¡Escuche a Chris Romeo, Gregory Delrue, Andrew Lemke, Leonid S. Knyshov, todos son correctos! En lugar de repetir su sabiduría, compartiré una pequeña anécdota.
Ya en el otoño de 2003 estaba entrenando en evaluación de seguridad para un gran grupo hospitalario estadounidense, justo en el momento en que Ms-blaster estaba causando estragos.
Su jefe de seguridad informática era muy inteligente (lo invitaron a ser un conferencista en una conferencia SANS poco después) y tuvo toda la red de área del campus encerrada. Cada hospital, cada edificio y cada piso estaban aislados de todo lo demás, toda la red estaba caída. Los equipos itinerantes de personas de TI se abrieron paso por cada oficina y repararon todo lo que encontraron, un piso a la vez.
Los guardias en la puerta detuvieron a todos los empleados con sus computadoras portátiles y los enviaron a una sala especial donde los remendaban y limpiaban antes de dejarlos entrar al edificio. A medida que se limpiaban los segmentos de red, se conectaban de nuevo a la red troncal principal.
De vez en cuando el gusano se encendía de nuevo y derribaba toda la red con su agresiva inundación SYN, un equipo de respuesta rápida aislaba al segmento infractor y buscaba la máquina infectada que se había perdido en el barrido.
Alrededor de las 2:00 de la tarde el segmento en el 3er piso fue golpeado fuertemente, y todas las máquinas supuestamente fueron reparadas. Todos los administradores de red miraron las listas de activos de red y dijeron: los tenemos todos parcheados, ¿cómo es posible?
Aquí finalmente tuve la oportunidad de brillar. Rápidamente ejecutamos mi software de evaluación de vulnerabilidades contra toda la red y el bingo del 3. ° piso, mi software de evaluación de vulnerabilidades ingeniosamente construido identificó la dirección IP ofensiva.
El jefe de seguridad exclamó “Pero esa no es una de mis máquinas” … La dirección IP ofensiva pertenecía a una máquina de resonancia magnética. y Lo y he aquí que cuando lo abrimos encontramos una máquina Windows XP sin parches barata dentro. (Pero espera, se pone peor).
Cómo deshacerse de las amígdalas sin tener que ir al hospital
¿Cuál es el mejor hospital para chequeos de cuerpo completo en Bhopal?
Mi recomendación inicial fue “permitir el parche y seguir adelante”, pero hubo un inconveniente, el contrato en la máquina de MRI prohibió explícitamente cualquier modificación al sistema, incluido el parcheo, ya que rompería la garantía, invalidaría el contrato de alquiler, etc.
Al final tuvimos que desconectar la máquina de MRI de la red y las imágenes por resonancia magnética solo pudieron examinarse localmente en la sala durante semanas.
Muchas cosas han mejorado en los últimos 12,5 años, el parcheo es ahora más común para los sistemas embebidos, y existen estándares para el endurecimiento de la seguridad de los dispositivos médicos.
La enseñanza de la historia es:
- En un hospital, la mayoría de las amenazas a la seguridad de TI no se parecen a las TI.
- ¿Tiene una correa apretada en todos sus proveedores? (desde máquinas MRI sobre máquinas Vendor a controladores HVAC y Ambulance?)
- ¿Sus contratos le permitirán corregir problemas de seguridad a primera vista?