Ισχυρή κυβερνοεπίθεση στο Τζάνειο Νοσοκομείο

Τέσσερα χρόνια μετά την κυβερνοεπίθεση που είχε πραγματοποιηθεί στο Τζάνειο Νοσοκομείο, σύμφωνα με πληροφορία που είχε δημοσιοποιήσει το SecNews, φαίνεται ότι τίποτα δεν έχει αλλάξει… Μάλιστα κάποιοι (σ.σ η καλοπροαίρετη κριτική είναι πάντα σεβαστή) είχαν σπεύσει να αναφερθούν σε υπερβολές του SecNews ή ανάδειξη θέματος για εντυπώσεων. Φαίνεται όμως ότι οι ελλείψεις στον χώρο της δικτυακής και διαδικτυακής ασφάλειας των Νοσοκομείων γενικότερα, όχι μόνο υφίστανται αλλά τα πληροφοριακά συστήματα παραμένουν ευάλωτα 4 ολόκληρα χρόνια μετά χωρίς κανείς να ενδιαφέρεται !!!

 

Έλληνας hacker, “υπαρχηγός” κατά δήλωσή του σε Ελληνικό hacking group με την ονομασία “Greek Electronic Army”,επικοινώνησε ΑΠΟΚΛΕΙΣΤΙΚΑ μέσω ηλεκτρονικού μηνύματος με την ιστοσελίδα μας και δήλωσε ότι πραγματοποίησαν επίθεση στην ιστοσελίδα του Τζανείου Νοσοκομείου.

Ο hacker με το ψευδώνυμο “0xyg3n” αναφέρει σαφώς στο ηλεκτρονικό του μήνυμα ότι η ομάδα του, άντλησε δεδομένα από την ιστοσελίδα του Τζάνειου Νοσοκομείου.

Χαρακτηριστικά αναφέρει:

 Χρησιμοποιώντας την ύπαρξη αδυναμίας Sql Injection.. Καταφέραμε να πάρουμε όλη την βάση δεδομένων της ιστοσελίδας. Έχουμε δυνατότητα να πραγματοποιήσουμε αλλοίωση της ιστοσελίδας,αλλά δεν επιθυμούμε την πρόκληση της παραμικρής ζημίας.

Προς επιβεβαίωση των λεγομένων του ο “0xyg3n” παρέθεσε Screenshots – αποδείξεις κατά την κυβερνοεπίθεση (έχοντας αποκρύψει συγκεκριμένα σημεία που μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς).

 

Στην συνέχεια παραθέτει την χρήση της ευρεθείσας αδυναμίας, με γνωστό διαθέσιμο εργαλείο (SQL Map) για άντληση δεδομένων:

κυβερνοεπίθεση 3 κυβερνοεπίθεση

κυβερνοεπίθεση 4 κυβερνοεπίθεση

 

Κυβερνοεπίθεση 5 κυβερνοεπίθεση

Φυσικά δεν παρέλειψαν να εντοπίσουν με χρήση της ίδιας αδυναμίας και το όνομα και κωδικό του διαχειριστή της ιστοσελίδας (!)

Εντοπισμός κωδικού πρόσβασης διαχειριστή της ιστοσελίδας με χρήση SQL Injection αδυναμίας κυβερνοεπίθεση

Τα μέλη της ομάδας όπως μας αναφέρουν στο ηλεκτρονικό τους μήνυμα οι Greek Electronic Army είναι οι:

0xyg3n , MassiveDistraction και HackoManGR. Η αδυναμία εντοπίστηκε με την χρήση του SQLMap και του Kali linux. Δεν απέκτησαν πρόσβαση, ως αναφέρουν στον εξυπηρετητή παρά μόνο στην βάση δεδομένων. Η ιστοσελίδα τους δε στο είναι https://www.facebook.com/pages/Greek-Electronic-Army/280373122172466[εδώ]

Αξιοσημείωτο είναι το γεγονός ότι η ιστοσελίδα βρίσκεται στις υποδομές του εθνικού δικτύου “Syzefxis”, με τα γνωστά θέματα ασφαλείας που έχει αναδείξει το SecNews στο παρελθόν, μιας και πολλά συστήματα που εξυπηρετούνται από αυτό, έχουν τεθεί κατά καιρούς υπό τον πλήρη έλεγχο hackers.

tzaneiopic2 κυβερνοεπίθεση

Τα ερωτήματα που είχαμε αναφέρει πριν 4 περίπου έτη (τα οποία φυσικά και έμειναν αναπάντητα), με την τότε κυβερνοεπίθεση εναντίον του εν λόγω νοσοκομείου παραμένουν:

A) Τέθηκαν άκρως ευαίσθητα πολιτών σε κίνδυνο από την νέα επίθεση εναντίον του Τζάνειου Νοσοκομείου? Μήπως πρέπει οι διαχειριστές & υπεύθυνοι μηχάνογραφησης να πραγματοποιήσουν κατεπείγουσα  με παράλληλη ενημέρωση των πολιτικών τους προϊσταμένων, αναφορικά με την εν λόγω επίθεση αλλά και άλλες που μπορεί να έχουν πραγματοποιηθεί και να μην έχουν δει το της δημοσιότητας?

Β) Η εν λόγω επίθεση δεν διακρίνεται για τον υψηλό βαθμό δυσκολίας της και μπορεί να πραγματοποιηθεί με διαθέσιμα εργαλεία που μπορεί ο καθένας να εντοπίσει με ευκολία στο διαδίκτυο. Το γεγονός ότι οι εν λόγω white-hat hackers επέλεξαν να δημοσιοποίησουν στοιχεία της κυβερνοεπίθεσης (χωρίς φυσικά αυτό να άρει το ποινικό σκέλος της υπόθεσης για την διάπραξη αδικήματος), συνεισφέρει στο να γνωρίζουν οι διαχειριστές την ύπαρξη της αδυναμίας. Τι μέτρα όμως έχουν ληφθεί  για πιο εξειδικευμένες επιθέσεις (όπως spear phishing) από κακόβολους hackers ή υποκλοπείς  που σκοπό έχουν να αποκτήσουν και να αντλήσουν ευαίσθητα και προσωπικά δεδομένα προς πάσα χρήση και με δόλιους σκοπούς?

Γ) Τι μέτρα ελήφθησαν από την εταιρεία που υλοποίησε την ιστοσελίδα μετά την κυβερνοεπίθεση, 4 χρόνια πριν, και πόσο κόστισε? Γιατί τα μέτρα αποδείχτηκαν μη επαρκή και ποιος φέρει την ευθύνη σε περίπτωση διαρροής δεδομένων και πληροφοριών ευαίσθητων δεδομένων;

Δ)  Άραγε υπάρχουν σχετικές εγκύκλιοι από την Αρχή Προστασίας Δεδομένων Προσωπικού χαρακτήρα  για αντίστοιχα περιστατικά (όπως κυβερνοεπίθεση) και κατά πόσο τηρούνται από τα αρμόδια στελέχη των Υπηρεσιών Πληροφορικής Νοσοκομείων και φορέων Δημόσιας Υγείας;

Ελπίζουμε ότι πλέον τα στελέχη του Υπουργείου Υγείας και οι νέοι πολιτικοί τους προϊστάμενοι, στα πλαίσια της (επιτέλους!!!) ορθής ολικής αναδιοργάνωσης στον τομέα της υγείας,  θα διερευνήσουν ΑΜΕΣΑ το ζήτημα με τα αρμόδια όργανα της πολιτείας και θα αναδείξουν τις αδυναμίες, εφόσον υπάρχουν. Εκτιμούμε ότι το θέμα θα τεθεί σε ύψιστη θέση στην ατζέντα τους, αν και κατά πόσο δηλαδή είναι διασφαλισμένη η δημόσια υγεία και τα προσωπικά δεδομένα αθώων πολιτών & νοσηλευομένων από επιθέσεις hackers και κακόβουλων χρηστών.

To SecNews ευχαριστεί τον ανώνυμο αναγνώστη για την έγκαιρη και έγκυρη ενημέρωση

SecNews

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).