Medisinsk utstyr kan hackes

Pacemakere og implanterte hjertestartere tilkobles internett – med sikkerhetshull som i verste fall kan ta livet av brukeren.

Denne uken holdt jeg foredrag på Lerchendalkonferansen om min motivasjon for å forske på cybersikkerheten i min egen personlige kritiske infrastruktur, en pacemaker som genererer hvert eneste hjerteslag som hjertet mitt gjør. Se video av presentasjonen min her:

Les hele innlegget

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en «keynote» foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Les hele innlegget

Kan forsikringsbransjen gjøre nettet tryggere?

17121703798_63f339f34a_o

(Pictures of Money | Flickr | Creative Commons Attribution 2.0 Generic)

Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?

Les hele innlegget

Med hjertet på Internett – Hacking av medisinske implantat

For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. hack.lu logo

Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.

Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.

Les hele innlegget

Vi sjekker status på programvaresikkerhet, smaker på sikkerhetskultur, øver på hendelser og hacker fly

Bilde fra imdb.com

På årets ISF Høstkonferanse var alle gode ting minst fire.

Det vil si, SINTEF hadde fire presentasjoner, og alle som var så uheldige at de gikk glipp av disse kan finne dem her.

(Bilde til høyre avviker noe fra de aktuelle forskerne fra SINTEF.)

Trykk på førsteslidene under for å laste ned de respektive presentasjonene.

Les hele innlegget

Budbringeren – Hvordan varsle eiere av sårbare systemer?

Picture1

Å bli fortalt at man har sårbare eller kompromitterte systemer kan være utfordrende. Illustrasjon: Colourbox

En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.

Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier?  Les hele innlegget

The Honeynet Project Workshop

Screen Shot 2015-05-21 at 16.45.57Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!

Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.

The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av «black hat»-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.

Les hele innlegget

Litt statistikk om forskning på cybersecurity i Europa

Bilde fra eurosport.com

Bilde fra eurosport.com

Dr. Florent Frederix fra Trust and Security Unit hos EU-kommisjonen presenterte i januar under et informasjonsmøte i Birmingham for forskningsaktiviteter knyttet til cybersecurity. Norge har gjort det ganske bra, men det viktigste er jo selvfølgelig at vi slår svenskene med god margin! Les hele innlegget

Hva var nå de derre BSIMM-greiene igjen?

swsecHvis du har lyst til å høre litt mer om hva BSIMM er, skal jeg delta på et frokostmøte arrangert av Dataforeningen neste fredag (31. oktober).

I tillegg får du høre om OWASP’s OPENSAMM, samt at du får være vitne til en inntrengningstesters bekjennelser. Det hele er gratis, så det er bare å melde seg på!

Se Dataforeningens sider for mer informasjon og påmelding: http://www.dataforeningen.no/maaling-av-sikkerhet-og-erfaring-fra-en-inntrengingstester.5597310-134423.html

 Illustrasjon ved Gary McGraw

Det som skjer i skyen, blir i skyen?

hendelseriskyenDataforeningen/CSA Norges nettverksmøte i Trondheim 16. september presenterte jeg noen tanker om håndtering av sikkerhetshendelser i nettskyen. Hva er det som skiller skyen fra annen tjenesteutsetting når det smeller?

Utgangspunktet vårt er at det går ikke an å lage et datasystem som er 100% sikkert. Dette betyr at hvis det er noen som ser verdien av å bryte seg inn i dine systemer, så kommer de til slutt til å lykkes – og du må derfor gå ut i fra at informasjonssikkerhetshendelser kommer til å skje i ditt system. Les hele innlegget

Målrettede angrep mot kontrollsystemer – er kraftbransjen forberedt?

I1078183_successful dag ble det kjent at norske olje- og energibedrifter er utsatt for tidenes mest omfattende hacker-angrep mot norske interesser. De faktiske konsekvensene er ennå ikke kjent, men det antydes at motivet er industrispionasje, og at angriperne har gjort endel forundersøkelser for å kunne gå mest mulig målrettet til verks.

I vår gjorde vi en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedte de er på å oppdage og respondere på målrettede angrep mot kontrollsystemene sine. Våre funn tyder på at de er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen deres foreløpig.

Les hele innlegget

God sikkerhetsmåned!

God informasjonssikkerhet er viktig hele året! Vi på SINTEF jobber også hele året med å øke vår kunnskap om hvordan vi kan oppnå god informasjonssikkerhet, og spre denne kunnskapen videre – både i forskningsverdenen og blant norske virksomheter. Vi synes imidlertid det er flott at informasjonssikkerhet får spesielt fokus denne måneden gjennom Nasjonal Sikkerhetsmåned. Denne måneden vil vi bidra med flere foredrag (se mer informasjon under, blant annet om et spennende foredrag som streames i dag!). Vi vil også være aktive med å legge ut informasjon på bloggen vår – så følg med!

Les hele innlegget

Forsker Grand Prix!

Maria_B_Line_hjelmPå Byscenen i Trondheim, 25. september kl. 19, avholdes «norgesmesterskapet» i forskningsformidling, og vår egen Maria B. Line stiller til start med temaet «Smarte strømmålere – smartere hackere?». For å kunne yte maks har hun den siste tiden ligget i hardtrening i skjermede omgivelser, og har bare i løpet av de siste tre ukene hatt en økning i forskning på mellom 10 og 12 prosent. Les mer i dette eksklusive intervjuet dagen før det hele braker løs. Les hele innlegget

Smartgridkonferansen 2013

10. og 11. september går Smartgridkonferansen av stabelen i Trondheim. Konferansen dekker bredt, og tar for seg politikk og rammevilkår, status på prosjekter innen området både i næringslivet og innen forskningen, og hva som skjer framover på teknologi. Dag 2 er det satt av en sesjon til personvern og informasjonssikkerhet. I denne sesjonen vil blant annet undertegnede gi en presentasjon av det arbeidet vi i SINTEF gjør på risikovurdering i regi av DeVID-prosjektet.

Les hele innlegget

«A wiseguy never pays for his drinks»

Photo by TriStar Pictures – © 1997

Photo by TriStar Pictures – © 1997

Sitatet tilhører Benjamin ‘Lefty’ Ruggiero fra filmen «Donnie Brasco» (1997), og vi får se om dette stemmer når den virkelige Donnie Brasco (eller Joseph D. Pistone som han egentlig heter) kommer til ISF sin høstkonferanse i september. Pistone er en tidligere FBI-agent som infiltrerte Mafiaen i New York på 70-tallet, og førte til at over 100 medlemmer av «familien» ble dømt. Jeg ser fram til høre ham fortelle om hvordan det var å være muldvarp i temmelig paranoid og livsfarlig organisasjon, og hvordan livet ble i etterkant. Les hele innlegget

Sol, sand og sikkerhet

Vi er med på å arrangere en vårskole innenfor temaet «Trustworthy & Secure Service Composition», og inviterer herved studenter, forskere og andre interesserte til å komme til Málaga (Spania) den siste uka i mai. Organisatorer er Málaga Universitet, IFIP WG 11.11 og EU-prosjektene Aniketos, Choreos og NESSoS.

Les hele innlegget

Stammespråkdialekter. Noen tanker etter ISFs høstkonferanse

Da er Norsk Informasjonssikkerhetsforums høstkonferanse over for denne gang. SINTEFs delegasjon besto av Jostein og Maria som begge holdt foredrag. Det er tre punkter som slår meg etter å ha følt på inntrykkene fra konferansen:

• Så mye god sikkerhetskompetanse som finnes her til lands! Både foredragsholdere og samtalepartnere viser en svært god innsikt i fagfeltet.
• Så bra og viktig at noen tar initiativet til å samle fagfeller. Vi har alle ekspertise på ulike områder. Slike fora for å dele kunnskap bringer fagfeltet framover.
• Alle sikkerhetseksperter har en kommunikasjonsutfordring

Les hele innlegget

Identitetshåndtering og smartgrid-sikkerhet på ISF-konferansen

Jostein Jensen og Maria B. Line skal holde foredrag på ISF høstkonferansen. Jostein skal snakke om identitetshåndtering; praktisk anvendelse av federering, og Maria har igjen sikkerhet i smartgrid på dagsorden, denne gang med tittelen «Få naboen til å betale strømmen din.» ISF høstkonferansen avholdes 3.-5. september i Larvik.

Les hele innlegget

En SINTEF delegation till AReS 2012

The famous astronomical Clock in Prague by wave111 / pixelio.de

Den här veckan arrangeras, för sjunde året i rad, «The International Conference on Availability, Reliability and Security (AReS)» i Prag. AReS är en årlig mötesplats för forskare och utvecklare som jobbar med tillgänglighet, pålitlighet och säkerhet i olika typer av IT system.

SINTEF representeras i år av Martin, Per Håkon, Jostein, Åsmund och undertecknad. Les hele innlegget