W przyszłości cyberprzestępcy będą mogli wykorzystywać implanty pamięci w celu kradzieży, szpiegowania, zmieniania lub kontrolowania wspomnień ludzi. Chociaż najpoważniejsze zagrożenia nie pojawią się wcześniej niż za kilkadziesiąt lat, już teraz istnieje niezbędna technologia w postaci urządzeń do głębokiej stymulacji mózgu. Naukowcy badają powstawanie wspomnień w mózgu oraz sposoby pozwalające na ich przywracanie lub modyfikowanie przy użyciu urządzeń wszczepianych do ciała. Trzeba pamiętać, że oprogramowanie i sprzęt połączony z internetem zawierają luki w zabezpieczeniach i jeśli mamy być gotowi na zagrożenia przyszłości, trzeba się zmierzyć z tym problemem – tak wynika z nowego raportu badaczy z firmy Kaspersky Lab oraz University of Oxford Functional Neurosurgery Group.
Badacze połączyli analizę praktyczną i teoretyczną w celu zbadania aktualnych luk w zabezpieczeniach wszczepialnych urządzeń wykorzystywanych do głębokiej stymulacji mózgu. Znane jako wszczepialne generatory impulsów (ang. Implantable Pulse Generators, IPG) lub neurostymulatory, urządzenia te wysyłają impulsy elektryczne do określonych obszarów w mózgu w celu leczenia takich schorzeń jak choroba Parkinsona, drżenie samoistne, ciężkie depresje czy zaburzenia obsesyjno-kompulsywne. Implanty najnowszej generacji są wyposażone w oprogramowanie do zarządzania, przeznaczone zarówno dla lekarzy praktyków, jak i pacjentów, które jest instalowane na komercyjnych tabletach oraz smartfonach. Łączność pomiędzy nimi odbywa się za pośrednictwem standardowego protokołu Bluetooth.
Badacze zidentyfikowali kilka aktualnych i potencjalnych scenariuszy zagrożeń możliwych do zrealizowania przez cyberprzestępców.
- Podatna na ataki infrastruktura połączona z internetem – badacze znaleźli jedną poważną lukę w zabezpieczeniach oraz kilka niepokojących przypadków błędnej konfiguracji w popularnej wśród zespołów chirurgicznych platformie zarządzania online, które mogą doprowadzić atakującego do wrażliwych danych i procedur badań.
- Niezabezpieczone lub niezaszyfrowane przesyłanie danych pomiędzy implantem, oprogramowaniem do programowania oraz powiązanymi sieciami może umożliwić manipulowanie przy urządzeniach w ciałach pacjentów lub nawet całych grupach implantów połączonych z tą samą infrastrukturą. Efektem takiej manipulacji może być zmiana ustawień, która spowoduje ból, paraliż, czy też kradzież prywatnych i poufnych danych osobowych.
- Ograniczenia projektowe związane z pierwszeństwem bezpieczeństwa pacjentów nad bezpieczeństwem sprzętu. Na przykład implant medyczny musi znajdować się pod kontrolą lekarzy w sytuacjach wymagających nagłej pomocy, takich jak np. przewiezienie pacjenta do szpitala znacznie oddalonego od jego miejsca zamieszkania. To wyklucza stosowanie jakichkolwiek haseł, które nie są powszechnie znane przez lekarzy. Ponadto z założenia implanty te muszą być wyposażone w tzw. tylne drzwi w oprogramowaniu.
- Niezgodne z zasadami bezpieczeństwa zachowanie personelu medycznego – programiści oprogramowania o krytycznym wpływie na stan pacjentów pozostawiali domyślne hasła lub pobierali dodatkowe aplikacje.
Rozwiązanie kwestii obszarów podatnych na ataki ma kluczowe znaczenie. Jak oceniają badacze, pojawienie się w nadchodzących dekadach bardziej zaawansowanych neurostymulatorów oraz postęp w zakresie wiedzy dotyczącej sposobu tworzenia i przechowywania wspomnień przez mózg człowieka przyspieszy rozwój i wykorzystywanie takiej technologii i wygeneruje nowe możliwości dla cyberprzestępców.
Naukowcy spodziewają się, że w ciągu pięciu lat będą potrafili dokonać elektronicznego zapisu sygnałów mózgowych, które tworzą wspomnienia, a następnie poprawić je — a nawet wygenerować na nowo — i ponownie umieścić je w mózgu. Dziesięć lat dzieli nas od pojawienia się na rynku pierwszych implantów poprawiających pamięć, a za około 20 lat postęp technologiczny może umożliwić znaczące kontrolowanie wspomnień.
Nowe zagrożenia, jakie w związku z tym się pojawią, mogą dotyczyć masowej manipulacji grupami za pośrednictwem wszczepionych lub wymazanych wspomnień zdarzeń lub konfliktów politycznych. Cyberprzestępcy będą mogli także korzystać z nowych możliwości cyberszpiegostwa lub kradzieży, usuwania czy też blokowania wspomnień (na przykład w zamian za zapłacenie okupu).