Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett. Marie Moe er avhengig av et medisinsk implantat, en pacemaker som sørger for at hjertet hennes slår. Som sikkerhetsforsker ønsket hun å finne ut mer om informasjonssikkerheten i denne datamaskinen inne i sin egen kropp, men hun fikk ikke tilgang til å se koden som holder henne i live. Marie startet derfor et hacking-prosjekt for å finne ut av sikkerheten i sin egen personlige kritiske infrastruktur.

1. MED HJERTET PÅ INTERNETT -
SIKKERHET I MIN PERSONLIGE
KRITISKE INFRASTRUKTUR
Marie Moe, SINTEF IKT
@MarieGMoe @SINTEF_Infosec

2. Min personlige kritiske infrastruktur

3. 3
Kan vi stole på teknologien?

4. Pacemaker

5. Nyeste generasjon pacemaker

6. I en ganske nær fremtid?
https://www.youtube.com/watch?v=ZiQJIpd2n8k

7. Fremtiden er nå

8. Pacemaker/ICD Programmer
Home monitoring
unit
Cellular or
Telephone Network Web portal
Inductive
near field
communicationMICS/
ISM
POTS/SMS
Kommunikasjonsgrensesnitt

9. Hva kan gå galt?
Sårbarheter i pacemakeren?
Sårbarheter I aksesspunktet?
Kan vi stole på mobilnettet?
Er leverandørens servere/skytjeneste sikret?
Sårbarheter i webportalen? Menneskelige feil?

10. Mulige konsekvenser
Personvernsproblematikk
Batteritømming
Endring av kritiske funksjoner
Dødstrusler og utpressing
Mord som beskrevet i TV-serier/krimbøker…

11. HVORFOR HACKER JEG
MITT EGET HJERTE?

12. TRAPPA SOM
HOLDT PÅ Å TA
KNEKKEN MEG

13. DEBUGGING AV
MEG
13

14. Dagens Næringsliv Magasinet , 9. januar 2016

17. NÅR TILLITEN BRYTES...

19. 19

20. 20

21. • Fikk ”root” på Merlin@home
• Angrep som påstås å ”kræsje”
pacemakeren
• Batterislukings-angrep
• Referanser:
• http://www.muddywatersresearch.com/res
earch/stj/mw-is-short-stj/
• https://vimeo.com/180593205
MedSec resultater
21

22. 22
http://ns.umich.edu/new/releases/24153-holes-found-in-report-on-st-jude-medical-device-security

23. 23

24. ETISKE BETRAKTNINGER

25. Hva sier Twitter?

26. Hvordan reagerer pasientene?

28. The bad "news" was promoted by a
short-seller of the companies stock.
That brings serious credibility
issues, in my opinion.
Ed Bolton, pasient med implantert ICD

29. All electronics are vulnerable today.
I'm glad it's being talked about and
not kept secret. Now all they need
to do is fix the problem and move
on.
Pasient med implantert ICD

30. It makes me curiously scared, but at
the same time makes me wonder
how true it actually is. If it's a
gimmick or fear mongering, it pisses
me off.
Pasient med implantert ICD fra St. Jude

31. In Collaboration With
Hippocratic Oath
Cyber Safety Capabilities What is your ready posture toward failure?
⚕ Cyber Safety by Design – Anticipate and avoid failure
⚕ Third-Party Collaboration – Engage willing allies to avoid failure
⚕ Evidence Capture – Observe and learn from failure
⚕ Resilience and Containment – Prevent cascading failure
⚕ Cyber Safety Updates – Correct failure conditions once known
Policy
Makers
Insurers
& Payers
Standards
Organizations
Government
Agencies
For Connected Medical Devices
⚕
Patients
Healthcare
Providers
Physicians &
Care Givers
Device
Makers
Security
Researchers
https://www.iamthecavalry.org/oath

32. • Medisinsk utstyr med åpen
kildekode
• Kryptografi tilpasset medisinsk utstyr
• Personal area network monitoring
• Jamming protection
• Forensics evidence capture
VI TRENGER MER
FORSKNING!
wocintechchat.com

33. Noen referanser
Pacemakere:
• Kevin Fu et al:
• Pacemakers and implantable cardiac defibrillators: Software radio attacks and zero-power defenses
(2008)
• Mitigating EMI signal injection attacks against analog sensors (2013)
• Barnaby Jack
Annet medisinsk utstyr:
• Hardkodede passord og “medical device honeypots” (Scott Erven)
• Medisinpumper (Billy Rios, Jeremy Richards)
• Insulinpumper (Jay Radcliffe)

34. Takk til
Éireann Leverett (@blackswanburst)
Tony Naggs (@xa329)
Terje Frøysa
Gunnar Alendal (@gradoisageek)
Hugo Campos (@HugoOC)
Scott Erven (@scotterven)
Alexandre Dulaunoy (@adulau)
Claus Cramon Houmann (@ClausHoumann)
Joshua Corman (@joshcorman)
Beau Woods (@beauwoods)

35. Spørsmål?
marie.moe @ sintef.no
www.infosec.sintef.no
www.iamthecavalry.org
@MarieGMoe @SINTEF_Infosec