{{{sourceTextContent.title}}}

El hospital cortado sabía sobre problemas de seguridad

{{{sourceTextContent.subTitle}}}

Los piratas informáticos que interrumpieron seriamente operaciones en una cadena grande del hospital recientemente y detuvieron al rehén de un ciertos datos se rompieron en un servidor del ordenador se fueron vulnerable a pesar de advertencias públicas urgentes desde por lo menos 2007 que necesitó ser fijado con una actualización simple, The Associated Press han aprendido.

{{{sourceTextContent.description}}}

Los piratas informáticos explotaron los defectos de diseño que habían persistido en la red de MedStar Health Inc., según un familiar de la persona con la investigación que habló a condición de anonimato porque no autorizaron a esta persona a discutir los hallazgos público. Los defectos estaban en un servidor de aplicaciones de JBoss apoyado por Red Hat Inc. y otras organizaciones, la persona dijeron. El F.B.I., que está investigando, disminuido para discutir cómo los piratas informáticos se rompieron adentro.

La tecnología de JBoss es popular porque permite que los programadores escriban las herramientas de software a la medida que se pueden rápidamente hacer disponibles a través de una compañía, pero los investigadores de la seguridad descubrieron misconfigured rutinario para permitir a usuarios exteriores desautorizados al control de ganancia. El gobierno, Red Hat y otros de los E.E.U.U. publicaron advertencias urgentes sobre el problema de seguridad y un defecto relacionado en febrero de 2007, marzo de 2010 y otra vez a principios de esta semana. El gobierno advirtió que en 2007 el problema podría interrumpir operaciones y permitir divulgaciones desautorizadas de información confidencial.

Fijando el problema implicado instalando una actualización disponible o manualmente suprimiendo dos líneas de codifique en software.

No estaba inmediatamente claro porqué la cadena del hospital, que actúa 10 hospitales en Maryland y el distrito de Columbia incluyendo el hospital de la universidad de MedStar Georgetown, era años todavía vulnerables después de esas advertencias. El nuevo acceso no disminuye la culpabilidad potencial de los piratas informáticos responsables del robo, sino que revela los detalles importantes sobre cómo el crimen reveló. Y podría afectar a la exposición civil o administrativa de MedStar bajo las leyes y regulaciones de los E.E.U.U. que requieren a proveedores de la salud ejercitar diligencia razonable para proteger sus sistemas.

El vicepresidente auxiliar de MedStar, Ann C. Nickles, dijo en una declaración martes al AP que la compañía “mantiene la vigilancia constante de sus redes de las TIC conjuntamente con nuestros socios de las TIC y expertos exteriores del cybersecurity. Aplicamos continuamente remiendos y otras defensas para proteger la seguridad y la confidencialidad de la información del paciente y del socio.” MedStar dijo que lunes sus sistemas “está en línea casi completamente trasero,” apenas durante una semana después de cortar del 28 de marzo. La compañía contrató a expertos de Symantec Corp. para ayudar a investigar.

Los níqueles dijeron que martes allí no era ninguna prueba que los expedientes del paciente o del empleado fueron comprometidos.

MedStar dijo en una declaración el viernes por la noche al AP que no proporcionaría los detalles sobre cómo ocurrió el ataque, y criticó el seguimiento de los medios adicional del caso como la perpetuación “de la infamia de los ataques malévolos para el tiempo en antena y la publicidad” y animar a piratas informáticos del imitador.

Los piratas informáticos de MedStar emplearon el software de tipo virus conocido como Samas, o el “samsam,” que friega Internet que busca para los servidores de aplicaciones accesibles y vulnerables de JBoss, especialmente unos usados por los hospitales. Es el equivalente del mundo real de tiradores de confusión en una vecindad para encontrar hogares desbloqueados. Cuando encuentra uno, las roturas del software al usar las viejas vulnerabilidades, después pueden separarse a través de la red de la compañía robando contraseñas. A lo largo del camino, cifra decenas de ficheros digitales y previene el acceso a ellos hasta que las víctimas paguen a piratas informáticos un rescate, generalmente entre $10.000 y $15.000.

Si una víctima no ha hecho copias de seguridad seguras de ficheros, puede haber poca opción excepto a pagar, aunque MedStar haya dicho que no pagó nada. La cadena del hospital cerró sus sistemas rápidamente después de descubrir el ataque, limitando su impacto a los archivos, algunos ficheros de la proyección de imagen y del laboratorio y otros expedientes duplicados, según la persona con el conocimiento interior del ataque.

“Este viejo problema todavía se separa de alguna manera a través de los servidores del Internet-revestimiento,” dijo Stefano Di Paola y a Giorgio Fedon de la seguridad Minded, una empresa de seguridad italiana, en una declaración común al AP. Descubrieron una vulnerabilidad relacionada en los servidores en 2010 que Red Hat señaló su más prioritario para fijar.

El F.B.I. publicó un mensaje de destello a las compañías los días después del MedStar que cortaba, describiendo los peligros del samsam y pidiendo la ayuda que lo detectaba y que mejoraba defensas contra él. Días después, el Departamento de Seguridad de la patria publicó una advertencia separada sobre el samsam y otra tensión común del ransomware, Locky, que engaña a víctimas en los accesorios de apertura del correo electrónico para infectar los ordenadores.

Cisco Systems Inc., que ha estudiado los ataques, estimaba que había cerca de 2,1 millones de servidores en todo el mundo vulnerables al samsam, aunque algunos se puedan proteger además por otras capas de seguridad. Describió la campaña del ransomware como “demostrando ser un asunto rentable.”

“Si usted no ha remendado su servidor, usted es vulnerable, y puede comprometer su servidor en 3 mañanas por la mañana cuando nadie que mira,” dijo a Craig Williams, líder técnico mayor en Talos, organización de investigación de la seguridad de Cisco. “Éste es simplemente un caso de la gente que no sigue mejores prácticas y que no aplica los remiendos para que la gente corrija sus sistemas.”

La identificación de los piratas informáticos y el arresto de ellos pueden ser difíciles. El trazado de la actividad de exploración que precede un ataque lleva típicamente a otros ordenadores cortados; los registros que pudieron rendir la identificación de pistas pueden ser manipulados o ser suprimidos y el software del samsam es inusualmente autosuficientes y no requiere a piratas informáticos controlarlos después de una infección. Los rescates son pagados usando moneda digital del duro-a-rastro.