I Norge er det omtrent 18 000 mennesker som har en pacemaker i brystet – et lite apparat som hjelper de som har uregelmessig hjerterytme å holde denne i sjakk. Hva gjør man når noen har funnet en måte å skru av denne med mobiltelefonen, og dermed kunne drepe mennesker med et tastetrykk?
Det høres ut som noe som er spytta ut fra et filmsett i Hollywood, og det er det forsåvidt.
I Homeland-episoden Broken Hearts ble pacemakeren til den amerikanske visepresidenten hacket, som førte til hans død.
Clik here to view.
Men selv om serien Homeland er pur fiksjon, inneholder serien elementer av virkelighet. For det er faktisk mulig å hacke en pacemaker.
Det er faktisk så mye virkelighet i denne Homeland-scenen, at Dick Cheney, som var visepresident for Bush-administrasjonen, fortalte i et intervju med 60 Minutes at han selv har fått fjernet all trådløs elektronikk fra sin pacemaker, nettopp på grunn av frykt for at denne skulle bli hacket:
Og dette har vi visst en stund. En gruppe forskere fra blant annet Harvard, University of Washington og University of Massachusetts skrev en oppgave som illustrerte mulighetene for denne form for angrep allerede i 2008.
Men dagens oppdatering er likevel interessant.
Er det greit å fortelle hvordan man gjør det?
Robert Graham er en mann som gjør mye kontroversielt og interessant på hacker-scenen.
EFF, en organisasjon som jobber for digitale rettigheter, har definert Graham som en uetisk hacker, altså en dataekspert som bruker sin kunnskap på måter som i beste fall kan falle inn under kategorien gråsone.
Og hans siste etiske stunt er kontroversielt. I forrige uke skrev han et innlegg på bloggen sin, hvor han spør om følgende:
Er det er greit å demonstrere hvordan man skrur av en pacemaker med Bluetooth-teknologi på den sagnomsuste konferansen Defcon?
Graham skriver bloggposten veldig hypotetisk, og innrømmer ikke direkte at han har denne muligheten.
Men i bloggposten nevner han også at han hypotetisk sett har tatt kontakt med foretaket som har laget pacemakeren – for ett år siden – uten å ha fått noen form for respons på det teknologiske sikkerhetshullet.
Og her ligger problemet: Hvis noen med verre intensjoner enn Robert Graham finner ut av hvordan dette sikkerhetshullet fungerer, kan det i verste fall bety at hundretusenvis av mennesker kan drepes med et tastetrykk.
Så hva bør Graham gjøre? Hovedpoenget med å demonstrere svakheten må naturligvis være å skape oppmerksomhet rundt problemet, som forhåpentligvis fører til at produsenten utbedrer feilen.
Les bloggposten: Can I drop a pacemaker 0day?
Men ved å gjøre dette på en åpen arena som Defcon, kan man i verste fall sette folks liv i fare. Det å oppdatere en pacemaker krever at individet som har den «installert» oppsøker et sykehus som er i stand til å gjennomføre programvareoppdateringen.
Om noen ondsinnede hackere forstår hvordan Grahams svakhet fungerer i forkant av at en akseptabel mengde pacemakere er oppdatert, står man over en svakhet som i ytterste konsekvens kan brukes som en form for massedrapsmaskin.
Hvordan ville du gått frem for å skape oppsikt rundt problemet, uten å sette menneskeliv i fare?
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.