DICOM3_red
adv

Abbiamo visto che impatto possa avere una vulnerabilità nel file DICOM, ma come prevenirla?

Abbiamo precedentemente trattato cos’è un file DICOM e come funziona ed abbiamo analizzato una possibile vulnerabilità recentemente emersa.

A tal proposito il DICOM security group, gruppo di esperti che si occupa della sicurezza per quanto riguarda il protocollo DICOM, fornisce alcune strategie e linee guida per mitigare il rischio.

Considerazioni generali

Proprio come si fa per gli allegati delle e-mail è necessario prestare attenzione quando si aprono i file provenienti da altri sistemi. I programmi che processano i DICOM devono prendere precauzioni. Gli antivirus non devono escludere i file DICOM presupponendo che siano sicuri.

Il DICOM non è pensato per ospitare codice eseguibile, quindi, non deve avere estensione di eseguibile e, in una scansione, trovare del codice eseguibile può essere un campanello d’allarme per identificare la minaccia.

La visualizzazione di un contenuto DICOM da parte di un visualizzatore DICOM salta il preambolo, per cui non dovrebbero esserci problemi a meno che l’utente non vada ad attivare il programma in altro modo.

Dispositivi di scambio

CD e DVD sono per loro stessa natura read-only e quindi non modificabili, tuttavia la contraffazione può avvenire a monte della masterizzazione. USB ed allegati mail d’altra parte sono scrivibili e possono essere modificati. A meno di una modifica a monte, questi sono da considerare sicuri solo se associati a sistemi di sicurezza, crittografia etc.

L’invio di immagini sul network, via protocollo DICOM, disabilita il preambolo, la parte del file contenente il malware, pertanto si evitano contaminazioni di PACS (Archivi di immagini) che, tuttavia, possono essere contaminati se l’invio avviene in altro modo, ad esempio via DICOM Web Services. Ancora una volta, il contenuto malevolo può rimanere ma va eseguito in una seconda fase dell’attacco.

Archivi

I sistemi di archiviazione DICOM devono abilitare opzioni per avere un preambolo sicuro, e.g.: un preambolo vuoto, o sicuro, alcuni ricevitori aggiungono 128 bytes di 00H. Chiaramente la rimozione del preambolo rimuoverà la compatibilità con i visualizzatori di immagini non-DICOM utilizzati per studi particolari come la digital pathology, in cui vengono usate delle librerie TIFF (Tagged Image File Format) ben collaudate per il processing e l’analisi delle immagini di microscopio digitalizzate.

A rafforzare ciò occorre un rigido controllo degli accessi, antivirus ed uno scanner per validare i file.

Formato del preambolo

Come già detto, il preambolo viene usato solo per i file non DICOM, se il sistema di ricezione è DICOM e legge solo quella parte del file, estraendola ed inserendola in un database e scartando il resto il malware non verrà salvato, a meno che non venga eseguito inducendo l’utente a compiere altre azioni.

Per i file non-DICOM è importante adottare una tecnica white list: sapere i formati accettabili in modo da far scattare allarmi in caso di non corrispondenza. Ad esempio, un preambolo valido per file d’immagine TIFF è MM\x00\x2a oppure II\x2a\x00.

Conclusioni

Come visto il preambolo, per quanto sia una falla nella sicurezza, risulta molto utile se correttamente utilizzato e controllato. Alcuni metodi di prevenzione già esistono, bisogna curarsi di attivarli e gestirli in maniera appropriata. Altri possono essere facilmente impostati dagli esperti del settore.

Di base ci sono sempre le normali precauzioni e l’attenzione dell’utente a non eseguire accidentalmente programmi indesiderati.