Wie sicher ist der Konnektor von CGM?

[Lazarus]

CCC-Hacker entschlüsseln TI-Konnektor​ von CompuGroup Medical, allerdings mussten Sie etwas herumlöten.
Die Paraphrase konnte mit einem Tool auf der frei zugänglichen System-Partition ausgelesen werden

https://www.heise.de/news/Gesundheitsne ... 05512.html

[FortiSecond]

Hier bin ich ausnahmsweise mal entspannt:

Analogie: Jemand kann über Zäune springen, Schlösser knacken, Alarmanlage totlegen und aus dem Tresor im Keller eine Delmag H2S (Explosionsramme) klauen und damit... äh ja... was eigentlich?


1) Rückblick: Die Logproblematik (eGK-IDs im Secunet-Konnektor) war ja eher ein formales Problem, weil Dienstleister im Konnektor diese IDs hätten sehen können. Mit Rückführung per PVS wäre ein Rückschluss auf Person und Zeitpunkt möglich gewesen. Da wurde secunet reflexartig in eine Ecke geschubst. Das war kurz vor dem Ransomware bei CGM...

2) Die Unsicherheit des Konnektors wie vorgeführt: Ja nun... jedes Auto kann aufgebrochen und gestartet werden, und mit diesem Auto können Straftaten verübt werden.
Physischer Zugriff auf den Konnektor kann also unter Nutzung weiterer Faktoren dazu führen, einen Fake-Konnektor zu bauen, der online gehen könnte, bis der VPN-Zugangsdienst die Freischaltung sperrt.
Also könnten böse Personen hier einen Zugriff auf die TI bekommen. Das ginge natürlich auch einfacher direkt am manuell bedienten oder per eingeschleuster oder gehackter Fernsteuerung verwendeten Praxis-PC - solange keine ideale Welt existiert, in der die Kartenleser abgeschaltet werden können ohne dadurch schnell zu verrecken (ORGA 6141 online) und in der die PIN der Praxisausweise geheim bleiben.

- Theoretisch könnte hier die Konnektorkommunikation abgegriffen werden, Fake-Daten (AU-Bescheinigungen, ePA(?)) in die Verarbeitung gelangen und somit eine Praxis "unter Druck gesetzt werden".
- Es gibt mindestens 10 schnellere, effektivere und weniger aufwendige Wege, die TI oder eine Praxis zu kompromittieren.

Meinung: Schön, dass Hacker diese Lücke aufdecken und dass es eine Welle wirft. Unschön, dass das verunsichert und letztlich nach einer Welle der Empörung völlig untergehen wird.
Schöner wäre, die Machenschaften an anderer Stelle intensiv zu untersuchen und damit eine ordentliche Welle zu erzeugen. Das würde nicht nur die Sicherheit verbessern, sondern womöglich der Umwelt und dem Geldbeutel und am Ende der Versorgungsqualität zugute kommen.

Idee eines Nutzens: Sonderkündigung wegen Sicherheitsmangel. Ganz sicher ein Streitfall. Und die Alternative dazu kann nur Ausstieg aus TI sein, was mangels Mitstreitenden und Auseinandersetzungen um Honorarabzüge nicht attraktiv erscheint.

Fazit: Diese Sicherheitslücke ist formal existent. Kein System ist zu 100% sicher. Die Ausnutzung dieser Lücke erfordert eine Menge an Wissen und Aufwand (zeitlich wie technisch). Doch dürfte es kein brauchbares Motiv für diese Art von Angriff geben, schon weil es vielerlei einfachere Methoden gibt, diesen begrenzten Nutzen zu erwirken.

Was bleibt, ist die Feststellung der Lächerlichkeit. Wessen? Der hysterisch und gebetsmühlenartig propagierten Behauptung, ein gSMC-KT-Tausch sei zu unsicher. Und DAS ist der einzig erkennbare Nutzen, der aber wohl nicht daraus erwachsen wird. Dafür sorgen vermutlich schon die richtigen Leute...

[RAMöller]

Zusamengefasst kann man also sagen: Unsicher und ziemlich teuer.

(Leider wird bei Heise.de nicht erwähnt, warum der eMMC-Speicher ausgelötet werden musste und nicht per Sonden abgegriffen werden konnte)

[nmndoc]

Zusamengefasst kann man also sagen: Unsicher und ziemlich teuer.

(Leider wird bei Heise.de nicht erwähnt, warum der eMMC-Speicher ausgelötet werden musste und nicht per Sonden abgegriffen werden konnte)

wird das nicht erklärt? hab den Artikel zwar nur schnell überflogen, aber ist nicht genau das der Beweis gewesen, dass es keine Hardware-Bindung gibt? Und wenn ich mich nicht irre würde daraus auch folgern, dass man die HW eigentlich nicht tauschen muss?

Zu oben: Die primäre - und leider nicht neue (was es noch schlimmer macht) - Erkenntnis ist, dass gar nicht entscheidend ist, ob ein System sicher oder unsicher, gut oder schlecht gemacht, sinnvoll oder unsinnig ist - es wird im Zweifelsfall einfach trotzdem durchgedrückt - mutmaßlich aufgrund einer Kombination von Inkompetenz und wirtschaftlichen Interessen.

zB zwei offensichtliche Dinge, die von Anfang an feststanden:

a) wie unsinnig im Wesentlichen darauf zu bauen, dass Konnektor und Ausweise nur braven berechtigte Personen zugänglich sind - das widerspricht schon komplett sämtlichen sonstigen Security-Ansätzen und ist in etwa wie "abe wir hatten doch ein Schild aufgehängt: "Zutriff nur für berechtigte Personen")

b) Was war/ist denn bisher der wesentliche Anwendungsfall? Versichertendaten auf der Karte aktualisieren. Alleine durch diese Kosten/Nutzen-Betrachtung wäre eigentlich das "aus" für das System gegeben

[RAMöller]

Der eMMC Soeicher ist nicht zu verwechseln mit diesen drei Steckkarten, die ohnehin nur rausgezogen werden müssen.
Im eMMC-Speicher ist die Paraphrase hinterlegt, mit der man den verschlüsselten Inhalt auslesen kann und weitere Passwörter einfesehen werden können.

[nmndoc]

Der eMMC Soeicher ist nicht zu verwechseln mit diesen drei Steckkarten, die ohnehin nur rausgezogen werden müssen.
Im eMMC-Speicher ist die Paraphrase hinterlegt, mit der man den verschlüsselten Inhalt auslesen kann und weitere Passwörter einfesehen werden können.

eben - und damit man Teile des Systems in einer VM laufen lassen konnte, die dann auch Zugriff auf den Schlüssel / Passphrase erlangt - konnte man zeigen, dass dies auch außerhalb der "richtigen" Hardware möglich ist - also quasi auf fremder

[nmndoc]

Zusamengefasst kann man also sagen: Unsicher und ziemlich teuer.

(Leider wird bei Heise.de nicht erwähnt, warum der eMMC-Speicher ausgelötet werden musste und nicht per Sonden abgegriffen werden konnte)

Da steht "mangeld Debugging-Schnittstelle"

[FortiSecond]

Die nicht existente Hardwarebindung war ja schon beim ersten Zerlegen eindeutig. Die Phrase im eMMC ist ja letztlich auch nur ein Teil der Firmware. eMMC ist kein ROM.
Und da gSMC-KT den wesentlichen Punkt bildet (Freischaltung VPN-Dienst, quasi "Verheiratung bis auf Widerruf"), ist der Rest eigentlich gar nicht wichtig.

Allerdings hat CGM ja nach ersten großen Beitrag (der zerlegte Konnektor) recht schnell argumentativ darauf abgestellt, dass solch ein Umbau ja nur im abgesicherten Umfeld erfolgen dürfe, wegen BSI und so.
Das ist fast so eine Farce wie die Irreparabilität der ORGA 6141 online bei Slotdefekt -> Wie kann es teurer sein, ein Gerät zu rezertifizieren und sicher zu versenden als ein neues rauszuschicken? Ganz einfach: Weniger Gewinn bedeutet "teurer".

Aber hey:
Lieber unnötigerweise die auf Halde liegenden CGM-Konnektoren verbauen,
die bisherigen entsorgen und CGM füttern,
als unnötigerweise die bisherigen KoBo (die ja im Gegensatz zu secunet und RISE bereits am Leistungslimit sein sollen) weiterzubetreiben und
die neuen auf Halde liegenden Konnektoren zu entsorgen.
Beides eine Umweltsauerei, beides allein dank zu schwacher Auslegung von Anfang an (bei der KoBo), beides natürlich zu einem schwer nachvollziehbaren Tarif.

Ja, aus dieser Argumentation ergibt sich, dass der Tausch sinnvoll ist: Die alte Box ist sowieso am Ende (PTV5?) und würde zeitnah E-Schrott.
Ja, der Tausch ist erforderlich, um nicht ohne TI dazustehen.

Womit könnte man das Tauscherfordernis ersparen?
a) Bei PTV 4 anhalten und diejenigen Funktionalitäten in die TI 2.0 verlegen, die eine Kocobox nicht mehr packt. Das sind planmäßig knapp 2 Jahre... ePA will keiner, eRp ist halbgarer Krams, und den Rest kriegt CGM vermutlich ähnlich praxisgerecht auf die Reihe wie KIM und die eAU.
b) "Übergewinnsteuer" bzw. Verpflichtung der Abgabe zum Selbstkostenpreis. Ich wette, dass innerhalb von Tagen auch bei der Kocobox überraschende Möglichkeiten entstehen können

[RAMöller]

Zusamengefasst kann man also sagen: Unsicher und ziemlich teuer.

(Leider wird bei Heise.de nicht erwähnt, warum der eMMC-Speicher ausgelötet werden musste und nicht per Sonden abgegriffen werden konnte)

Da steht "mangeld Debugging-Schnittstelle"

Das hat mich schon etwas irritiert, da man mit feinen Sonden selber Schnittstellen am Chip herstellen kann, ohne auszulöten. Ich glaube, der Hack wurde zuemlich komplziert dargestellt