Beau Woods: “Hacking kan redde liv”

Beau Woods kommer til Trondheim for å holde sluttinnlegget på årets “Sikkerhet og Sårbarhet”.

Beau Woods er Cyber Safety Innovation Fellow i tenkesmien Atlantic Council, og en av medgründerne i grasrotorganisasjonen “I Am The Cavalry”.

I forbindelse med dette har vi gjort et lite intervju for å høre mer om hvorfor han mener hacking kan bidra til å redde liv.

Det er fortsatt noen ledige plasser på konferansen, som foregår i fornemme omgivelser på nyåpnede Britannia hotel 7.-8. mai, påmelding her.

Hvordan unngå at telefonen blir hacket i utlandet?

Hva kan man gjøre som privatperson for å best mulig sikre at sensitiv informasjon som tilhører arbeidsgiver ikke kommer på avveie, når man tar med seg jobbtelefonen på ferietur eller jobbtur til utlandet? Dette er for tiden et høyaktuelt tema, og NRK ringte meg for å få noen gode tips og råd.

Illustrasjonsbilde fra www.wocintechchat.com

Du kan lese hele artikkelen på NRK sine nettsider, men her følger en kort oppsummering av rådene:

Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg “hackere”. Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

“Pasienten” overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som “prøvekaniner”. Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Også hackere tar lunsjpause

Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.

Medisinsk utstyr kan hackes

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en “keynote” foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Sikkerhetsforskning og aksjespekulasjon

STJ aksjepris
Aksjekursen til St. Jude Medical falt brått på børsen da Muddy Waters og MedSec publiserte sin rapport om sårbarheter i pacemakere.

Hva har dette til felles, kan man kanskje spørre seg? Kanskje ikke helt opplagt om du ikke har fått med deg nyheten om at sikkerhetsforskere slo seg sammen med børsspekulanter og profiterte på aksjehandel i forbindelse med at de publiserte en rapport om sårbarheter i pacemakere.

Noen ferske eksempler på SMiShing

frontpicBegrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden.

Sikkerhet i det medisinske IoT

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern, også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

Faksimile fra Dagens Nærlingsliv Magasinet 08.01.16 - Foto: Maxim Sergienko
Faksimile fra Dagens Næringsliv Magasinet 08.01.16 – Foto: Maxim Sergienko

Dette er en veldig aktuell problemstilling for helsesektoren, hvor livskritiske systemer og systemer som inneholder sensitiv pasientinfo i økende grad kobles opp mot Internett. Den siste uken har det vært flere nyhetsoppslag om sykehus som har blitt hardt rammet av løsepengevirus og måttet betale kriminelle for å få tilgang til sine kritiske systemer for håndtering av pasientinformasjon.

Med hjertet på Internett – Hacking av medisinske implantat

For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. hack.lu logo

Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.

Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.