Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Med hjertet på Internett - Sikkerhet i min personlige infrastruktur

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett. Marie Moe er avhengig av et medisinsk implantat, en pacemaker som sørger for at hjertet hennes slår. Som sikkerhetsforsker ønsket hun å finne ut mer om informasjonssikkerheten i denne datamaskinen inne i sin egen kropp, men hun fikk ikke tilgang til å se koden som holder henne i live. Marie startet derfor et hacking-prosjekt for å finne ut av sikkerheten i sin egen personlige kritiske infrastruktur.

  • Sé el primero en comentar

Med hjertet på Internett - Sikkerhet i min personlige infrastruktur

  1. 1. MED HJERTET PÅ INTERNETT - SIKKERHET I MIN PERSONLIGE KRITISKE INFRASTRUKTUR Marie Moe, SINTEF IKT @MarieGMoe @SINTEF_Infosec
  2. 2. Min personlige kritiske infrastruktur
  3. 3. 3 Kan vi stole på teknologien?
  4. 4. Pacemaker
  5. 5. Nyeste generasjon pacemaker
  6. 6. I en ganske nær fremtid? https://www.youtube.com/watch?v=ZiQJIpd2n8k
  7. 7. Fremtiden er nå
  8. 8. Pacemaker/ICD Programmer Home monitoring unit Cellular or Telephone Network Web portal Inductive near field communicationMICS/ ISM POTS/SMS Kommunikasjonsgrensesnitt
  9. 9. Hva kan gå galt? Sårbarheter i pacemakeren? Sårbarheter I aksesspunktet? Kan vi stole på mobilnettet? Er leverandørens servere/skytjeneste sikret? Sårbarheter i webportalen? Menneskelige feil?
  10. 10. Mulige konsekvenser Personvernsproblematikk Batteritømming Endring av kritiske funksjoner Dødstrusler og utpressing Mord som beskrevet i TV-serier/krimbøker…
  11. 11. HVORFOR HACKER JEG MITT EGET HJERTE?
  12. 12. TRAPPA SOM HOLDT PÅ Å TA KNEKKEN MEG
  13. 13. DEBUGGING AV MEG 13
  14. 14. Dagens Næringsliv Magasinet , 9. januar 2016
  15. 15. NÅR TILLITEN BRYTES...
  16. 16. 19
  17. 17. 20
  18. 18. • Fikk ”root” på Merlin@home • Angrep som påstås å ”kræsje” pacemakeren • Batterislukings-angrep • Referanser: • http://www.muddywatersresearch.com/res earch/stj/mw-is-short-stj/ • https://vimeo.com/180593205 MedSec resultater 21
  19. 19. 22 http://ns.umich.edu/new/releases/24153-holes-found-in-report-on-st-jude-medical-device-security
  20. 20. 23
  21. 21. ETISKE BETRAKTNINGER
  22. 22. Hva sier Twitter?
  23. 23. Hvordan reagerer pasientene?
  24. 24. The bad "news" was promoted by a short-seller of the companies stock. That brings serious credibility issues, in my opinion. Ed Bolton, pasient med implantert ICD
  25. 25. All electronics are vulnerable today. I'm glad it's being talked about and not kept secret. Now all they need to do is fix the problem and move on. Pasient med implantert ICD
  26. 26. It makes me curiously scared, but at the same time makes me wonder how true it actually is. If it's a gimmick or fear mongering, it pisses me off. Pasient med implantert ICD fra St. Jude
  27. 27. In Collaboration With Hippocratic Oath Cyber Safety Capabilities What is your ready posture toward failure? ⚕ Cyber Safety by Design – Anticipate and avoid failure ⚕ Third-Party Collaboration – Engage willing allies to avoid failure ⚕ Evidence Capture – Observe and learn from failure ⚕ Resilience and Containment – Prevent cascading failure ⚕ Cyber Safety Updates – Correct failure conditions once known Policy Makers Insurers & Payers Standards Organizations Government Agencies For Connected Medical Devices ⚕ Patients Healthcare Providers Physicians & Care Givers Device Makers Security Researchers https://www.iamthecavalry.org/oath
  28. 28. • Medisinsk utstyr med åpen kildekode • Kryptografi tilpasset medisinsk utstyr • Personal area network monitoring • Jamming protection • Forensics evidence capture VI TRENGER MER FORSKNING! wocintechchat.com
  29. 29. Noen referanser Pacemakere: • Kevin Fu et al: • Pacemakers and implantable cardiac defibrillators: Software radio attacks and zero-power defenses (2008) • Mitigating EMI signal injection attacks against analog sensors (2013) • Barnaby Jack Annet medisinsk utstyr: • Hardkodede passord og “medical device honeypots” (Scott Erven) • Medisinpumper (Billy Rios, Jeremy Richards) • Insulinpumper (Jay Radcliffe)
  30. 30. Takk til Éireann Leverett (@blackswanburst) Tony Naggs (@xa329) Terje Frøysa Gunnar Alendal (@gradoisageek) Hugo Campos (@HugoOC) Scott Erven (@scotterven) Alexandre Dulaunoy (@adulau) Claus Cramon Houmann (@ClausHoumann) Joshua Corman (@joshcorman) Beau Woods (@beauwoods)
  31. 31. Spørsmål? marie.moe @ sintef.no www.infosec.sintef.no www.iamthecavalry.org @MarieGMoe @SINTEF_Infosec

×