Περί της δυνατότητας παράπλευρης επίθεσης μέσω επιφανειών επαφής εγκεφάλου-ηλεκτρονικού υπολογιστή

Περί της δυνατότητας παράπλευρης επίθεσης μέσω επιφανειών επαφής εγκεφάλου-ηλεκτρονικού υπολογιστή 

Ivan Martinovic^a, Doug Davies^b, Mario Frank^b, Daniele Perito^b, Tomas Ros^c, Dawn Song^b

University of Oxford^a,   UC Berkeley^b,   University of Geneva^c

Περίληψη (της ομιλίας του ενός των συγγραφέων, του Ivan Martinovic, την οποία έκανε στο συνέδριο USENIX Security '12, που έλαβε χώρα 8-10.8.2012, και που οργανώνεται από την USENIX The Advanced Computing Systems Association. Η ομιλία βρίσκεται στη διεύθυνση :

 http://www.youtube.com/watch?v=3RLiLricrLA, υπάρχει όμως και ένα εκτενές άρθρο με τεχνικές λεπτομέρειες όπου περιγράφονται τα πειράματα και η ανάλυση τους).

Οι ερευνητές εξετάζουν κατά πόσον είναι δυνατή η κατάχρηση των επιφανειών επαφής εγκεφάλου-ηλεκτρονικού υπολογιστή (BCI-Brain Computer Interfaces), ως παρακαμπτηρίου εισόδου στον εγκέφαλο.

Οι BCI γίνονται όλο και πιο δημοφιλείς στην βιομηχανία των ηλεκτρονικών παιχνιδιών και διασκέδασης. BCI συσκευές προορισμένες για τον μέσο καταναλωτή στοιχίζουν μόλις κάποιες εκατοντάδες δολάρια. Χρησιμοποιούνται σε ποικίλες εφαρμογές, όπως video games, hands-free πληκτρολόγια και ποντίκια, για σύνθεση μουσικής, ή και ως βοηθήματα σε ασκήσεις χαλάρωσης. Υπάρχουν ηλεκτρονικά καταστήματα εφαρμογών, παρόμοια με αυτά για smart phones, όπου οι κατασκευαστές εφαρμογών έχουν πρόσβαση σε μια API (application programming interface- διεπαφή προγραμματισμού εφαρμογών) και έχουν έτσι την δυνατότητα να συλλέγουν δεδομένα από BCI συσκευές.

Τα κενά ασφάλειας που σχετίζονται με την χρήση BCI συσκευών δεν έχουν ακόμα μελετηθεί, και η επίδραση κακοήθων software που έχουν πρόσβαση στην συσκευή είναι ακόμα ανεξερεύνητη. Κάναμε το πρώτο βήμα προς την εξέταση της ασφάλειας τέτοιων συσκευών, και δείξαμε ότι η επερχόμενη τεχνολογία μπορεί να στραφεί εναντίον των χρηστών, με σκοπό να αποκαλυφθούν προσωπικά και μυστικά τους δεδομένα. Χρησιμοποιήσαμε φθηνές BCI συσκευές που λειτουργούν με βάση την μέθοδο του ηλεκτροεγκεφαλογραφήματος (EEG), ώστε να εξετάσουμε την δυνατότητα απλών αλλά αποτελεσματικών επιθέσεων.

Η μέθοδος του EEG χρησιμοποιείται εδώ και δεκαετίες στην νευρολογία. Βασίζεται στο γεγονός ότι η νευρική λειτουργία συνοδεύεται από την παρουσία του ηλεκτρικού πεδίου στην περιοχή των εν λόγω νευρώνων. Όταν επέλθει μια μεταβολή στην λειτουργία ενός νευρώνα, τότε επέρχεται και μια μεταβολή του ηλεκτρικού πεδίου που αντιστοιχεί στον νευρώνα αυτό αλλά και σε λειτουργικά συνδεδεμένους με αυτόν (όταν πχ κάποιος βλέπει μια μαύρη επιφάνεια και ξαφνικά εμφανιστεί ένα φωτεινό σημείο, τότε θα παρατηρηθεί μεταβολή του δυναμικού του ηλεκτρικού πεδίου στο μάτι αλλά και σε συγκεκριμένο μέρος του εγκεφάλου). Επειδή στον εγκέφαλο είναι πολλοί οι νευρώνες που πυροδοτούνται ταυτόχρονα, είναι δυνατόν να μετρηθεί η μεταβολή του δυναμικού απ’ έξω, με ηλεκτρόδια που τοποθετούνται πάνω σε συγκεκριμένα σημεία στο κρανίο. Είναι διάφορα τα κύματα που σχετίζονται με διάφορες λειτουργίες του εγκεφάλου. Αυτό που στην προκειμένη περίπτωση μας ενδιαφέρει είναι το σχήμα βάσει του οποίου μεταβάλλεται το ηλεκτρικό πεδίο σε διάφορα μέρη του εγκεφάλου, όταν παρουσιασθεί κάποιο συγκεκριμένο ερέθισμα(πχ. φωτογραφία ενός γνωστού, ή η περιοχή που μένεις) ή όταν εκτελείται μια συγκεκριμένη διανοητική εργασία(πχ. μέτρημα, ή συγκέντρωση σε συγκεκριμένα ερεθίσματα).

Το σήμα από το EEG επομένως, μπορεί να αποκαλύψει προσωπικά δεδομένα του χρήστη, όπως αριθμούς pin, περιοχή κατοικίας, γνώση περί γνωστών προσώπων. Στην μελέτη μας δείξαμε ότι υπάρχει διαρροή πληροφορίας. Η διαρροή αυτή εκφράζεται ως μείωση της εντροπίας της πληροφορίας, που στην μελέτη μας κυμαινόταν από 15-40%, σε σχέση με επιθέσεις που γίνονται τυχαία, χωρίς δηλαδή την πληροφορία της ηλεκτρικής δραστηριότητας του εγκεφάλου.

Mετάφραση Πέτρος