Włamywanie się do mózgów w celu zmieniania i wykradania wspomnień

Naukowcy badają powstawanie wspomnień w mózgu oraz sposoby pozwalające na ich przywracanie lub modyfikowanie przy użyciu urządzeń wszczepianych do ciała. Trzeba jednak pamiętać, że taki sprzęt i jego oprogramowanie zawierają luki w zabezpieczeniach i mogą być podatne na zagrożenia - wynika z raportu badaczy z firmy Kaspersky Lab oraz University of Oxford Functional Neurosurgery Group.

Badacze połączyli analizę praktyczną i teoretyczną w celu zbadania aktualnych luk w zabezpieczeniach wszczepialnych urządzeń wykorzystywanych do głębokiej stymulacji mózgu. Są one znane jako wszczepialne generatory impulsów (ang. Implantable Pulse Generators, IPG) lub neurostymulatory i wysyłają impulsy elektryczne do określonych obszarów w mózgu w celu leczenia takich schorzeń, jak choroba Parkinsona, drżenie samoistne, ciężkie depresje czy zaburzenia obsesyjno-kompulsywne. Implanty te są wyposażone w oprogramowanie przeznaczone zarówno dla lekarzy, jak i pacjentów, które jest instalowane na komercyjnych tabletach oraz smartfonach. Łączność pomiędzy nimi odbywa się za pośrednictwem standardowego protokołu Bluetooth.

Implanty pamięci to realna i ekscytująca perspektywa, oferująca znaczne korzyści zdrowotne. Perspektywa zmiany i wzmocnienia naszych wspomnień za pomocą elektrod może wydawać się kompletną fikcją, jednak opiera się na rzetelnej nauce, której fundamenty istnieją już dzisiaj. Pojawienie się protez pamięci to tylko kwestia czasu. Współpraca w celu zrozumienia i przezwyciężenia pojawiających się zagrożeń i luk w zabezpieczeniach, gdy technologia ta jest jeszcze stosunkowo nowa, z pewnością zaprocentuje w przyszłości" - powiedziała Laurie Pycroft z University of Oxford Functional Neurosurgery Group.

- Podatna na ataki infrastruktura połączona z internetem – badacze znaleźli jedną poważną lukę w zabezpieczeniach oraz kilka niepokojących przypadków błędnej konfiguracji w popularnej wśród zespołów chirurgicznych platformie zarządzania online, które mogą doprowadzić atakującego do wrażliwych danych i procedur badań.

- Niezabezpieczone lub niezaszyfrowane przesyłanie danych pomiędzy implantem, oprogramowaniem oraz powiązanymi sieciami może umożliwić manipulowanie przy urządzeniach w ciałach pacjentów lub nawet całych grupach implantów połączonych z tą samą infrastrukturą. Efektem takiej manipulacji może być zmiana ustawień, która spowoduje ból, paraliż, czy też kradzież prywatnych i poufnych danych osobowych.

- Ograniczenia projektowe związane z pierwszeństwem bezpieczeństwa pacjentów nad bezpieczeństwem sprzętu. Na przykład implant medyczny musi znajdować się pod kontrolą lekarzy w sytuacjach wymagających nagłej pomocy, takich jak np. przewiezienie pacjenta do szpitala znacznie oddalonego od jego miejsca zamieszkania. To wyklucza stosowanie jakichkolwiek haseł, które nie są powszechnie znane przez lekarzy. Ponadto z założenia implanty te muszą być wyposażone w tzw. tylne drzwi w oprogramowaniu.

- Niezgodne z zasadami bezpieczeństwa zachowanie personelu medycznego – programiści oprogramowania o krytycznym wpływie na stan pacjentów pozostawiali domyślne hasła lub pobierali dodatkowe aplikacje.

Rozwiązanie kwestii obszarów podatnych na ataki ma kluczowe znaczenie. Jak oceniają badacze, pojawienie się w nadchodzących dekadach bardziej zaawansowanych neurostymulatorów oraz postęp w zakresie wiedzy dotyczącej sposobu tworzenia i przechowywania wspomnień przez mózg człowieka przyspieszy rozwój i wykorzystywanie takiej technologii i wygeneruje nowe możliwości dla cyberprzestępców.

Naukowcy spodziewają się, że w ciągu pięciu lat będą potrafili dokonać elektronicznego zapisu sygnałów mózgowych, które tworzą wspomnienia, a następnie poprawić je - a nawet wygenerować na nowo - i ponownie umieścić je w mózgu. Dziesięć lat dzieli nas od pojawienia się na rynku pierwszych implantów poprawiających pamięć, a za około 20 lat postęp technologiczny może umożliwić znaczące kontrolowanie wspomnień.

Nowe zagrożenia, jakie w związku z tym się pojawią, mogą dotyczyć masowej manipulacji grupami za pośrednictwem wszczepionych lub wymazanych wspomnień zdarzeń lub konfliktów politycznych. Cyberprzestępcy będą mogli także korzystać z nowych możliwości cyberszpiegostwa lub kradzieży, usuwania czy też blokowania wspomnień (na przykład w zamian za zapłacenie okupu).

"Obecne luki w zabezpieczeniach stanowią istotną kwestię, ponieważ dzisiejsza technologia jest fundamentem tej, która pojawi się w przyszłości. Chociaż ataki na neurostymulatory nie zostały jeszcze zaobserwowane w realnych warunkach, istnieją słabe punkty, których wykorzystanie nie będzie stanowić problemu. Aby badać i ograniczyć wszystkie potencjalne luki w zabezpieczeniach, zarówno te, które znamy już dzisiaj, jak i te, które pojawią się w najbliższych latach, konieczne jest połączenie sił służby zdrowia, branży związanej z cyberbezpieczeństwem oraz producentów urządzeń medycznych" - skomentował Dmitrij Gałow, młodszy badacz ds. cyberbezpieczeństwa w Kaspersky Lab.