Τέσσερα χρόνια μετά την κυβερνοεπίθεση που είχε πραγματοποιηθεί στο Τζάνειο Νοσοκομείο, σύμφωνα με πληροφορία που είχε δημοσιοποιήσει το SecNews, φαίνεται ότι τίποτα δεν έχει αλλάξει… Μάλιστα κάποιοι (σ.σ η καλοπροαίρετη κριτική είναι πάντα σεβαστή) είχαν σπεύσει να αναφερθούν σε υπερβολές του SecNews ή ανάδειξη θέματος για δημιουργία εντυπώσεων. Φαίνεται όμως ότι οι ελλείψεις στον χώρο της δικτυακής και διαδικτυακής ασφάλειας των Νοσοκομείων γενικότερα, όχι μόνο υφίστανται αλλά τα πληροφοριακά συστήματα παραμένουν ευάλωτα 4 ολόκληρα χρόνια μετά χωρίς κανείς να ενδιαφέρεται !!!
Έλληνας hacker, “υπαρχηγός” κατά δήλωσή του σε Ελληνικό hacking group με την ονομασία “Greek Electronic Army”,επικοινώνησε ΑΠΟΚΛΕΙΣΤΙΚΑ μέσω ηλεκτρονικού μηνύματος με την ιστοσελίδα μας και δήλωσε ότι πραγματοποίησαν επίθεση στην ιστοσελίδα του Τζανείου Νοσοκομείου.
Ο hacker με το ψευδώνυμο “0xyg3n” αναφέρει σαφώς στο ηλεκτρονικό του μήνυμα ότι η ομάδα του, άντλησε δεδομένα από την ιστοσελίδα του Τζάνειου Νοσοκομείου.
Χαρακτηριστικά αναφέρει:
Χρησιμοποιώντας την ύπαρξη αδυναμίας Sql Injection.. Καταφέραμε να πάρουμε όλη την βάση δεδομένων της ιστοσελίδας. Έχουμε δυνατότητα να πραγματοποιήσουμε αλλοίωση της ιστοσελίδας,αλλά δεν επιθυμούμε την πρόκληση της παραμικρής ζημίας.
Προς επιβεβαίωση των λεγομένων του ο “0xyg3n” παρέθεσε Screenshots – αποδείξεις κατά την κυβερνοεπίθεση (έχοντας αποκρύψει συγκεκριμένα σημεία που μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς).
Στην συνέχεια παραθέτει την χρήση της ευρεθείσας αδυναμίας, με γνωστό διαθέσιμο εργαλείο (SQL Map) για άντληση δεδομένων:
Φυσικά δεν παρέλειψαν να εντοπίσουν με χρήση της ίδιας αδυναμίας και το όνομα και κωδικό του διαχειριστή της ιστοσελίδας (!)
Τα μέλη της ομάδας όπως μας αναφέρουν στο ηλεκτρονικό τους μήνυμα οι Greek Electronic Army είναι οι:
0xyg3n , MassiveDistraction και HackoManGR. Η αδυναμία εντοπίστηκε με την χρήση του SQLMap και του Kali linux. Δεν απέκτησαν πρόσβαση, ως αναφέρουν στον εξυπηρετητή παρά μόνο στην βάση δεδομένων. Η ιστοσελίδα τους δε στο Facebook είναι https://www.facebook.com/pages/Greek-Electronic-Army/280373122172466. [εδώ]
Αξιοσημείωτο είναι το γεγονός ότι η ιστοσελίδα βρίσκεται στις υποδομές του εθνικού δικτύου “Syzefxis”, με τα γνωστά θέματα ασφαλείας που έχει αναδείξει το SecNews στο παρελθόν, μιας και πολλά συστήματα που εξυπηρετούνται από αυτό, έχουν τεθεί κατά καιρούς υπό τον πλήρη έλεγχο hackers.
Τα ερωτήματα που είχαμε αναφέρει πριν 4 περίπου έτη (τα οποία φυσικά και έμειναν αναπάντητα), με την τότε κυβερνοεπίθεση εναντίον του εν λόγω νοσοκομείου παραμένουν:
A) Τέθηκαν άκρως ευαίσθητα προσωπικά δεδομένα πολιτών σε κίνδυνο από την νέα επίθεση εναντίον του Τζάνειου Νοσοκομείου? Μήπως πρέπει οι διαχειριστές & υπεύθυνοι μηχάνογραφησης να πραγματοποιήσουν κατεπείγουσα έρευνα με παράλληλη ενημέρωση των πολιτικών τους προϊσταμένων, αναφορικά με την εν λόγω επίθεση αλλά και άλλες που μπορεί να έχουν πραγματοποιηθεί και να μην έχουν δει το φως της δημοσιότητας?
Β) Η εν λόγω επίθεση δεν διακρίνεται για τον υψηλό βαθμό δυσκολίας της και μπορεί να πραγματοποιηθεί με διαθέσιμα εργαλεία που μπορεί ο καθένας να εντοπίσει με ευκολία στο διαδίκτυο. Το γεγονός ότι οι εν λόγω white-hat hackers επέλεξαν να δημοσιοποίησουν στοιχεία της κυβερνοεπίθεσης (χωρίς φυσικά αυτό να άρει το ποινικό σκέλος της υπόθεσης για την διάπραξη αδικήματος), συνεισφέρει στο να γνωρίζουν οι διαχειριστές την ύπαρξη της αδυναμίας. Τι μέτρα όμως έχουν ληφθεί για πιο εξειδικευμένες επιθέσεις (όπως spear phishing) από κακόβολους hackers ή υποκλοπείς που σκοπό έχουν να αποκτήσουν και να αντλήσουν ευαίσθητα και προσωπικά δεδομένα προς πάσα χρήση και με δόλιους σκοπούς?
Γ) Τι μέτρα ελήφθησαν από την εταιρεία που υλοποίησε την ιστοσελίδα μετά την κυβερνοεπίθεση, 4 χρόνια πριν, και πόσο κόστισε? Γιατί τα μέτρα αποδείχτηκαν μη επαρκή και ποιος φέρει την ευθύνη σε περίπτωση διαρροής δεδομένων και πληροφοριών ευαίσθητων δεδομένων;
Δ) Άραγε υπάρχουν σχετικές εγκύκλιοι από την Αρχή Προστασίας Δεδομένων Προσωπικού χαρακτήρα για αντίστοιχα περιστατικά (όπως κυβερνοεπίθεση) και κατά πόσο τηρούνται από τα αρμόδια στελέχη των Υπηρεσιών Πληροφορικής Νοσοκομείων και φορέων Δημόσιας Υγείας;
Ελπίζουμε ότι πλέον τα στελέχη του Υπουργείου Υγείας και οι νέοι πολιτικοί τους προϊστάμενοι, στα πλαίσια της (επιτέλους!!!) ορθής ολικής αναδιοργάνωσης στον τομέα της υγείας, θα διερευνήσουν ΑΜΕΣΑ το ζήτημα με τα αρμόδια όργανα της πολιτείας και θα αναδείξουν τις αδυναμίες, εφόσον υπάρχουν. Εκτιμούμε ότι το θέμα θα τεθεί σε ύψιστη θέση στην ατζέντα τους, αν και κατά πόσο δηλαδή είναι διασφαλισμένη η δημόσια υγεία και τα προσωπικά δεδομένα αθώων πολιτών & νοσηλευομένων από επιθέσεις hackers και κακόβουλων χρηστών.
To SecNews ευχαριστεί τον ανώνυμο αναγνώστη για την έγκαιρη και έγκυρη ενημέρωση