Seguridad web en aplicaciones DICOM ViewersElevenPaths 26 noviembre, 2017 En estos últimos meses, hemos continuado investigando acerca de diferentes componentes dentro de los servidores PACS, comentados ya en posts anteriores (PACS y DICOM: Una “radiografía” a las debilidades y fugas de información en sistemas médicos y PacsOne Server “All bugs in One” en la gestión de imágenes radiológicas). Hemos llevado a cabo un análisis general y aleatorio de varios clientes DICOM de tipo web (DICOM Web Viewer) de diferentes fabricantes y proyectos que podemos encontrar en internet en la actualidad, ya sea a través de sus aplicaciones demos o a partir de sus instaladores (versiones free o trial). Como se imaginan, los clientes DICOM desarrollados como aplicaciones web, permiten que algún médico o paciente pueda visualizar las imágenes de una radiografía o datos de estudios realizados desde cualquier dispositivo tecnológico (computadora, móvil, etc.), gestionando con ello información sensible tanto para empresas que los implementan como para los clientes. Lamentablemente, muchas de estas aplicaciones arrastran problemas de seguridad en su código y ponen en riesgo la información de los clientes (pacientes) o la infraestructura en sí misma. OWASP Top 10 vs DICOM Web Viewers Sin ser éste un análisis de código fuente al detalle de estas aplicaciones, quisimos establecer una introducción al estado actual de estas aplicaciones web en referencia al OWASP Top 10, ya que hemos evaluado de manera superficial varias aplicaciones aleatoriamente, obteniendo así los resultados generales expresados en la siguiente matriz: Categoría en OWASP Aplica A1 – Injection ü A2 – Broken Authentication & Session Management ü A3 – Cross Site Scripting (XSS) ü A4 – Broken Access Control ü A5 – Security Misconfiguration ü A6 – Sensitive Data Exposure ü A7 – Insufficient Attack Protection ü A8 – Cross Site Request Forgery ü A9 – Using Components with Known Vulnerabilities ü A10 – Unprotected APIs ü De la mera observación, podemos deducir que en las aplicaciones revisadas todas las categorías de riesgo fueron encontradas, al menos, en una oportunidad dentro de la investigación (muestreo de 12 aplicaciones famosas en el ámbito). A fin de evidenciar lo mencionado, presentamos a continuación un caso (prueba de concepto), de los diferentes hallazgos que hemos recogido durante nuestro breve análisis. Caso A1 [Ataque de Inyección SQL permite lista información de todos los pacientes] Caso A3 [Falta de Validación permite ataques XSS Reflejado] Caso A5 [Falta de Hardening expone información técnica] Caso A10 [Falta de validación en WebServices “APIs” permite Ataque Inyección SQL] Lamentablemente, en términos generales, varios de los fabricantes de este tipo de aplicaciones no parecen poseer procedimientos que garanticen el desarrollo seguro de las mismas, basado en las múltiples vulnerabilidades web encontradas y desconocen que en su mayoría pudieran tener gran impacto tanto en la empresa que la implemente como en sus clientes. Desde ElevenPaths intentamos colaborar con las distintas industrias en mejorar sus plataformas tecnológicas, acercándoles estudios, conocimiento, tecnologías y soluciones basadas en servicios, pero nos queda claro que nos falta un camino muy largo por recorrer a todos. Cada vez que nos proponemos mirar una tecnología diferente, uno puede sentir que ha retrocedido algunos años en cuanto a los controles de seguridad existentes, sin embargo, esos problemas siempre estuvieron allí, no retrocedimos, sólo que hasta este momento no nos habíamos preocupado por mirarlo, y eso nos puede afectar directamente a todos… Carlos Ávila Chief Security Ambassador carlos.avila@global.11paths.com @badboy_nt #CodeTalks4Devs: MicroLatch, construyendo Latch en la palma de tu manoInvestigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (I)
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet
Telefónica Tech Boletín semanal de ciberseguridad, 30 de abril — 6 de mayo TLStorm 2 – Vulnerabilidades en conmutadores Aruba y Avaya Investigadores de Armis han descubierto cinco vulnerabilidades en la implementación de comunicaciones TLS en múltiples modelos de conmutadores de Aruba y...