醫療影像領域安全狀況令人擔憂

醫療數據的不可破壞性使其成為網路犯罪分子不可抗拒的目標。黑客的行為需要花費大量的時間和精力，這就激勵有經驗的網路犯罪分子根據從投資中獲取的收益來策劃他們的攻擊。那些已經成功獲取醫療數據的人得到了很豐厚的回報。一位賣家在接受採訪時表示，「有人想專門購買所有......記錄」，聲稱這項工作已經凈賺10萬美元。

在醫生和我的妻子約好，我們看著我們未出生孩子的美麗4D超聲波時，我注意到屏幕上閃爍著「將數據保存成圖像」的字樣。雖然這個短語不會引起大多數人的關注，但考慮到我對網路罪犯如何針對醫療保健行業的研究，我很快就開始質疑為什麼我們孩子的超聲波不會保存到文件中。有趣的是，我決定深入研究醫學影像領域及其可能存在的安全風險。最終，我們能夠組合使用攻擊向量來重建圖像中的身體部位並製作一個三維模型。

PACS

大多數醫院或醫學研究機構使用PACS進行圖像存檔和通信系統，以便可以從其設施內的各個系統或通過雲端訪問諸如超聲波，乳房X線照片，MRI等圖像。

PACS設置包含多個組件，包括工作站、成像設備、採集網關、PACS控制器、資料庫和歸檔系統，如下圖所示：

PACS設施的組件

成像設備創建上傳到採集網關的圖片，例如超聲波或MRI。由於醫療設施使用的大部分成像設備都不符合安全最佳實踐，因此採集網關置於網路中以實現圖像的數字交換。採集網關還經常充當連接到醫院信息系統（使用HL7協議）的伺服器，使用患者數據豐富圖像。

PACS控制器是協調不同組件之間的所有流量的中央單元。 PACS基礎架構中的最後一個組件是資料庫和歸檔系統。該系統確保所有圖像都被正確存儲並標記為短期或長期存儲。

大型機構可能在多個位置通過互聯網連接多個成像設備和採集網關。在我們的調查過程中，我們注意到世界各地使用免費的開源PACS軟體的許多小型醫療實踐並不安全。

要確定有多少台PACS伺服器連接互聯網取決於您使用Shodan進行搜索的方式，Shodan是用於查找連接到Internet的特定類型計算機的搜索引擎。某些伺服器通過TCP 104連接;其他人使用HTTP TCP 80或HTTPS TCP 443.快速搜索顯示，超過1100台PACS直接連接到互聯網，沒有使用推薦的網路安全措施或虛擬專用網路（VPN）。

連接到互聯網的PACS，顏色越深代表的系統越多

研究剛剛開始我們就興緻盎然，因為我們遇到了「僅支持IE 6」之類的消息或ActiveX控制項和舊的Java支持。眾多這些產品都容易受到大量漏洞的攻擊。例如，當我們更改一個參數時，PACS生成了一個錯誤頁面。如果應用程序開發人員進行了適當的輸入健壯檢查，以防止攻擊者插入代碼或生成可能泄露應用程序數據的故障導致系統被破壞，這是一種非常基本的常見測試方法。

堆棧跟蹤錯誤

Banner及響應。當查詢時，我們記錄了不同的響應。我們來看一個：

x02x00x00x00x00xbex00x01x00x00ANY-SCP FINDSCU x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x10x00x00x151.2.840.10008.3.1.1.1!x00x00x1bx01x00x00x00@x00x00x131.2.840.10008.1.2.1Px00x00>Qx00x00x04x00x00@x00Rx00x00"1.2.826.0.1.3680043.2.135.1066.101Ux00x00x0c1.4.16/WIN32

FINDSCU字元串指查找工具，可用於查詢PACS系統。 DICOM標準為查詢/檢索服務定義了三種數據模型。每個數據模型都分配了一個用於C-FIND的唯一ID，一個用於C-MOVE，另一個用於C-GET;所以一共有九個唯一的ID，每個模型三個。在前面的banner中，我們檢索了兩個ID：

· 840.10008.1.2.1：為數據傳輸定義值「Explicit VR Little Endian」的傳輸唯一ID

· 2.826.0.1.3680043.2.135.1066.101：引用實現類的值

Banner中的另一個值1.4.16 / WIN32是指版本號。在醫療伺服器中，這指的是XAMPP的版本，也就是Apache與MariaDB、PHP和Perl的版本。這台伺服器運行的是Apache 2.4.9，眾所周知，包含9個漏洞。

在其他情況下，無需搜索漏洞。管理界面開放，可以在沒有憑證的情況下訪問。

PACS界面

這意味著可以訪問圖像。

漏洞

除了昂貴的商用PACS系統外，小型醫療保健機構還可使用開源或低廉的PACS。當我們調查這些系統時，我們發現我們的擔心是有根據的。一個Web伺服器/客戶端安裝程序使用默認的admin / password作為憑據，而不是在伺服器首次啟動時更改。我們發現更多問題：

· 客戶端和伺服器之間的加密流量

· 點擊劫持

· 跨站腳本

· 跨站腳本存儲為跨站請求偽造

· 基於文檔對象模型的鏈接操作

· 創建管理員帳戶

· 信息泄露

其中很多都出現在OWASP十大關鍵Web應用程序安全風險列表中，該列表突出了在交付給客戶的任何產品中應解決的嚴重缺陷。在我們負責任的披露之後，我們已向這些供應商報告了我們發現的漏洞。他們與我們合作調查漏洞並採取適當措施解決問題。但是，當有許多其他方式能從互聯網上獲取醫學圖像時，為什麼我們要花費這麼多時間和精力研究漏洞？

醫學圖像格式

醫療界由於不同的用途而使用幾種圖像格式。每種格式都有不同的要求，適用於不同的設備、協議等。幾個格式示例：

· NiFTi神經成像信息技術

· Dicom醫學數字成像和通信

· MINC醫療成像NetCDF

· NRRD近乎原始的柵格數據

在使用多個搜索引擎同時搜索開放路徑和FTP伺服器，我們收集了成千上萬的圖像——其中一些完成了MRI掃描，主要採用DICOM格式。一個例子：

一個圖像開放路徑

DICOM格式起源於20世紀80年代，早於網路安全成為一個關鍵組成部分。標準格式包含標籤的詳細列表，如患者姓名、台位名稱、醫院等。所有內容都包含在圖像中作為元數據。

使用文本編輯器打開圖像將顯示如下：

Dicom文件格式示例

該文件以前綴DICM開始，這是我們處理DICOM文件的指示符。這個例子中的其他（現在被遮蓋的）字元串包括醫院的名稱、城市、患者姓名等等。

健康保險流通與責任法案要求安全的醫療成像工作流程，其中包括在DICOM文件中刪除或匿名元數據。從開源代碼和目錄中研究檢索到的文件，我們發現大多數圖像仍包含此元數據，如下例所示，我們從中提取（遮蔽）了個人身份信息（PII）。

DICOM 文件中發現的元數據

聯合漏洞和元數據

我們結合了可能的漏洞和元數據來創建測試場景，將虛擬病人的信息（包括膝蓋的X射線圖像）安裝到有漏洞的PACS伺服器。

測試病人的記錄，其後是膝蓋的X射線。

使用前期研究階段收集的漏洞信息，我們發起了一次攻擊，以獲得對PACS伺服器的訪問許可權。一旦可以訪問了，我們就下載虛擬病人的圖像，並更改圖像系列的元數據，將所有的「膝蓋」改為「肘部」。

修改後的測試病人圖像元數據

然後，保存圖片並上傳到伺服器。檢查虛擬病人的記錄，我們發現更改是成功的。

重建身體部位

在醫學成像領域，大量軟體可以用不同的方式調查和可視化圖像，例如3D。我們收集了我們的圖像集合，並使用3D軟體的演示版本，重建了完整的椎骨、骨盆、膝蓋等3D模型，並在一個案例中重建了部分面部。

因為我們堅持保護隱私，下面的例子——來自骨盆的一系列圖像，是由軟體生成的演示文件。

圖像集示例

在選擇感興趣的區域並調整之後，我們生成了骨盆的3D模型：

骨盆的3D模型

生成3D模型的軟體具有多種數據格式導出模型以供其他3D繪圖程序使用的功能。導出後，我們將數據導入3D繪圖程序並將文件轉換為STL，這是3D對象和印表機的流行格式。

簡而言之，我們從開放路徑中的文件開始，將它們轉換為3D模型，並使用3D印表機列印出一個有形的模型

我們的3D骨盆模型

結論

當我們開始調查醫學影像系統的安全狀況時，我們沒有預料到會通過重建身體部位來得出結論。 這與PACS伺服器中使用的舊軟體數量以及軟體自身發現的漏洞數有關。我們調查了相對較少的開源供應商，但它引出了一個問題：如果我們能夠訪問專業硬體和軟體，我們還能找到更多的東西嗎？

Web伺服器中的默認帳戶、跨站腳本或漏洞都可能導致進入系統。研究表明，一旦進入系統，數據和圖片可以永久改變。

2017年5月，一份報告聲稱通過人工智慧研究圖片可以確定一個人的生活時間。如果犯罪分子能夠獲得這些信息並將其用於敲詐勒索，該怎麼辦？

我們理解需要快速共享診斷和治療的醫療數據以及存儲醫療圖像。我們建議醫療機構在為了研究目的而共享開放目錄上的圖像時要小心，並且至少要從圖像中抹去PII數據。

對於使用PACS的組織，請向供應商諮詢其安全功能。採用適當的網路設計，共享系統就能得到妥善保護。不僅要考慮內部安全，還要考慮在與外部系統連接時使用VPN和雙因素認證。

PACS

詳細

X

基本翻譯

abbr. 圖片存檔及通信系統（picture archiving and communication system）

網路釋義

PACS: 圖像存儲與傳輸系統(Picture Archiving And Communication System)

super PACs: 超級政治行動委員會

WAIST PACS: 腰包

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！