В начале 2016 года от атаки злоумышленников пострадал Королевский госпиталь в Мельбурне, а затем работа Голливудского пресвитерианского медицинского центра была практически парализована вымогательской малварью. Над медицинскими учреждениями в наши дни довлеет совсем не гипотетическая угроза взлома.
Специалисты Duo Security представили отчет, который объясняет, почему сфера здравоохранения практически беззащитна перед хакерами. Эксперты пишут, что оборудование больниц и софт, который они используют, давно и безнадежно устарели, особенно если сравнивать показатели с финансовым сектором.
Основной проблемой является устаревшее ПО. Согласно отчету, 82% медицинских учреждений используют в работе операционные системы семейства Windows, но лишь 10% из них перешли на новую Windows 10. Большинство больниц по-прежнему работают с Windows 7 (таких насчитывается 76%) и, что гораздо хуже, с Windows XP (таких всего 3%, но и этого слишком много). В частности, отделение патологий в Королевском госпитале Мельбурна было атаковано именно в силу того, что его компьютеры работали под управлением Windows XP. Специалисты Duo Security отдельно указывают и на то факт, что в Windows 7 тоже наличествует более 500 известных уязвимостей, так что вряд ли эту ОС стоит использовать в такой важной сфере, как здравоохранение.
Однако проблема заключается не только в популярности устаревших ОС. Самым популярным браузером в медицинских учреждениях остается Internet Explorer 11, его используют в 33% заведений. Для сравнения, новейший Chrome 48 используют в 28% больниц. Более того, в 22% случаев персонал больниц пользуется старыми версиями Internet Explorer, то есть 8, 9 и 10. В среднем, в других сферах рынка этот показатель не превышает 6%.
Еще одна крупная дыра в безопасности больниц: устаревшие версии Flash и Java. Flash вообще встречается в медицинских учреждениях в два раза чаще, чем на машинах других клиентов Duo Security, а Java в три раза чаще. К тому же персонал больниц в 33% случаев заходит во внутреннюю сеть медицинского заведения с личных устройств, на которых установлены Flash и Java одновременно, что тоже ставит безопасность больниц под угрозу,
На прошлой неделе эксперты IBM X-force опубликовали похожее исследование. В их отчете интерес злоумышленников к медицинским учреждениям объясняется как слабой безопасностью больниц, так и ценностью личных медицинских данных пациентов. На черном рынке медицинская информация ценится высоко, к тому же данные о пациенте обычно содержат не только историю его болезни, но и номер банковской карты, номер социального страхования, физический адрес и адрес email, информацию о занятости, семейном положении и многое другое. Столь подробное «досье» на человека может быть использовано для самых разных махинаций, от узконаправленных фишинговых атак, до мошенничества с медицинской страховкой и кражи личности.
В соцсетях снова включили панические настроения в стиле «нас всех прослушивают». Пользователи начали распространять сообщения о том, что Яндекс Браузер якобы скрытно устанавливает в системное хранилище Windows государственный корневой сертификат Russian Trusted Root CA, и это позволяет перехватывать данные.
В Яндексе это опровергли. Как сообщили в пресс-службе компании в комментарии для телеграм-канала «Лапша Медиа», Яндекс Браузер не изменяет системное хранилище сертификатов при установке или обновлении.
Поддержка сайтов с национальными сертификатами реализована внутри самого браузера и не влияет на список доверенных сертификатов операционной системы.
Иными словами, браузер действительно умеет работать с российскими сертификатами, но не прописывает их тайком в Windows.
Отдельно в «Лапша Медиа» отметили, что скрытый перехват данных таким образом невозможен. Современные TLS-соединения защищены стандартными механизмами проверки, а сертификаты проходят контроль через систему Certificate Transparency — публичные журналы, где фиксируется выпуск сертификатов. Если сертификат отсутствует в логах или не соответствует требованиям, соединение должно быть заблокировано.
Сами сертификаты Russian Trusted Root CA используются для защищённого доступа к российским сайтам, которые работают с национальными сертификатами. В Яндекс Браузере их поддержка уже встроена, чтобы такие ресурсы открывались без дополнительных действий со стороны пользователя.
Так что история про скрытую установку, тотальный перехват и MITM из коробки выглядит скорее как очередной панический вброс.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.