Autor Wątek: Bezpieczeństwo aplikaci w przychodniach (Przeczytany 349 razy)

adam.kowalski · « **dnia:** Października 04, 2025, 21:24:36 pm »

Problem wstępnie opisany tutaj: https://opensecurity.pl/wrazliwe-dane-medyczne-milionow-polakow-na-wyciagniecie-reki/

Aplikacje mają niestety dalej wiele podatności. Do bazy mMedica można było się zalogować mając dostęp do niej na poziomie sieciowym jeszcze miesiąc temu. Teraz nie wiem jak jest, ponoć we wrześniu mieli to naprawić (https://mmedica.asseco.pl/aktualnosci/mozliwa-podatnosc-na-ataki-w-instalacjach-klienckich/).

Cały opis problemu oraz pokazanie skali załączam, można też pobrać go tutaj: https://anonfilesnew.com/FnCtFiUib_j/med_zip

Moje rady:
- odetnijcie wszelki dostęp z zewnątrz do baz danych i pamiętajcie, że jeżeli atakujący ma jakiekolwiek konto w programie, bez względu na uprawnienia, może zmodyfikować dosłownie wszystko i wykraść certyfikaty lekarzy, a w mmedica to nawet nie musiał mieć konta żeby to zrobić.
- Nie wierzcie firmom robiącym audyty bezpieczeństwa. Nie wykrycie tego to żenada, pewnie sprawdzają papiery tylko, z punktu widzenia IT nie mają pojęcia o bezpieczeństwie.
- Nie wierzcie nikomu, w szczególności mMedica, że rozwiązali w 100% problem, bez przedstawienia publicznie algorytmu autoryzacji do baz danych w ich programie.
- Opisany jest Kamsoft, dreryk i mMedica, ale na 99% inne mają analogiczne podatności.

Wyrażam zgodę na wszelkie powielanie, kopiowanie i rozpowszechnianie tego wpisu wraz z załączonym plikiem.

MK · « **Odpowiedź #1 dnia:** Października 06, 2025, 12:16:08 pm »

Oj... a ile w KS-SOMED nasłuchaliśmy się od naszych Klientów, że jesteśmy niepoważni, gdyż w przypadku wykrycia standardowego, czy też zbyt oczywistego hasła na bazę danych pojawiała się tabliczka mnożenia. To nie anegdota, ale temat się wyprostował dopiero jak zaczęliśmy prosić o podanie wyniku mnożenia dwóch liczb dwucyfrowych. Przy "szkolnej" tabliczce mnożenia wielu nadal nie uważało za stosowne zmienić hasło do bazy i woleli być co logowanie testowani z zakresu niskich klas podstawówki.

MK · « **Odpowiedź #2 dnia:** Października 06, 2025, 12:26:14 pm »

I żeby było jasne, pod każdą z powyższych rad podpisuję się. Dodam swoją, przynajmniej jeśli o KS chodzi (no dobra, na pewno jeśli o KS-SOMED chodzi). Jeśli cokolwiek znajdziesz niebezpiecznego albo masz jakąkolwiek wątpliwość, zgłaszaj producentowi. I druga rada. Nie tylko baza powinna być odcięta od internetu (no chyba ,że mamy specjalne rozwiązanie, ale wtedy zakładam, że mamy do czynienia z VPN) ale sam komputer udostepniający bazę powinien być niedostępny nawet z sieci lokalnej. To znaczy, katalog do bazy powinien być całkowicie niedospany. W przypadku FB istnieje możliwość zgrania pliku z bazą i wrzucenie jej na swoją instalację. A wtedy mamy własne hasło na sysdba (przynajmniej tak to było w FB< 3 ale i w 3 też to chyba tak działa). Dlatego fizyczny plik z bazą danych - do niego dostęp powinien nieć tylko admin.

adam.kowalski · « **Odpowiedź #3 dnia:** Października 06, 2025, 21:13:39 pm »

KS-SOMED nie analizowałem, ale podejrzewam, że tak samo jak inne programy kamsoftu, KS-SOMED posiada jedno, główne hasło do bazy danych, ustalane przy instalacji. Jak masz dostęp do stanowiska z KS-SOMED, to nawet nie musisz mieć użytkownika w programie. Odzyskujesz hasło z plików programu (albo przechwytujesz je z połączenia), łączysz się bezpośrednio z bazą i robisz co chcesz?

Załączam jeszcze stanowisko w sprawie, które otrzymałem od dreryk i mmedica.

MK · « **Odpowiedź #4 dnia:** Października 06, 2025, 23:00:52 pm »

Hasło do bazy danych ustala administrator, nie Kamsoft. Jeśli Admistrator nie zmieni hasła na inne to SOMED każdemu operatorowi, tuż po zalogowaniu napisze, że ma słabe hasła i aby pójść dalej należy podać wynik mnożenia dwóch liczb dwucyfrowych. To rozwiązanie okazało się bardzo skuteczne i każda instalacja ma swoje własne hasło, żadna nie chodzi ani na masterkey ani na innym popularnym haśle. Nie odzyskasz hasła z plików programu bo go tam nie ma. Jeszcze raz, każda instalacja - administrator sam sobie wpisuje hasło. Oczywiście jest ono "gdzieś" zapisane, zakodowane, bo inaczej jakby miał się program do bazy podłączyć, ale nie spotkałem się z sytuacją "odtworzenia" hasła. Co zresztą istotne, w każdej instalacji jest użyty inny klucz szyfrujący. Przechwytywanie hasła przy połączeniu, może się da, może nie, ale co by nie robić, w jakiś sposób aplikacja musi bazie hasło przekazać.

adam.kowalski · « **Odpowiedź #5 dnia:** Października 07, 2025, 11:13:05 am »

Ja mówię właśnie o odzyskaniu hasła z plików programu w danej placówce, gdy atakujący ma dostęp do komputera z klientem programu (ale nie musi mieć już konta użytkownika w tym programie). Takie hasło da się odzyskać, nie jest to generalnie trudne zadanie, proszę spojrzeć jakie to było łatwe dla dreryk używając API-Monitor, a isnieje wiele innych technik, żeby to zrobić. Co więcej, często nawet nie trzeb tego robić, można do wykonania zapytań bezpośrednio na bazie danych wykorzystać to połączenie, które tworzy z nią program (opisane jest to pod wcześniejszym linkiem na przykładzie mMedica).

Tak, aplikacja w jakiś sposób musi się do bazy danych połączyć i to jest główny problem. Nie powinna tego robić bezpośrednio.

MK · « **Odpowiedź #6 dnia:** Października 07, 2025, 12:49:26 pm »

OK. Nie twierdze, KS-SOMED i inne systemy KS, są wybitnie zabezpieczoną i niemożliwe do złamania, jednak nikt takiej podatności nam nie zgłosił. Przez nikt rozumiem właśnie CERT Polska, która, zgodnie z tym co opisano, przekazała nam stosowne informacje i o ile wiem inne systemy KS również wdrażały takie czy inne metody "zachęcania" administratorów do używania własnych, a nie standardowych haseł. A, i tu znów, zgodnie z opisem, zastrzeżenia właśnie dotyczyły tego, że administrator może zignorować komunikat o konieczności zmiany hasła.