Miele-vaatwasser in ziekenhuizen is kwetsbaar voor hackers
Hij spoelt, hij droogt en hij lekt - dit zou de slogan kunnen zijn van een industriële vaatwasser van Miele die met internet verbinding kan maken en in de virtuele wereld inderdaad zo lek is als een mandje. De webserver die de witgoedfabrikant in zijn Miele Professional PG 8528 heeft gebouwd, blijkt door een slechte beveiliging kwetsbaar voor aanvallen door hackers.
Het apparaat is geen gewone vaatwasser, maar een zogenoemde thermodesinfector, die in ziekenhuizen wordt gebruikt om instrumentarium uit operatiekamers te ontsmetten. Het apparaat is voorzien van een webserver die toegankelijk is via het bedrijfsnetwerk van het ziekenhuis. Deze door Miele gebruikte webserver blijkt gevoelig voor 'directory traversal attacks'. Dit betekent dat elke bezoeker van de server vrijelijk door alle bestandsmappen kan struinen.
'Op zich niet zo'n probleem, want op een vaatwasser zal weinig gevoelige informatie staan', zegt beveiligingsexpert Loran Kloeze. Maar als zo'n apparaat is aangesloten op het netwerk van een ziekenhuis, kan het volgens Kloeze in theorie worden gebruikt om toegang te krijgen tot informatie op andere systemen.
(Update 4 april 2017: Miele gaat een beveiligingslek dichten in desinfectieapparatuur voor ziekenhuizen. Het concern, erkent dat sprake is van een mogelijk beveiligingsgevaar en gaat bij duizenden apparaten die wereldwijd zijn verkocht op locatie de software updaten. Klanten in Nederland zijn geïnformeerd. In een persverklaring dankt Miele hacker Jens Regel die het lek heeft ontdekt en het al maanden geleden onder de aandacht heeft gebracht bij het bedrijf en zegt het te betreuren dat het geen reactie heeft gegeven op eerdere meldingen. 'We beschouwen dit als ernstig plichtsverzuim', aldus de verklaring.)
Het gevaar schuilt erin dat een kwaadwillende door de mappen omhoog kan 'klimmen' tot de zogenoemde 'root directory', de hoofdmap. Daarin staat vaak informatie over de beveiliging van het systeem. 'Hacken is in feite recherchewerk. Hoe meer informatie je kunt verzamelen, hoe beter een apparaat te kraken is', stelt Kloeze.
Als het eenmaal gelukt is de beveiliging te kraken, kan een hacker met behulp van schadelijke software een botnet creëren waarmee andere websites worden aangevallen, zegt Kloeze, die eerder zwakheden blootlegde in de Stemwijzer.
Dat met huis-tuin-en-keukenapparaten grote schade kan worden aangericht, bleek vorig jaar, toen een netwerk van onder meer slecht beveiligde surveillancecamera's een groot deel van het Amerikaanse internet lam legde. Of dat met deze Miele ook kan, zegt Kloeze niet te weten. Een woordvoerder van Miele Nederland zegt dat het apparaat in kwestie altijd in een bedrijfsnetwerk hangt, en dat de verantwoordelijkheid voor de beveiliging bij de netwerkbeheerders van het ziekenhuis ligt. Kloeze noemt dat onzin. 'Fabrikanten moeten de beveiliging van hun eigen apparatuur op orde hebben. Zeker in een ziekenhuisomgeving.'
undefined
