Забудьте про футуристичні інтерфейси, якими керують комп’ютерами за допомогою помахів руками, відстежування напрямку погляду тощо. Це швидко застаріє. Управління комп’ютером за допомогою мозкових хвиль – це найвища ступінь контролю, і насправді це єдиний канал, повністю відкритий для людей з обмеженими можливостями.
Мозок-комп’ютерні інтерфейси (BCI), вперше розроблені у 1980-х роках, широко використовуються у терапії та реабілітації (та й є головним засобом комунікації для деяких людей), а також для досліджень. Технологія, яка дозволяє BCI визначати передбачувану літеру за сплеском мозкової активності, є типом машинного класифікатора, який також використовується для ідентифікації фотографій, розпізнавання мови та ідентифікації зловмисного програмного забезпечення. Атака, яку описано нижче, може вплинути і на це, і на інші застосування цих алгоритмів, що страшніше, ніж чистий хакінг BCI.
Але повернемось до BCI. Поширене використання BCI для тяжкохворих людей – це можливість написання їхніх слів на комп’ютері або їхнє озвучування. Але нещодавнє дослідження показало, як це легко зламати.
Уявіть, що у Вас аміотрофічний бічний склероз (хвороба Лу Герріга). Ви втратили контроль над своїми руками та голосом. Ваш “посередник” BCI – Ваш єдиний інструмент, щоб сказати комусь, що Вам потрібно. Ваш племінник, який претендує на Ваш спадок, заходить до Вашої палати, і перш ніж Ви дізнаєтесь про це, Ваш переговорний пристрій діє поза Вашою волею і віддає наказ “Не реанімуйте”. Історія в дусі Стівена Кінга, чи не так?
Дослідники що базуються в Китаї, Австралії та США продемонстрували, що ці комп’ютерно-мозкові інтерфейси та інші подібні класифікатори можуть бути “зламані” коливаннями малої потужності . Занадто малі, щоб їх можна було виявити, коли їхнє джерело розміщене в кімнаті, де базується апаратура, що знімає електроенцефалограму і тощо, ці коливання можуть ввести в оману BCI, щоб написати все, що хоче зловмисник.
Існує кілька типів конвертації мозкових хвиль у символи на основі ЕЕГ, деякі з них використовуються з 1980-х років. Однією з моделей є шрифт SSVEP. Існує масив символів, кожному з яких відповідає мерехтіння з певною частотою, що генерує мозкові хвилі тієї ж частоти, коли користувач фокусується на одному з симолів. Частоту обраного символу можна визначити за сигналами ЕЕГ. Мозок користувача та система можуть розрізняти 40 символів із частотою від 8 Гц до 15,8 Гц з кроком 0,2 Гц. За допомогою моделі машинного навчання класифікатор приймає сигнал від ЕЕГ і визначає, який символ обраний користувачем. Зараз класифікатори використовують машинне навчання, щоб допомогти визначити бажаний символ.
Для того, щоб це “хакнути”, потрібно чимало математичних розрахунків, і для цього у нас є комп’ютери. Маючи справу із системою SSVEP, ми маємо почати з розуміння частот символів. Дослідники виявили, що канонічний кореляційний аналіз (CCA), який застосовується для знаходження базової кореляції між двома багатоканальними часовими рядами – є найбільш ефективним методом. Використаємо трохи статистичної та геометричної математики для розшифрування частотної карти, використовуваної класифікатором та вуаля – маємо все, що потрібно для побудови змагального шаблону коливань. Шаблон змагальності додає або зменшує частоти коливання на рівні сигналу для досягнення бажаного результату противника.
Як і у більшості обчислень, активне використання роботи класифікаторів пришвидшило більшість досліджень. Наслідком стала більша безпека. Тим не менше, як все більше і більше наших технологій включає моделі машинного навчання, їх безпека або її відсутність стає критичною. Уявіть, що зловмисне програмне забезпечення не тільки приховує себе, як це вже робить більшість такого ПЗ, але також заражає класифікатори шкідливих програм, щоб не дозволити їм помітити будь-які сліди його присутності. Тож на прикладі зламу інтерфейсу “мозок-комп’ютер” ми побачили, як можна обманути алгоритм машинного навчання.
Нагадаємо, популярні поштові додатки для iOS і Android “обробляють” дані з поштових скриньок користувачів і потім продають створені на основі цієї інформації продукти клієнтам у сфері фінансів, туризму та електронної комерції.
Також фішинговий механізм створили двоє правопорушників для заволодіння криптовалютою. Під час виконання користувачем переказу криптовалюти відбувалася підміна криптогаманця отримувача, і гроші направлялись зловмисникам.
Окрім цього, зловмисник за допомогою системи онлайн-платежів банківських установ, які не є резидентами України, заволодів грошовими коштами українського банку.
Зверніть увагу, найбільш привабливою для хакерів мобільною операційною системою є Android. Так, 99% мобільних шкідливих програм виявляюють саме на пристроях під управлінням цієї ОС, йдеться у звіті з кібербезпеки мобільних пристроїв за 2019 рік компанії ESET.
До речі, образливі та провокативні повідомлення, знущання в коментарях, навмисне створення конфліктних ситуацій — все це типові прояви тролінгу в Інтернеті. Часто юні користувачі не в змозі боротися з цим самостійно, а батьки не розуміють що це та як захистити власну дитину. Як знизити тиск на підлітка, який вже став жертвою тролінгу в Мережі, а також уникнути цього, читатйте у статті.
