Hacking på operasjonsstua

For to uker siden var jeg så heldig å få delta på et banebrytende eksperiment, en simulering av hvordan hacking av medisinsk utstyr ville håndteres klinisk på sykehusets akuttmottak. Simuleringen foregikk på CyberMed Summit ved University of Arizona i Phoenix, og ble ledet av Jeff Tully og Christian Dameff, to leger som også er stolte over å kalle seg «hackere». Det ble en seanse preget av høy puls og blodig alvor (bokstavelig talt), og det var ikke bare på grunn av hetebølgen at både de som deltok og vi som så på ble rimelig svette.

«Pasienten» overlevde heldigvis, etter en hasteoperasjon for å koble fra den hackede pacemakeren. Foto: Marie Moe

Simuleringen foregikk på operasjonsstuer som brukes i opplæring av medisinstudenter, med profesjonelt helsepersonell, pasientskuespillere og tre erfarne leger som «prøvekaniner». Teamet på operasjonsstua var drillet i hacking-scenariene, men for å gjøre det hele mest mulig realistisk var ikke legene som ledet teamet blitt informert om at pasienten som ble trillet inn på akuttmottaket hadde blitt utsatt for hacking.

Simuleringen ble filmet av ABC News, og nyhetssaken kan sees online her.

Les hele innlegget

Medisinsk utstyr kan hackes

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Les hele innlegget

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en «keynote» foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Les hele innlegget

Kan forsikringsbransjen gjøre nettet tryggere?

17121703798_63f339f34a_o

(Pictures of Money | Flickr | Creative Commons Attribution 2.0 Generic)

Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?

Les hele innlegget

Sikkerhet i det medisinske IoT

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern, også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

Faksimile fra Dagens Nærlingsliv Magasinet 08.01.16 - Foto: Maxim Sergienko

Faksimile fra Dagens Næringsliv Magasinet 08.01.16 – Foto: Maxim Sergienko

Dette er en veldig aktuell problemstilling for helsesektoren, hvor livskritiske systemer og systemer som inneholder sensitiv pasientinfo i økende grad kobles opp mot Internett. Den siste uken har det vært flere nyhetsoppslag om sykehus som har blitt hardt rammet av løsepengevirus og måttet betale kriminelle for å få tilgang til sine kritiske systemer for håndtering av pasientinformasjon.

Les hele innlegget

Om å la andre ta seg av hendelseshåndteringen

passing-the-buck Denne uken har jeg vært i Vancouver for å delta på CloudCom-konferansen, og har presentert en artikkel basert på masteroppgaven til Alfredo Reyes (som jeg veiledet i vår).

Det har skjedd en stor utvikling i tjenesteproduksjon i senere år, fra overveiende bruk av lokal datakraft, via tradisjonell tjenesteutsetting, til dagens økende bruk av nettskyen. Les hele innlegget

Med hjertet på Internett – Hacking av medisinske implantat

For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. hack.lu logo

Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.

Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.

Les hele innlegget

Vi sjekker status på programvaresikkerhet, smaker på sikkerhetskultur, øver på hendelser og hacker fly

Bilde fra imdb.com

På årets ISF Høstkonferanse var alle gode ting minst fire.

Det vil si, SINTEF hadde fire presentasjoner, og alle som var så uheldige at de gikk glipp av disse kan finne dem her.

(Bilde til høyre avviker noe fra de aktuelle forskerne fra SINTEF.)

Trykk på førsteslidene under for å laste ned de respektive presentasjonene.

Les hele innlegget

Budbringeren – Hvordan varsle eiere av sårbare systemer?

Picture1

Å bli fortalt at man har sårbare eller kompromitterte systemer kan være utfordrende. Illustrasjon: Colourbox

En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.

Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier?  Les hele innlegget

Transparens i skyen – hva mener brukerne?

awf-Message-in-BottlePå CLOSER-konferansen har jeg nylig presentert artikkelen «Cloud Provider Transparency – A View from Cloud Customers» forfattet av Daniela S. Cruzes og undertegnede. Artikkelen fikk «Best paper award«, og vi spanderer derfor på oss et lite sammendrag her:

Nettskyen kommer med mange fordeler, men bekymringer rundt sikkerhet og personvern gjør at mange potensielle brukere vegrer seg. I prosjektet A4Cloud argumenterer vi for at Accountability (som vi fortsatt ikke har noe godt norsk ord for) kan være det som skal til for å døyve bekymringene.

Les hele innlegget

The Honeynet Project Workshop

Screen Shot 2015-05-21 at 16.45.57Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!

Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.

The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av «black hat»-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.

Les hele innlegget

Del broderlig – også informasjon?

CSA-cloud-panel-nov-2014På CSA EMEA Congress i Roma i forrige måned ble det arrangert en paneldiskusjon med et knippe skyleverandører (Atos Canopy, Adobe, Google, Dropbox, Microsoft). Paneldebatter kan være så ymse, men det gir ofte mulighet til å stille åpne spørsmål.  Jeg benyttet anledningen til å spørre om hvordan leverandørene håndterer deling av hendelsesinformasjon i leverandørkjeder.

Les hele innlegget

Sikkerhet og sårbarhet 2015: Call for presentations

SoS_Logo5.-6. mai 2015 er det igjen klart for Sikkerhet og sårbarhet! Dataforeningens årlige sikkerhetskonferanse i Trondheim har nå lagt ut Call for presentations, og fristen for å foreslå bidrag er 1. desember 2014. Programkomiteen ønsker forslag til både foredrag og workshops av noe lengre varighet.

Les hele innlegget

Målrettede angrep mot kontrollsystemer – er kraftbransjen forberedt?

I1078183_successful dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.

I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.

Les hele innlegget

NordSec 2014

Capture NordsecDen 15-17 oktober så arrangeras, för nittonde året i rad, «The Nordic Conference on Security IT Systems (NordSec)» i Tromsø. I år har konferensen fokus på «Security and Privacy for Cloud Computing and Big Data». Årets program innehåller en mix av intressanta presentationer och föreläsningar om allt från sikkerhet og personvern, angrepp och forsvar, nettverkssikkerhet og kryptering.

Program och anmälan finner du här.

Väl mött i Tromsø!

IT og Prosesskontroll: Løver og sebraer

zebralionDenne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
Les hele innlegget

Noen kjappe anbefalinger om risikoanalyse

I dag holdt jeg et kort innleggNEF Teknisk Møte her i Trondheim, hvor jeg presenterte noen resultater fra DeVID-prosjektet.

Vi laget for et års tid siden en  veiledning  for risikoanalyse av AMS som inneholder følgende ting:
  • Aktivitetsliste for gjennomføring av analysen
  • Konsekvensdimensjoner og konsekvensklasser
  • Sannsynlighetsdimensjoner
  • Kort beskrivelse av relevante standarder
  • Støtte til kartlegging av informasjonsverdier
  • Liste over hendelsestyper
  • Hendelsestyper/uønskede hendelser i AMS
  • Liste over interessenter
  • Typiske sårbarheter og svakheter i IKT-systemer
  • Kort beskrivelse av relevante tiltak

Les hele innlegget