Les pirates peuvent voler des ondes cérébrales

Voyez le destin : les attaquants peuvent se mettre entre les ondes cérébrales et le kit de l’hôpital et cela empirera, a déclaré le consultant senior d’IOActive, Alejandro Hernández.

Hernández dit que le potentiel de copier, modifier et supprimer les ondes cérébrales utilisées en électroencéphalographie (EEG) est déjà apparu, le kit a déjà été piraté et le secteur de la santé a pris de petites mesures pour mieux protéger les ondes cérébrales capturées.

Après des décennies dans les laboratoires et les hôpitaux, l’encéphalographie est introduite dans des écouteurs électroniques légers et d’autres outils encore largement expérimentaux ou fantaisistes.

Cliniquement, les appareils d’enregistrement EEG sont un outil utile pour diagnostiquer les convulsions et les troubles du sommeil comme la narcolepsie.

Les chercheurs pensent que les ondes cérébrales enregistrées ont le potentiel de marquer les capacités mentales des meurtriers, de créer des interfaces cerveau à cerveau où les pensées conscientes sont transmises sur Internet et inconsciemment mises en œuvre par une autre personne, ou de voir des drones pilotés par des impulsions neurales.

Avant d’y arriver, nous devons verrouiller les clés EEG. Hernández dit qu’un an de travail lui a montré comment trouver des lacunes dans l’équipement EEG et a convenu que les ondes cérébrales enregistrées seraient considérées comme des données confidentielles et donc cryptées. Le chercheur a utilisé un outil MindWave à 80 US$.

Présenté comme une méthode pour mieux évaluer le fonctionnement des mathématiques et d’autres problèmes pour les élèves.

Les machines de qualité hospitalière sans poches profondes restent hors de portée des pirates et nécessitent une connaissance approfondie des ondes cérébrales qui peuvent être modifiées pour un résultat donné.

Cependant, Hernández affirme qu’il existe des vulnérabilités dangereuses dans le kit domestique et probable de l’hôpital, y compris le vol de flux de données et les trous d’application, et les attaques de type homme du milieu et par déni de service.

Pour un hacker engagé, l’expertise nécessaire n’est pas rare ou introuvable.

La semaine dernière, en utilisant le package open-source EEG NeuroServer, le pirate a démontré une attaque en direct de l’homme du milieu sur ses propres signaux cérébraux.

Il y a des années, personne ne s’inquiétait des réseaux SCADA simplement parce qu’ils fonctionnaient, et une décennie plus tard, nous parlons de [SCADA] sécurité… Je constate la même chose. EEG et maintenant c’est le meilleur moment pour mettre la sécurité dans la technologie », a déclaré Hernández.

Si vous pouvez renifler les données cérébrales du câble, rejouez les attaques [such as]
peut se produire s’il n’y a pas de mécanisme de sécurité entre un opérateur et un drone
[or] interfère. avec les données EEG, ce n’est donc pas la même chose que les électrodes.

Pour un hacker engagé, l’expertise nécessaire n’est pas rare ou introuvable.

Alors qu’en est-il des annonceurs neuronaux de données EEG, pas des spammeurs ?

Les données EEG soulèvent également des risques prosaïques. Hernández a parlé à Vulture South des partages de fichiers EEG d’un hôpital sans nom, affirmant que le serveur pourrait être exposé à l’aide du moteur de recherche de pirates informatiques Shodan.

Ces attaques sont en partie spéculatives, en partie testées, mais toutes basées sur la preuve que l’EEG, comme tant de domaines technologiques émergents, a laissé la poussière de la sécurité dans le progrès de la capacité. Cependant, Hernández a fait sauter les verrous mentaux des équipements populaires dans les royaumes des hackers de tous les jours.

Pencher l’esprit

Les problèmes de sécurité d’EEG sont des résultats tristement familiers d’une mauvaise conception de logiciels, a déclaré Hernández. L’appareil ENOBIO EEG (qui ressemble plutôt à un casque de rugby) est vulnérable aux attaques de l’homme du milieu. Il a trouvé des vulnérabilités d’application mineures et des plantages EEG ordinaires, y compris Persyst Advanced Review ; Visionneuse d’harmonie stellaire Natus ; NeuroServeur ; BrainBay et SigViewer.

Par exemple, certaines applications transmettent des ondes cérébrales brutes à un autre point de terminaison distant en utilisant le protocole TCP/IP qui n’est pas configuré et donc vulnérable aux attaques de réseau populaires telles que l’homme du milieu où un intrus peut intercepter et modifier les données EEG envoyées. , dit Hernández.

Des composants tels que le dispositif d’acquisition, le middleware et les points de terminaison manquent également d’authentification, ce qui signifie qu’un attaquant peut se connecter à un port TCP distant et voler des données EEG brutes. Ce même défaut peut déclencher les attaques de réponse les plus dangereuses.

Hernández ne peut pas parler de kit EEG de qualité hospitalière, qui est plus difficile à accéder et à vérifier pour les pirates. Mais ses recherches sont une mauvaise nouvelle pour ceux qui préconisent les lectures EEG comme authentification

La bonne nouvelle, selon le chercheur, est que les vulnérabilités qu’il a découvertes peuvent être corrigées avec les meilleures pratiques connues : “C’est un grand oui – les meilleures pratiques doivent être suivies du point de vue de la technologie, de la conception sécurisée et de la programmation sécurisée”.