{{{sourceTextContent.title}}}

L'hôpital entaillé a su des problèmes de sécurité

{{{sourceTextContent.subTitle}}}

Les pirates informatiques qui sérieusement ont perturbé des opérations à une grande chaîne d'hôpital récemment et ont tenu l'otage de quelques données ont divisé en serveur d'ordinateur ont laissé vulnérable en dépit des avertissements publics urgents depuis au moins 2007 qu'il a dû être fixé avec une mise à jour simple, The Associated Press a appris.

{{{sourceTextContent.description}}}

Les pirates informatiques ont exploité les défauts de conception qui avaient persisté sur le réseau de MedStar Health Inc., selon un au courant de personne de l'enquête qui a parlé à condition de l'anonymat parce que cette personne n'a pas été autorisée à discuter les résultats publiquement. Les failles étaient dans un serveur d'applications de JBoss soutenu par Red Hat Inc. et d'autres organismes, la personne ont indiqué. Le FBI, qui étudie, refusé pour discuter comment les pirates informatiques se sont cassés dedans.

La technologie de JBoss est populaire parce qu'elle permet à des programmeurs d'écrire les outils logiciels sur commande qui peuvent être rapidement rendus disponibles à travers une société, mais les chercheurs de sécurité ont découvert qu'elle misconfigured par habitude pour permettre aux utilisateurs extérieurs non autorisés de gagner le contrôle. Le gouvernement, Red Hat et d'autres des États-Unis ont publié des avertissements urgents au sujet du problème de sécurité et d'une faille relative en février 2007, mars 2010 et encore plus tôt cette semaine. Le gouvernement a averti qu'en 2007 le problème pourrait perturber des opérations et tenir compte des divulgations non autorisées de renseignements confidentiels.

En fixant le problème impliqué en installant une mise à jour disponible ou en supprimant manuellement deux lignes de intégrez dans le logiciel.

Il n'était pas immédiatement clair pourquoi la chaîne d'hôpital, qui actionne 10 hôpitaux dans le Maryland et le District de Columbia comprenant l'hôpital d'université de MedStar Georgetown, était des années encore vulnérables après ces avertissements. La nouvelle révélation ne diminue pas la culpabilité potentielle des pirates informatiques responsables du cambriolage, mais elle indique les détails importants au sujet de la façon dont le crime a dévoilé. Et elle pourrait affecter l'exposition civile ou administrative de MedStar aux termes des lois et des règlements des États-Unis qui exigent des fournisseurs de santé d'exercer la diligence raisonnable pour protéger leurs systèmes.

Vice-président auxiliaire de MedStar, Ann C. Nickles, a dit dans une déclaration mardi à AP que la société « maintient la surveillance constante de ses réseaux informatiques de concert avec nos associés et experts en matière informatiques extérieurs de cybersecurity. Nous appliquons sans interruption des corrections et d'autres défenses pour protéger la sécurité et la confidentialité d'information de patient et d'associé. » MedStar a dit que lundi ses systèmes « est en ligne presque entièrement arrière, » juste au-dessus d'une semaine après entailler du 28 mars. La société a engagé des experts de Symantec Corp. pour aider à étudier.

Les nickels ont indiqué que mardi là n'était aucune preuve que des disques de patient ou d'employés ont été compromis.

MedStar a dit dans une déclaration vendredi soir à AP qu'il ne fournirait pas des détails au sujet de la façon dont l'attaque s'est produite, et elle a critiqué davantage de couverture médiatique du cas en tant que perpétuer « l'infamie des attaques malveillantes pour la diffusion et la publicité » et les pirates informatiques d'une manière encourageante de copieur.

Les pirates informatiques de MedStar ont employé le logiciel de type viral connu sous le nom de Samas, ou le « samsam, » qui récure l'Internet recherchant les serveurs d'applications accessibles et vulnérables de JBoss, particulièrement ceux employés par des hôpitaux. C'est l'équivalent réel des poignées de porte de cliquetis dans un voisinage pour trouver les maisons débloquées. Quand il trouve un, les coupures de logiciel en employant les vieilles vulnérabilités, alors peuvent écarter à travers le réseau de la société en volant des mots de passe. Le long de la route, il chiffre scores de dossiers numériques et empêche l'accès à eux jusqu'à ce que les victimes payent aux pirates informatiques une rançon, habituellement entre $10 000 et $15 000.

Si une victime n'a pas fait les supports sûrs des dossiers, il peut y avoir peu de choix excepté à payer, bien que MedStar ait indiqué qu'il n'a payé rien. La chaîne d'hôpital a arrêté ses systèmes rapidement après découverte de l'attaque, limitant son impact aux archives, quelques dossiers de représentation et de laboratoire et d'autres disques en double, selon la personne avec la connaissance intérieure de l'attaque.

« Cette vieille question encore est d”une certaine manière écartée à travers des serveurs d'Internet-revêtement, » a dit Stefano Di Paola et Giorgio Fedon de sécurité Minded, une firme en valeurs mobilières italienne, dans une déclaration commune à AP. Ils ont découvert une vulnérabilité relative dans les serveurs en 2010 que Red Hat a indiqué son plus prioritaire pour fixer.

Le FBI a fourni un message instantané aux sociétés des jours après le MedStar entaillant, décrivant les dangers du samsam et demandant l'aide le détectant et améliorant les défenses contre lui. Des jours plus tard, le département de Sécurité du territoire a publié un avertissement distinct au sujet d'un samsam et d'une tension commune différente de ransomware, Locky, qui dupe des victimes dans les attachements s'ouvrants d'email pour infecter des ordinateurs.

Cisco Systems Inc., qui a étudié les attaques, a estimé qu'il y avait environ 2,1 millions de serveurs autour du monde vulnérable au samsam, bien que certains puissent être en plus protégés par d'autres couches de sécurité. Il a décrit la campagne de ransomware comme « s'avérant être une affaire rentable. »

« Si vous n'avez pas raccordé votre serveur, vous êtes vulnérable, et il peut compromettre votre serveur à 3h du matin pendant le matin quand personne observant, » a dit Craig Williams, un chef technique supérieur chez Talos, organisation pour la recherche de la sécurité de Cisco. « C'est simplement un cas des personnes ne suivant pas les pratiques et n'appliquant pas des corrections pour que les personnes corrigent leurs systèmes. »

L'identification des pirates informatiques et les arrêter peuvent être difficiles. La découverte de l'activité de balayage précédant une attaque mène typiquement à d'autres ordinateurs entaillés ; les rondins qui pourraient rapporter identifier des indices peuvent être manoeuvrés ou supprimés et le logiciel de samsam est exceptionnellement autosuffisant et n'exige pas des pirates informatiques de les commander après une infection. Les rançons sont payées utilisant la devise numérique de dur-à-trace.