Artikel top billede

Ny forskning: Din hjerne kan blive mål for hackere

Bestemte headset, som især computerspillere anvender, kan medføre alvorlige sikkerhedsrisici.

Computerworld News Service: Et hold af forskere har vist, at det er muligt at stjæle adgangskoder og andre personlige oplysninger med frit tilgængelige spilteknologier, der måler hjerneaktivitet.

Forskere fra University of Oxford, University of Geneva og University of California Berkeley demonstreret, at det er muligt, at hacke hjernen ved hjælp af software, der er bygget til at fungere sammen med det elektroencefalografiske (EEG-)headset Emotiv EPOC til 1.800 kroner.

Der udvikles i dag software, der kan modtage input i form af signaler via Bluetooth fra EPOC og andre såkaldte hjerne-computer-grænseflader (brain-computer interfaces, BCI) såsom MindWave fra NeuroSky.

Når udviklere, forskere og spilfirmaer arbejder med den slags, må man gå ud fra, at det også er noget, datakriminelle i det mindste overvejer.

Kan vendes mod brugerne

"Sikkerhedsrisiciene ved at bruge forbrugerorienterede BCI-apparater er aldrig blevet undersøgt og der findes ingen forskning i, hvad skadelig software med adgang til et sådant apparat kan gøre," skriver forskerne i en forskningsartikel, der blev præsenteret i juli ved computerkonferencen USENIX.

"Vi tager her det første skridt i en kortlægning af de sikkerhedsmæssige problemstillinger ved sådanne apparater og demonstrerer, at denne fremspirende teknologi kan blive vendt mod dens brugere og misbrugt til at afsløre private og hemmelige oplysninger."

Forskerne har demonstreret, at den software, de udviklede til at læse signaler fra EPOC, forbedrede chancerne væsentligt for at gætte forsøgsdeltagernes PIN-koder, hvor de boede, hvem de kendte, hvornår de var født og navnet på deres bank.

Anvender sensorer

Apparatet fra Emotiv, der bruges til computerspil og som en slags håndfri tastatur, anvender sensorer rundt om brugerens hoved til at optage hjernens elektriske aktivitet.

Den elektriske spænding i dele af hjernen stiger, når man ser noget, man genkender, så måling af disse udsving gør det muligt at indsamle oplysninger om folk ved blot at vise dem en række billeder.

Forskerne gennemførte deres forsøg på 28 datalogistuderende. I PIN-kode-forsøget valgte hver forsøgsperson et firecifret tal og skulle herefter se på en skærm, hvor tallene 0 til 10 blev vist for hvert ciffer.

Mens forsøgspersonerne fik vist disse tal, målte forskerne den elektriske aktivitet i deres hjerner ved hjælp af EPOC-headsettet.

Sådan kan din hjerne hackes

Samme tilgang blev anvendt i de andre forsøg.

Forsøgspersonerne fik for eksempel vist billeder af hævekort for at afgøre afgøre hvilken bank, de anvender, og billeder af andre mennesker for at afgøre, hvem de kender.

Forskernes chance for at gætte rigtigt steg som regel til mellem 20 og 30 procent fra 10 procent uden disse input.

Der var dog en væsentlig undtagelse i forhold til at gætte, hvilken måned forsøgspersonerne var født. Her steg succesraten til op til 60 procent.

Virker ikke særligt godt

Den generelle pålidelighed af denne teknik er dog ikke høj nok til angreb mod få individer.

"Angrebet virker, men ikke særligt pålideligt," kommenterer Mario Frank fra UC Berkeley.

"Med det udstyr vi anvendte, kan man ikke være sikker på, at man har fundet det rigtige svar."

Kriminelle ville således være nødt til at udvikle malware, der kunne distribueres til så mange ofre som muligt.

Lille andel kan være nok

En sådan taktik bruges da også i dag ved distribution af malware via e-mail, da de kriminelle er klar over, at det kun er en lille andel af modtagerne, der faktisk åbner de vedhæftede skadelige filer.

Denne lille andel er dog nok til at skabe botnet, der består af hundredtusinder af computere.

Der er dog stadig i dag for få brugere af BCI-apparater til at lancere angreb i stor målestok.

Desuden køber brugerne indtil videre softwaren direkte fra producenterne, så det ville også være svært for kriminelle at distribuere malwaren.

Der kan dog opstå en sikkerhedsrisiko i fremtiden, hvis sådanne apparater til måling af hjerneaktivitet bliver en udbredt måde at interagere med computere på, og hvis brugerne kan købe specialiserede apps via app-butikker på nettet, ligesom det er tilfældet med apps til for eksempel Android.

Bør udvikle sikkerhedsmekanismer

For at reducere risikoen bør producenterne af disse apparater omgående begynde at udvikle sikkerhedsmekanismer såsom at begrænse hvilke typer af informationer, softwaren kan modtage fra headsettet, til kun de data applikationen har brug for, anbefaler forskerne.

"En af de ting, man kunne forbedre, er for eksempel at sørge for, at selve apparatet udfører en vis forbehandling og kun outputter de data, der er brug for til det givne formål," foreslår Frank.

Sådanne forholdsregler bør indføres omgående for at forhindre unødvendige risici i fremtiden, bemærker han.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere