DICOM2
adv

Il DICOM è il protocollo standard per la comunicazione delle immagini diagnostiche, si rivela quindi un ottimo veicolo per la diffusione dei malware.

 

La falla

Poche settimane fa è stata riportata una falla nella sicurezza dei file DICOM legata al preambolo, sequenza di stringhe che si trova all’inizio del file. Tale sequenza potrebbe, infatti, ospitare un malware, il file sarebbe quindi, al contempo, anche un eseguibile. Un utente potrebbe essere indotto ad eseguire il file oppure un intruso potrebbe accedere alla stazione che legge il file ed eseguire il programma. Si tratta dunque di un attacco in due fasi.

Il Preambolo

Come anticipato, il preambolo è una sequenza di 128 byte, posta all’inizio del file, usata per aumentare la compatibilità con alcuni tipi di dispositivi. Esso consente a software DICOM e non-DICOM di processare lo stesso file. I 4 byte che seguono il preambolo contengono la sequenza di caratteri “DICM” che identifica il file come DICOM. Un visualizzatore DICOM ignora il preambolo e processa il contenuto come DICOM. Un visualizzatore d’immagini come TIFF userà, invece, le informazioni del preambolo per accedere alla locazione contenente le immagini, ignorando il resto del contenuto DICOM.

Il flusso di lavoro

Il DICOM è solo un tassello nel flusso di lavoro ospedaliero che vede l’utilizzo concomitante di altri protocolli. I dati, infatti, prima di arrivare alle apparecchiature medicali, vengono inseriti dal CUP (Centro Unico Prenotazione) per pazienti esterni o in accettazione per coloro che si ricoverano. Contestualmente alla registrazione del paziente vengono richieste una o più procedure. Le informazioni del paziente e dell’esame (motivo, procedura richiesta, etc.) vengono inviate tramite protocollo HL7 ai gestionali dipartimentali. Questi rielaborano e catalogano i dati e creano quella che viene chiamata Worklist DICOM: la lista di lavoro che viene inviata alle modalità (TAC, risonanza magnetica, angiografo, ecografo, etc.). L’operatore seleziona sulla modalità la riga dell’esame corrispondente e quindi la modalità potrà associare a tali dati le immagini che acquisisce.

I dati devono, poi, essere utilizzati. La modalità invierà, quindi, le immagini ad un PACS (Picture Archive and Communication System: archivio immagini) e alcune informazioni sullo stato dell’esame, sulle misurazioni prese, etc. al gestionale dipartimentale su cui verrà creato poi il referto. Tutto ciò sempre tramite protocollo DICOM. Il medico, oltre a refertare tramite gestionale vede le immagini sulla sua Workstation attingendole dal PACS sempre via DICOM.

Successivamente, al paziente verrà dato un supporto, sia esso CD o chiave USB, contenente le immagini del suo esame in DICOM, esse potranno essere utili come precedente per esami futuri o per un riscontro presso altri medici.

Impatto

Pur essendo solo uno dei protocolli utilizzati, il flusso precedentemente illustrato evidenzia come l’interazione di un file DICOM con altri sistemi possa essere esponenziale: al di là della modalità stessa ci sono l’archivio centrale, diverse workstation da cui refertare ma soprattutto, sarà possibile esportare in altri ospedali o centri medici il malware. Un virus che usi tali file come vettore, di conseguenza, potrebbe avere un alto impatto raggiungendo molti sistemi informativi, per di più contenenti dati sensibili.