Bibliographic Metadata

Title
Aycan "OsiriX" - Eine Sicherheitsanalyse
Additional Titles
Aycan "OsiriX" - A Security analysis
AuthorJamnig, Andreas
Thesis advisorKoschuch, Manuel
Published2015
Date of SubmissionSeptember 2015
LanguageGerman
Document typeBachelor Thesis
Keywords (DE)Sicherheitsanalyse / Aycan / OsiriX / Teleradiologie / Telemedizin / SSL/TLS / Man-in-the-Middle Angriff / ARP-Spoofing
Keywords (EN)Security analysis / Aycan / OsiriX / Teleradiology / Telemedicine / SSL/TLS / Man-in-the-Middle Attack / ARP-Spoofing
Restriction-Information
 _
Classification
Abstract (German)

Kurzfassung. Diese Arbeit behandelt eine Sicherheitsanalyse eines Systems zur medizinischen Bildbearbeitung und Übertragung. Hierfür werden die Software "OsiriX" und Hardware Komponenten wie MacBooks und iPads, welche für das Teleteaching genutzt werden, verwendet. Dabei sollen zuerst allgemeine Aspekte der Telemedizin, und im speziellen der Teleradiologie, erklärt werden. Anschließend wird auf grundlegende Aspekte der IT-Security eingegangen. Im zweiten Kapitel wird der verwendete DICOM Standard erklärt und aufgezeigt, welche Aspekte dieses Standards für Angreifer interessant sind. Das letzte Kapitel behandelt eine Sicherheitsanalyse des vorhandenen Systems. Dabei stellte sich heraus, dass die gelieferten Geräte in ihren Werkseinstellungen als sehr unsicher zu bezeichnen sind. Es wurden verschiedene Möglichkeiten untersucht um eine maximale Sicherheit des Systems zu gewährleisten. Zudem wurde ein User-Guide erstellt, um die Konfiguration des Systems für neue User zu vereinfachen. Der Netzwerkverkehr wurde unverschlüsselt mit einer Man-in-the-Middle Attacke betrachtet. Eine Verschlüsselung der Übertragung konnte nicht erreicht werden. Der Support der Firma Aycan konnte keine Lösung für dieses Problem bereitstellen. Somit ist eine Verschlüsslung von Daten nicht möglich, wodurch das System als extrem Unsicher und nicht praxistauglich einzustufen ist.

Abstract (English)

Abstract. This thesis covers a security analysis of a system for medical editing and transferring over a network. The used software is named "OsiriX" and the hardware components are MacBook Pros and iPads used for teleteaching. In the first chapter the main aspects of Telemedicine, with a special focus on teleradiology, are illustrated. Afterwards the basic aspects of IT-security are explained. The second chapter concerns itself with the DICOM standard and which aspects of it are useful for attackers. The last chapter deals with a security analysis of the used system. The delivered devices stayed in factory setting, which proved to be very unsecure. To ensure the highest security level several settings were investigated. A user-manual was established to ease the configuration of the system for new users. Furthermore the network traffic was reviewed in the non encrypted state, using a Man-in-the-Middle Attack. An encryption of the network traffic was unfeasible and no support for this theme was available. Due to these facts the system is assessed as extremely unsecure and not useable for practical work.

Stats
The PDF-Document has been downloaded 0 times.