นักวิจัยเตือน อนาคตต้องระวังการขโมย Password จากคลื่นสมองโดยตรง!

0
Source: Wikipedia

Nitesh Saxena ผู้ช่วยศาสตราจารย์แห่ง University of Alabama ได้ออกมาแสดงให้เห็นว่าเครื่องอ่านสัญญาณคลื่นสมองที่กำลังจะกลายมาเป็น Interface ใหม่แห่งอนาคตนี้ สามารถกลายมาเป็นเครื่องมือสำหรับใช้ในการโจมตีเพื่อขโมย PIN หรือ Password ใดๆ จากการตรวจสอบและวิเคราะห์สัญญาณคลื่นสมองได้

อุปกรณ์ที่ถูกใช้ทดสอบในการศึกษาครั้งนี้คือ Epoc+ จาก Emotiv ที่ใช้เทคโนโลยีการอ่านการเปลี่ยนแปลงของ Voltage ในสมองส่วนนอกด้วยการใช้ Electrode ซึ่งเป็นเทคนิคที่รู้จักกันดีในนาม Electroencephalography หรือ EEG โดย Epoc+ นี้ถูกออกแบบมาเพื่อใช้ในงานวิจัยและการแพทย์โดยเฉพาะ แต่ก็ถูกนำไปประยุกต์ใช้ในเกมได้ด้วย

ถึงแม้สัญญาณ EEG นี้จะไม่ได้ระบุตรงๆ ว่าผู้ใช้งานกำลังคิดหรือทำอะไรอยู่ แต่แนวทางในการล้วงข้อมูลออกมาจากผู้ใช้งานนั้นก็มีหลากหลาย ตัวอย่างหนึ่งที่ถูกทดสอบไปก็คือการให้ผู้ใช้งานนั้นเล่นเกมพร้อมสวมใส่ Epoc+ แล้วจากนั้นจึงหยุดเกมมาเพื่อทำการ Log In เข้าไปยังบัญชีธนาคารโดยที่ยังสวมใส่อุปกรณ์นี้อยู่ ซึ่งผู้โจมตีก็จะสามารถจับสัญญาณคลื่นสมองระหว่างกรอก PIN และ Password เอาไว้ จากนั้นก็นำไปเทียบกับคลื่นสมองในขณะที่เล่นเกมหรือทำกิจกรรมอื่นๆ เพื่อแปลงออกมาเป็นค่า PIN หรือ Password ในภายหลัง เช่น เทียบกับการกรอกตัวอักษรหรือตัวเลขหรือ Password ภายในเกม

นอกจากนี้ หากทำการตรวจสอบสัญญาณคลื่นสมองของการที่ผู้ใช้งานคนหนึ่งทำการกรอกตัวอักษรไปแล้วประมาณ 200 ตัว ในการศึกษาก็พบว่าสามารถสร้าง Algorithm ขึ้นมาเดาตัวอักษรที่ผู้ใช้งานคนนั้นทำการกรอกได้จากข้อมูลสัญญาณคลื่นสมองได้แล้ว โดยถึงแม้จะยังไม่แม่นยำมากนัก แต่ก็ช่วยลดปริมาณการเดาสุ่มในการโจมตีลงได้มาก เช่น จากเดิมที่ PIN มีด้วยกัน 10,000 รูปแบบ การเดารหัส PIN ควบคู่ไปกับข้อมูลจากคลื่นสัญญาณสมองนี้ ก็อาจลดลงเหลือเพียงแค่ 20 ครั้งได้ เป็นต้น

การศึกษาครั้งนี้มีวัตถุประสงค์เพื่อให้เหล่าผู้ผลิตอุปกรณ์ EEG เหล่านี้และผู้พัฒนาเทคโนโลยีทางด้าน Brain Computer Interface ใส่ใจในเรื่องความมั่นคงปลอดภัยกันให้มากขึ้น ซึ่งเมื่อนำการศึกษาครั้งนี้ไปถามกับทาง Emotiv ผู้ผลิต Epoc+ แล้ว ทางผู้ผลิตก็แจ้งว่าการโจมตีเหล่านี้เกิดขึ้นจริงได้ยาก เพราะผู้ใช้งานต้องถูกโจมตีผ่าน Software ที่ถูกพัฒนาขึ้นมาเพื่อตรวจสอบรูปแบบของคลื่นสมองต่างๆ โดยเฉพาะ และ Emotiv เองก็มีการตรวจสอบทุกๆ Software ที่มาเชื่อมต่อกับอุปกรณ์ของตน แต่คำกล่าวอ้างนี้ก็ถูกโต้แย้งโดย IOActive ที่ได้ตรวจสอบความมั่นคงปลอดภัยของอุปกรณ์ EEG และ Software ที่เกี่ยวข้อง ว่าการโจมตีเหล่านี้สามารถเกิดขึ้นได้จริง เพราะอุปกรณ์และระบบเหล่านี้ถูกออกแบบบมาอย่างหละหลวม และไม่มีความมั่นคงปลอดภัยเลย

ในขณะเดียวกัน เหล่านักวิจัยจาก University of Washington ก็ได้ออกมาแสดงถึงอีกวิธีการในการเข้าถึงข้อมูลในสมองผ่านอุปกรณ์ EEG โดยการใช้เทคนิค Subliminal ในการแสดงภาพต่างๆ เป็นเวลาสั้นๆ จนผู้ใช้งานไม่รู้สึกตัว และตรวจจับสัญญาณสมองที่เกิดขึ้นในช่วงที่มีการแสดง Subliminal นั้นๆ และนำข้อมูลเหล่านี้ไปใช้ต่อได้ในแง่มุมที่หลากหลาย ไม่ว่าจะเป็นการโฆษณา, การทำ Phishing และอื่นๆ อีกมากมาย โดยเฉพาะการตรวจสอบอารมณ์ของผู้ใช้งาน

ประเด็นนี้นำไปสู่อีกหัวข้อสำคัญ คือ ความเป็นส่วนตัวของความคิด ที่อนาคตคงจะต้องมีการถกเถียงครั้งสำคัญกันอย่างแน่นอน

 

อ้างอิง https://www.technologyreview.com/s/604293/using-brainwaves-to-guess-passwords/