martes, 9 de febrero de 2016

La Seguridad de tu vida, en manos de Médicos Informáticos

Ya he puesto alguna que otra vez el ejemplo de que los Hackers son médicos, y que a ellos no se les denuncia, pero a los Hackers sí. Y esto es algo que se debe cambiar, este pensamiento que tiene la sociedad sobre los Hackers debe cambiar.

Pero yo ya no diría que los Hackers somos como médicos, sino que estamos un escalón por encima de los médicos, ya que somos nosotros los que podemos mantener con vida a una persona con nuestros conocimientos. Pero al igual que los hackers podemos mantener con vida a una persona, también los ciber-delincuentes pueden quitarlas con los mismos conocimientos que nosotros.

Y es que en el mundo en el que vivimos hoy, estamos conectados, tanto nuestros dispositivos como Tablets, ordenadores, móviles, televisiones...pero también hay una cosa más que cada vez necesita más la ayuda de las máquinas para seguir funcionando, las personas.



Y es que la comunicación que tienen estos dispositivos con el exterior, es mediante radiofrecuencia, para facilitar la comunicación con los sanitarios, los cuales pueden usar estaciones portátiles para controlar al paciente. Y claro, esto, necesita un grado, y muy alto de seguridad.

Aunque no solo se pueden comunicar mediante radiofrecuencia, además también podrían conectarse por red, lo que va a permitir el acceso remoto y que se puedan manipular datos, y estas manipulaciones, las realizará el sanitario, en teoría.

¿Cómo son estas comunicaciones por radiofrecuencia?

Hay que recordar que so ondas, con su longitud de onda, su número de onda, su amplitud, su omega multiplicada por el tiempo.

Me gustaría que analizásemos un poco lo que es una ecuación de onda, y veamos como podemos aplicar la física en la informática.

                                                              Y= A sen (wt-kx)

La A, es la amplitud de una onda, así que nos podemos parar a recapacitar un poco y llegaremos a la conclusión de que a ver a qué distancia nos puede llegar la amplitud de dicha onda para que podamos crear una estación portátil que manipules los datos.

La w, sabemos que es igual a 2 multiplicado por el número pi y por la frecuencia; pero además, también está multiplicada por el tiempo ¿Qué puede significar esto y qué uso le podemos dar?

Pues bueno, hay una cosa que explicaré más adelante que se llama Time Based Blind SQL Injection, y que podemos sacar datos provocando un retardo de tiempo en la base de datos, y si vamos poniendo en marcha la mente, en esa ecuación está la omega, la cual es igual a 2 por el número pi, por frecuencia y por tiempo, frecuencia y tiempo. Podríamos jugar con esto y sacar por ejemplo datos de un marcapasos usando esta técnica basada en el retardo de tiempo, ya que al conocer las características de dicha onda y predecir cada cuanto se repite, la frecuencia, etc. podemos saber una muy buena cantidad de datos basados en ese retardo de tiempo que no va a ser habitual en esa onda.


Dicho esto, hay que tomar una serie de medidas para que estas comunicaciones sean lo más seguras posibles.

-Protección contra acceso inalámbrico no autorizado tanto al control como a los datos del dispositivo, incluyendo protocolos que mantengan la seguridad de las comunicaciones, evitando deficiencias conocidas de protocolos.

-Protección del propio software impidiendo accesos no autorizados y estableciendo un control de los accesos al dispositivo.

-Configuración de los servicios necesarios teniendo en cuenta la apertura de puertos de administración o comunicación y los usuarios por defecto.

-Actualización segura y mantenimiento del software para evitar que posibles vulnerabilidades que se descubran del software actual puedan ser utilizadas por terceros.

¿Hay casos reales?

Pues el caso es que sí, y no son pocos. Pero uno es un fallo que encontraron unos trabajadores de universidad, los cuales estaban trabajando con marca-pasos y desfibriladores cardíacos, consiguiendo reprogramar el funcionamiento del dispositivo, provocando que el dispositivo suministrase sacudidas eléctricas que puede ser fatal para una persona que llevase ese marca-pasos reprogramado.

Pero además también hubo un caso de una empresa llamada MedNet, detectándose una vulnerabilidad del tipo SQL Database Handler en el Hopira Mednet. Y es que esta vulnerabilidad, afectaba a una función desconocida del componente SQL Database Handler es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Y es que esta empresa, MedNet, es una eClínica que da precisamente soluciones clínicas a sus clientes, con lo que han tenido que parchear sus sistemas para garantizar la seguridad de las personas.

Y es que la seguridad de nuestros sistemas es algo muy importante en nuestros días, ya que nos puede afectar a nuestra vida si no protegemos los dispositivos que nos rodean. Así que vigilar los dispositivos que tenéis a mano, que es importante para vuestra vida. En SoftCrim ya estamos trabajando para tratar de hacer más seguros estos dispositivos

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...