Titelaufnahme

Titel
Aycan "OsiriX" - Eine Sicherheitsanalyse
Weitere Titel
Aycan "OsiriX" - A Security analysis
VerfasserJamnig, Andreas
GutachterKoschuch, Manuel
Erschienen2015
Datum der AbgabeSeptember 2015
SpracheDeutsch
DokumenttypBachelorarbeit
Schlagwörter (DE)Sicherheitsanalyse / Aycan / OsiriX / Teleradiologie / Telemedizin / SSL/TLS / Man-in-the-Middle Angriff / ARP-Spoofing
Schlagwörter (EN)Security analysis / Aycan / OsiriX / Teleradiology / Telemedicine / SSL/TLS / Man-in-the-Middle Attack / ARP-Spoofing
Zugriffsbeschränkung
 _
Klassifikation
Zusammenfassung (Deutsch)

Kurzfassung. Diese Arbeit behandelt eine Sicherheitsanalyse eines Systems zur medizinischen Bildbearbeitung und Übertragung. Hierfür werden die Software "OsiriX" und Hardware Komponenten wie MacBooks und iPads, welche für das Teleteaching genutzt werden, verwendet. Dabei sollen zuerst allgemeine Aspekte der Telemedizin, und im speziellen der Teleradiologie, erklärt werden. Anschließend wird auf grundlegende Aspekte der IT-Security eingegangen. Im zweiten Kapitel wird der verwendete DICOM Standard erklärt und aufgezeigt, welche Aspekte dieses Standards für Angreifer interessant sind. Das letzte Kapitel behandelt eine Sicherheitsanalyse des vorhandenen Systems. Dabei stellte sich heraus, dass die gelieferten Geräte in ihren Werkseinstellungen als sehr unsicher zu bezeichnen sind. Es wurden verschiedene Möglichkeiten untersucht um eine maximale Sicherheit des Systems zu gewährleisten. Zudem wurde ein User-Guide erstellt, um die Konfiguration des Systems für neue User zu vereinfachen. Der Netzwerkverkehr wurde unverschlüsselt mit einer Man-in-the-Middle Attacke betrachtet. Eine Verschlüsselung der Übertragung konnte nicht erreicht werden. Der Support der Firma Aycan konnte keine Lösung für dieses Problem bereitstellen. Somit ist eine Verschlüsslung von Daten nicht möglich, wodurch das System als extrem Unsicher und nicht praxistauglich einzustufen ist.

Zusammenfassung (Englisch)

Abstract. This thesis covers a security analysis of a system for medical editing and transferring over a network. The used software is named "OsiriX" and the hardware components are MacBook Pros and iPads used for teleteaching. In the first chapter the main aspects of Telemedicine, with a special focus on teleradiology, are illustrated. Afterwards the basic aspects of IT-security are explained. The second chapter concerns itself with the DICOM standard and which aspects of it are useful for attackers. The last chapter deals with a security analysis of the used system. The delivered devices stayed in factory setting, which proved to be very unsecure. To ensure the highest security level several settings were investigated. A user-manual was established to ease the configuration of the system for new users. Furthermore the network traffic was reviewed in the non encrypted state, using a Man-in-the-Middle Attack. An encryption of the network traffic was unfeasible and no support for this theme was available. Due to these facts the system is assessed as extremely unsecure and not useable for practical work.