Post on 14-Apr-2017
MEDHJERTETPÅINTERNETT-SIKKERHETIMINPERSONLIGEKRITISKEINFRASTRUKTURMarieMoe,SINTEFIKT
@MarieGMoe @SINTEF_Infosec
Minpersonligekritiskeinfrastruktur
3
Kanvistolepåteknologien?
Pacemaker
Nyestegenerasjonpacemaker
Ienganskenærfremtid?
https://www.youtube.com/watch?v=ZiQJIpd2n8k
Fremtidenernå
Pacemaker/ICD Programmer
Homemonitoringunit
CellularorTelephoneNetwork Webportal
InductivenearfieldcommunicationMICS/
ISM
POTS/SMS
Kommunikasjonsgrensesnitt
Hva kan gå galt?Sårbarheteripacemakeren?
Sårbarheter Iaksesspunktet?
Kan vistolepåmobilnettet?
Er leverandørensservere/skytjenestesikret?
Sårbarheter iwebportalen?Menneskelige feil?
Mulige konsekvenser
Personvernsproblematikk
Batteritømming
Endring avkritiskefunksjoner
Dødstrusler ogutpressing
Mord sombeskrevetiTV-serier/krimbøker…
HVORFOR HACKERJEGMITTEGETHJERTE?
TRAPPASOMHOLDTPÅÅTAKNEKKENMEG
DEBUGGINGAVMEG
13
Dagens Næringsliv Magasinet ,9.januar 2016
NÅRTILLITENBRYTES...
19
20
• Fikk”root”påMerlin@home
• Angrepsompåståså”kræsje”pacemakeren
• Batterislukings-angrep
• Referanser:• http://www.muddywatersresearch.com/research/stj/mw-is-short-stj/
• https://vimeo.com/180593205
MedSec resultater
21
22http://ns.umich.edu/new/releases/24153-holes-found-in-report-on-st-jude-medical-device-security
23
ETISKE BETRAKTNINGER
HvasierTwitter?
Hvordanreagererpasientene?
Thebad"news"waspromotedbyashort-sellerofthecompaniesstock.Thatbringsseriouscredibilityissues,inmyopinion.EdBolton,pasientmedimplantertICD
Allelectronicsarevulnerabletoday.I'mgladit'sbeingtalkedaboutandnotkeptsecret.Nowalltheyneedtodoisfixtheproblemandmoveon.PasientmedimplantertICD
Itmakesmecuriouslyscared,butatthesametimemakesmewonderhowtrueitactuallyis.Ifit'sagimmickorfearmongering,itpissesmeoff.PasientmedimplantertICDfraSt.Jude
InCollaborationWith
Hippocratic OathCyberSafetyCapabilitiesWhatisyourreadyposturetowardfailure?
⚕ CyberSafetybyDesign– Anticipateandavoidfailure⚕ Third-PartyCollaboration– Engagewillingalliestoavoidfailure⚕ EvidenceCapture– Observeandlearnfromfailure⚕ ResilienceandContainment– Preventcascadingfailure⚕ CyberSafetyUpdates– Correctfailureconditionsonceknown
PolicyMakers
Insurers&Payers
StandardsOrganizations
GovernmentAgencies
For Connected Medical Devices
⚕Patients Healthcare
ProvidersPhysicians&CareGivers
DeviceMakers
SecurityResearchers
https://www.iamthecavalry.org/oath
• Medisinsk utstyr medåpenkildekode
• Kryptografi tilpasset medisinsk utstyr
• Personalareanetworkmonitoring
• Jammingprotection
• Forensicsevidencecapture
VITRENGERMERFORSKNING!
wocintechchat.com
Noen referanser
Pacemakere:• KevinFuetal:• Pacemakersandimplantablecardiacdefibrillators:Softwareradioattacksandzero-powerdefenses
(2008)
• MitigatingEMIsignalinjectionattacksagainstanalogsensors(2013)
• BarnabyJack
Annet medisinsk utstyr:• Hardkodede passord og “medicaldevicehoneypots”(ScottErven)
• Medisinpumper (BillyRios,JeremyRichards)
• Insulinpumper (JayRadcliffe)
Takktil Éireann Leverett (@blackswanburst)
TonyNaggs (@xa329)
Terje Frøysa
GunnarAlendal (@gradoisageek)
HugoCampos(@HugoOC)
ScottErven (@scotterven)
Alexandre Dulaunoy (@adulau)
ClausCramon Houmann (@ClausHoumann)
JoshuaCorman (@joshcorman)
BeauWoods(@beauwoods)
Spørsmål?marie.moe @sintef.no
www.infosec.sintef.no
www.iamthecavalry.org
@MarieGMoe @SINTEF_Infosec