A segurança dos sistemas é um requisito fundamental para o bom funcionamento dos mesmos, mas também uma garantia no que diz respeito à privacidade da informação que é usada.
Recentemente a Cisco Talos revelou que descobriu 5 vulnerabilidades num software que está disponível em vários sistemas para a realização de eletroencefalogramas e que é vendido pela Nautus.
O eletroencefalograma (EEG) é um exame de monitorização não-invasivo que regista a atividade elétrica do cérebro. O eletroencefalograma tem a capacidade de detetar alterações da atividade elétrica cerebral com uma resolução temporal de milissegundos. Trata-se de um exame simples, sem riscos e muito informativo.
Chama-se NeuroWorks, é vendido pela empresa Nautus e é usado em milhares de hospitais em todo o mundo para a captura e análise de dados provenientes da realização de eletroencefalogramas. De acordo com a Cisco, a informação do exame para análise pelo software é obtida via rede e é por aí que foram detetadas falhas. Segundo a informação, a plataforma encontra-se vulnerável a ataques locais e remotos, podendo ser injetado código malicioso e dessa forma obter e manipular dados privados.
Além disso estas plataformas estão também vulneráveis a ataques de negação de serviço.
Talos has discovered multiple vulnerabilities in Natus NeuroWorks software. This software is used in the Natus Xltek EEG medical products from Natus Medical Inc. The vulnerable devices contain an ethernet connection for data acquisition and connection to networks.
We identified a number of vulnerabilities falling into two classes:
- Four code execution vulnerabilities
- One denial of service vulnerability.
The first category allows code execution on the medical device through a specially crafted network packet. The second category can cause the vulnerable service to crash. The vulnerabilities can be triggered remotely without authentication.
A Nautus lançou, entretanto, um patch para correção de tais vulnerabilidades. Infelizmente, com base no que acontece normalmente ao nível dos dispositivos médicos vulneráveis, é provável que esses sistemas permaneçam em uso – sem correção – por centenas de hospitais.