r   e   k   l   a   m   a
r   e   k   l   a   m   a

Luka 0-day w ludzkim mózgu pozwala na wydobycie z nas wrażliwych informacji

Strona główna AktualnościOPROGRAMOWANIE

Do luk 0-day w oprogramowaniu zdążyliśmy się przyzwyczaić – obiegowa opinia głosi, że niemożliwe jest stworzenie jakiegokolwiek bardziej złożonego kodu bez luk. Oczywiście istnieją matematyczne narzędzia dowodzenia poprawności programu, ale ich stosowalność nie wykracza poza mury uniwersytetów. Nawet jeśli sam kod będzie poprawny, to trudno zagwarantować, że to co wyjdzie z kompilatora, również będzie poprawne. Dlatego od producentów nikt raczej nie oczekuje oprogramowania bezbłędnego, oczekujemy raczej, że będą w stanie szybko łatać znalezione luki, szczególnie te, które zagrażają bezpieczeństwu użytkownika. A co zrobić w sytuacji, gdy odkrytej luki 0-day nie tylko nie ma jak załatać, ale też nie wiadomo, kto w ogóle miałby być za to odpowiedzialny?

To już nie cyberpunkowa fikcja: badacze z Oxford University, University of California i Université de Genève podczas 21. konferencji USENIX pochwalili się odkryciem luki 0-day w ludzkim mózgu. Pokazali, jak wykorzystując niedrogie, kosztujące kilkaset dolarów interfejsy mózg-maszyna, mogą wydobyć z naszych głów informacje, którymi nie chcielibyśmy się dzielić.

Większość popularnych interfejsów mózg-maszyna to proste elektroencefalografy, z sensorami rozmieszczanymi na powierzchni głowy użytkownika, i modułem przetwarzającym aktywność mózgu na polecenia zrozumiałe dla oprogramowania uruchomionego na komputerze. Opanowanie sztuki sterowania maszyną na podstawowym poziomie poprzez taki interfejs zajmuje przeciętnie uzdolnionemu człowiekowi około pół godziny. W ostatnich latach ceny takich interfejsów stały się całkiem przystępne – np. urządzenie Emotiv Epoc kosztuje około 300 dolarów, a MyndPlay BrainBand około 160 dolarów.

Wspomniane interfejsy mózg-maszyna udostępniają API, dzięki któremu każdy programista może wykorzystać dostarczane przez nie dane w swojej aplikacji. Chętnie korzystają z tego twórcy gier, tzw. neurogaming stał się całkiem poważnym biznesem, przez niektórych uważanym za przyszłość elektronicznej rozrywki. W ten sam sposób interfejsy te wykorzystali badacze z międzynarodowego zespołu pod kierownictwem Ivana Martinovica z Oxfordu, tworząc aplikację, która pomaga wydobyć z ludzi wrażliwe informacje – np. PIN do karty płatniczej, adres zamieszkania czy datę urodzenia. Skuteczność ataku nie jest jeszcze oszałamiająca – z przeprowadzonych na ochotnikach testów wynika, że szanse wydobycia z nich wrażliwych informacji wynoszą około 40% – ale wraz z postępem w dziedzinie budowania skanerów mózgowych, powinna ona rosnąć.

Problem tkwi bowiem w tym, jak ludzki mózg reaguje na pewne bodźce. Neurolodzy mówią o potencjale wywołanym P300, który prawdopodobnie odwzorowuje procesy związane z oceną i kategoryzacją bodźców i chętnie jest wykorzystywany do pomiarów funkcji poznawczych w procesach decyzyjnych. Z tego też powodu zaczęto rozważać wykorzystanie P300 w wariografach nowej generacji – w przeciwieństwie do tradycyjnych wykrywaczy kłamstw, mierzących fizjologiczne reakcje ciała takie jak oddech, ciśnienie, czy przewodnictwo elektryczne skóry, fale P300 pozostawać miałyby poza świadomą kontrolą nawet wyszkolonego przesłuchiwanego.

Opracowany przez zespół Martinovica atak wykorzystuje aplikację wyświetlającą użytkownikom sekwencje obrazków, przedstawiających mapy, kody PIN czy banki, i wychwytującą pojawienie się fali P300. Skorelowanie czasu wyświetlania obrazków i wystąpienia poszukiwanych sygnałów EEG pozwala na pozyskanie informacji wprost z głowy użytkownika interfejsu.

Oczywiście atak taki wymaga, aby użytkownik korzystał z interfejsu mózg-maszyna, ale jak sugeruje Martinovic, w przyszłości nie będzie to niczym niezwykłym – mogą pojawić się neurogry-trojany, których faktycznym celem będzie właśnie skanowanie reakcji mózgu gracza. Najważniejsze, by użytkownik nie wiedział, że jest skanowany pod kątem wydobycia z niego wrażliwych informacji, gdyż to znacznie zwiększa poziom trudności ataku.

Jak się bronić przed takim atakiem? Na wydanie łatki do naszego brainware nie ma na razie co liczyć, pozostaje jedynie trzymać się z dala od podejrzanego oprogramowania podczas korzystania z interfejsów mózg-maszyna. Można jednak wzmocnić „zapory” naszego mózgu, praktykując techniki medytacyjne – badania nad wpływem technik jogi, qi gongu czy zazen na pracę mózgu dowiodły, że wywołują one znaczące zmiany w funkcjonowaniu i mózgu i umysłu, znacznie utrudniając przeprowadzenie ataków wykorzystujących skanowanie potencjału P300.

Więcej informacji znajdziecie w publikacji pt. On the Feasibility of Side-Channel Attacks with Brain-Computer Interfaces, dostępnej tutaj.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.