lunes, 26 de noviembre de 2012

'Anonymous compromete los sitios web de Capio Sanidad'. 'La empresa asegura que los piratas informáticos no tuvieron acceso a los historiales médicos de sus pacientes'. Preguntas en la Asamblea de Madrid al respecto.

'La 9ª de Anonymous compromete los sitios web de Capio Sanidad'

[Hack Players 14/05] La 9ª compañía ha publicado un mensaje informando que han tomado "el control de TODA su identidad online: Capio Sanidad, Capio Enfermería y, aun más grave, las webs de los Hospitales que gestiona, incluyendo citas online, analíticas, etc.".
 
El grupo de Anonymous lleva a cabo esta acción contra la privatización de la sanidad pública y particularmente en represalia contra Capio Sanidad, que se llevará próximamente los hospitales públicos de Castilla La Mancha y Valencia.
Si observamos con detalle el vídeo, vemos que la web utilizaba un servidor de aplicaciones Jboss desactualizado (4.2.3 GA) y la consola JMX era accesible publicamente (www.capiosanidad.es/jmx-console/).

La "demo" muestra como era posible apagar remotamente el servidor de aplicaciones, pero áun más interesante son las URLs que demuestran que se ha conseguido desplegar un webshell (/zecmd/zecmd.jsp).

Probablemente esto se consiguió a través del mbean DeploymentFileRepository y aprovechando la vulnerabilidad CVE-2010-0738: la consola sólo aplica restricciones de seguridad para peticiones GET y POST, obviando otros métodos como HEAD.



Esto nos podría permitir desarrollar una petición para subir y desplegar un war malicioso, tal y como ya explotó masivamente el gusano Linda '[ ...]

Fuente y noticia completa: Hack Players 14/05/2012

'La empresa gestora de seis centros hospitalarios madrileños, tres de ellos de atención público-privada, asegura que los piratas informáticos no tuvieron acceso a los historiales médicos de sus pacientes'

[SER 03/10] 'Según la web hackplayers.com, el ataque fue ideado y llevado a cabo en contra de lo que consideran privatización de la sanidad pública. Los piratas informáticos llegaron a colgar en Youtube un video en el que se mostraban los pasos dados para entrar en las web de Capio. Ese video ha sido ya retirado de Youtube por petición de Capio.

Según los piratas, en el momento del ataque, pudieron consultar el resultado de analíticas de pacientes atendidos por la empresa. Estos datos estan especialmente protegidos por la Ley de Protección de Datos. Capio niega que los piratas infomáticos accedieran a historiales médicos de pacientes atendidos en los centros que gestiona. Un portavoz oficial de la compañía asegura que, en su momento, pusieron la correspondiente denuncia ante la policía. Este ataque fue notificado a la Consejería de Sanidad de Madrid, que dió por buenas las explicaciones de Capio.

Esta empresa gestiona en Madrid entre otros, los hospitales de la Fundación Jiménez Díaz; el Infanta Elena de Valdemoro y el Rey Juan Carlos de Móstoles, que ofrecen atención pública y privada.'

Fuente: Cadena SER 03/10/2012


[Pregunta] 'De la Diputada Sra. Oliva García, del GPS, al Gobierno, sobre actuaciones que han llevado a cabo
para garantizar la protección de datos de carácter personal de pacientes atendidos en centros gestionados
por Capio financiados por la Comunidad de Madrid, en relación al ataque informático que el Grupo Capio
Sanidad sufrió el pasado 14-05-12.
'

RESPUESTA       En relación con la iniciativa de referencia, se informa que en ningún momento los datos de los pacientes del Servicio Madrileño de Salud han estado comprometidos en relación al ataque informático, ya que se trataba de un portal web interno con datos administrativos del propio Grupo Capio. No obstante, el citado Grupo comunicó inmediatamente a la Consejería de Sanidad la existencia de un vídeo en el que se aseguraba que se había realizado un ataque a dicho portal web.

 Tanto tras el incidente como en fechas anteriores al mismo, desde los servicios de la Dirección General de Sistemas de Información Sanitaria de la Consejería de Sanidad, se han tomado todas aquellas acciones necesarias para supervisar que el tratamiento de datos de pacientes con el Grupo Sanidad Capio se realizaba de forma correcta y adecuada a la ley. De esta colaboración han ido surgiendo distintas iniciativas de mejora de la seguridad, que en la actualidad se encuentran implantadas, permitiendo una gestión de los datos de los pacientes en condiciones seguras que garanticen la confidencialidad y que suponen unos niveles adicionales de protección. Así, en el último año se han alcanzado importantes logros entre los que cabe destacar:

- La creación de un repositorio securizado para el intercambio seguro de información entre Capio y la Consejería de Sanidad, el cual supone no solamente un canal seguro para el intercambio de   datos sino que permite también un preciso nivel de auditoría del flujo de los mismos.

 - Adicionalmente a las distintas medidas técnicas se han realizado diversas actuaciones de  formación para la concienciación en el adecuado tratamiento de la información del paciente.
- Se auditan los accesos por parte de los profesionales sanitarios a los datos de historias clínicas  de los pacientes del SERMAS.

Por último, indicar que se ha verificado que entre la documentación alojada en el citado portal en ningún caso se encuentra información de pacientes del Servicio Madrileño de Salud, por lo que no procede el inicio de una investigación'

Fuente: Boletín Oficial de la Asamblea de Madrid Nº 91 de 22/11/2012

2 comentarios:

Anónimo dijo...

¡La consola JMX era accesible públicamente! ¿Cómo es posible, acaso tenían el servidor de aplicaciones tal cual accesible desde internet sin ningún filtro cortafuegos? De ser así, aparte de demostrar una ingenuidad pasmosa, como sea un comportamiento generalizado han tenido posiblemente expuestas más puertas que otros ciberatacantes de tipo malicioso podrían haber utilizado (y los maliciosos no publican nada, claro).

¿Sabéis si esto lo llevan informáticos propios de Capio o "confiaron" estas tareas adecuadamente exigiendo un mínimo de seguridad y protección a alguna empresa externa? ¿Ha habido algún cese dentro o de la empresa contratada en el supuestos caso de que hubiera exigencias de seguridad que no se cumplieron?

Si entiendo bien, Capio presta la atención sanitaria pública de una zona sanitaria de Madrid. ¿Qué acciones técnicas concretas ha tomado la dirección de la sanidad pública "para supervisar"? ¿Acaso han realizado o encargado ellos mismos un análisis forense entrando en las instalaciones y apropiándose de servidores implicados y relacionados para verificar que la parte de pacientes pública no quedaba expuesta? ¿o no han tenido más remedio que creerse lo que dijera Capio?

(No encuentro ninguna información sobre la informática de Capio en vuestra web)

En cuanto a la denuncia a la policía, bueno Anonymous no habrá procedido del todo como los hackers de guante blanco deben hacer (avisar internamente, dar un buen tiempo y si no hay respuesta, denuncia pública) pero posiblemente esto acabe sirviendo para que como efecto colateral se haya cortado accesos maliciosos de los que no se coscaban y en todo caso seguramente contribuirá a mejorar la conciencia en la organización de los cuidados que hay que tener cuando se ofrecen servicios en Internet

Anónimo dijo...

a los que van a a cesar es a vosotros