Onde cerebrali, la nuova frontiera dell'hackeraggio

Epoc+ è uno di questi: utilizza cuffie dotate di elettrodi per registrare le variazioni di tensione cerebrale nello strato più esterno del cervello. Un approccio meglio conosciuto come elettroencefalografia (EEG). I big della Silicon Valley sono molto chiari sul futuro prossimo della tecnologia digitale: i nostri pensieri saranno in costante connessione con i dispositivi elettronici, in una sorta di fusione uomo-macchina di cui i fratelli Wachowski – quelli di “Matrix” - avranno di che scrivere.
Facebook, ad esempio, intende sviluppare un sistema in grado di scrivere 100 parole al minuto semplicemente monitorando il cervello, mentre Elon Musk (Tesla Inc., Space Exploration Technologies Corp.) ha recentemente dato vita a Neuralink, la startup in grado di impiantare degli elettrodi nella materia grigia per caricare o scaricare tutto ciò che passa per la testa.

Sulla scia di questa tendenza i produttori di high-tech stanno dando del loro meglio nell’oggettistica digitale, tra cui appunto si trova Epoc+: prodotto dall’Emotiv, si tratta di un paio di cuffie in grado di registrare le onde celebrali, quindi gli stati emotivi come frustrazione o eccitazione, e controllare i robot attraverso la mente. Il suo costo si aggira intorno agli 800 dollari.

Il prodotto è già utilizzato in “buona fede” in ambito medico – ad esempio per il controllo dell’epilessia, il trattamento della sindrome da deficit d’attenzione e iperattività o in casi di commozione cerebrale.
Ma uno studio dell’Università dell’Alabama realizzato a Birmingham ha mostrato come Epoc+ potrebbe essere utilizzato anche per aiutare i software a trovare i codici PIN e le password personali private attraverso il monitoraggio delle onde celebrali. La ricerca mostra un sempre crescente problema di sicurezza dell’interfaccia cerebrale, nonostante il numero di questo genere di dispositivi sia ancora limitato.

Ad esempio, quando ci si mette in pausa da un gioco virtuale o si effettua il login per accedere al proprio conto in banca con le cuffie ancora "mode on", il dispositivo potrebbe essere a rischio hackeraggio da parte di malware che riuscirebbero a spiare le credenziali degli utenti proprio attraverso le onde cerebrali. Questo perché gli stessi utenti utilizzerebbero PIN e password mentre indossano le cuffie, consentendo così ai software di registrare il collegamento tra la battitura sulla tastiera e le onde cerebrali.

Nitesh Saxena, professore associato dell’Università, sostiene che le cuffie in questione rappresentino un rischio reale per la privacy degli utenti e che, con lo sviluppo di questi dispositivi, i rischi potrebbero aumentare.
Saxena sostiene che questo passaggio potrebbe essere raggiunto anche nei giochi virtuali, richiedendo ad esempio agli utenti di inserire un testo o dei codici come parte del gioco. Dopo aver osservato una persona inserire circa 200 caratteri, gli algoritmi imparano a individuare i nuovi caratteri che la stessa persona inserisce soltanto osservando i dati riportati dall’elettroencefalografia. Ciò potrebbe portare un gioco “infetto” a spiare qualcuno mentre si prende una pausa per navigare sul web. Si tratta anche in questo caso di un’operazione ben lontana dalla perfezione, ma di certo c’è che le probabilità di indovinare un PIN composto da quattro cifre sono diminuite da una su 10.000 a una su 20. Allo stesso modo, le chance di trovare una password di sei caratteri sono scese da una su 500.000 volte circa a una su 500.
Un portavoce di Emotiv smentisce naturalmente questa possibilità, sostenendo che un attacco del genere sia impraticabile, perché una persona si insospettirebbe se un programma provasse a condurlo nel suddetto "gioco", ed è la stessa azienda inoltre che si occupa di approvare tutti i software che si connettono al suo dispositivo.

Ma Alejandro Hernández, ricercatore che si occupa di sicurezza per IOActive, analizzando proprio l’approccio dell’elettroencefalografia e i software ad esso connessi, ha potuto constatare che l’attacco ricreato dall’Università dell’Alabama è stato «fattibile al 100%». La sua ricerca dimostra che molti software EEG in uso oggi sono ben disegnati e facilmente hackerabili.

A ciò si aggiunge uno studio dell’Università di Washington che ha dimostrato un altro modo per estrapolare le informazioni private attraverso dispositivi dotati di elettrodi. In sintesi, sono stati creati dei giochi che mostrano in maniera subliminale delle immagini come i loghi delle banche e hanno annotato il momento in cui il cervello di una persona ne ha registrato il riconoscimento. Il gruppo di Washington sostiene che una delle motivazioni alla base della ricerca è la volontà delle imprese di raccogliere diversi dati sull’uso del web da parte degli utenti, anche attraverso gli smartphone, in modo da "dirigere" le pubblicità. Anche senza l’accesso ai dati del cervello, infatti, le imprese stanno già cercando delle idee che facciano presa sui consumatori online, attraverso l'analisi dei loro stati emotivi.
I ricercatori di Washington si dicono preoccupati perché gli interessi delle imprese nel machine learning crescono ogni giorno di più. E maggiore sarà lo sviluppo dei dispositivi che si rifanno all'elettroencefalografia, maggiore sarà la capacità di estrapolazione di PIN, password e altri dati personali.