La prossima frontiera degli hacker? Il vostro cervello

La prossima frontiera degli hacker? Il vostro cervello

Sulla stampa di settore i titolisti si sono sbizzarriti: «Il vostro cervello può essere hackerato» (Technorati), «Gli ‘hacker della mente’ potrebbero rubarvi segreti attraverso le onde cerebrali» (ZDNet), «Hacker con accesso non autorizzato al cervello umano» (CrazyEngineers). Ma, sensazionalismi a parte, il nuovo studio dei ricercatori delle Università di Oxford, Berkeley e Ginevra, intitolato On the Feasibility of Side-channel Attacks with Brain-computer Interfaces, getta davvero un primo sguardo scientifico sul rapporto tra tutela della privacy e della sicurezza dei propri dati personali, interfacce uomo-macchina e neuroscienze. E apre scenari finora considerati più consoni in un romanzo di Philip Dick che alla realtà, in cui per mettere a repentaglio i propri segreti basta pensarli.

Premessa. Già da alcuni anni si trovano in commercio device che, posizionati sulla testa dell’utente come un paio di semplici cuffie, registrano i campi elettrici prodotti dall’attività delle sinapsi neuronali tramite un metodo non invasivo, l’elettroencefalogramma (EEG). Si tratta di strumenti a basso costo, dai 129,95 dollari di NeuroSky – la cui pagina web si apre con una eloquente citazione di Arhur C. Clarke, l’autore di 2001 Odissea nello Spazio: «Qualunque tecnologia sufficientemente avanzata è indistinguibile dalla magia» – ai 299 dollari dell’Emotiv. Ma sofisticati quanto basta per riconoscere pattern specifici di onde cerebrali, e capirne i corrispondenti stati neurocognitivi. Una comprensione che trova svariate applicazioni pratiche, dalla medicina – per esempio per il controllo dell’epilessia, il trattamento della sindrome da deficit di attenzione e iperattività, la gestione del carico cognitivo degli operatori del traffico aereo – al gaming, in cui le loro funzionalità consentono al software di comprendere gli stati emotivi – noia, soddisfazione, confusione – dei giocatori, e integrarli nell’esperienza ludica. Così come di sfruttare l’attività cerebrale per trasformare i pensieri in azioni nel gioco.

Ogni device, proprio come fossero degli smartphone, ha il suo negozio virtuale, in cui acquistare le applicazioni sviluppate appositamente da terze parti. Il problema è che queste terze parti, principalmente software house, per sviluppare giochi e programmi hanno accesso all’intero flusso di dati trasmesso dal cervello dell’utente. Il che ha portato i ricercatori a porsi una domanda: e se questi dati fossero utilizzati per carpire informazioni riservate degli acquirenti? «Dato che questa tecnologia fornisce informazioni sui nostri processi cognitivi e consente vengano fatto inferenze circa le nostre intenzioni, gli interessi consci e inconsci o le nostre risposte emotive», scrivono, «siamo interessati a capirne le conseguenze per la sicurezza e la privacy». Una domanda attualissima, dato che strumenti simili hanno attirato l’attenzione, come era facile prevedere, delle aziende di marketing. Come Nielsen, che svolge ricerche di mercato e ha recentemente acquisito Mynd di NeuroFocus, così da carpire dati «della più elevata qualità sulle risposte del subconscio profondo dei consumatori in tempo reale e in wireless».

Per comprendere se il passo dalle preferenze di consumo ai propri dati personali sia breve, i ricercatori hanno compiuto quattro diversi esperimenti su 28 soggetti (18 maschi e 10 femmine) in cui hanno associato alla presentazione di alcuni stimoli visivi la registrazione degli elettroencefalogrammi ottenuti da un comunissimo Emotiv. Risultato? Nel suo funzionamento standard, cioè senza bisogno di ipotizzare l’utilizzo di malware appositamente creati per ingannare gli utenti, è compresa la possibilità di fare del device un vero e proprio brain spyware, una spia digitale del pensiero pronta all’attacco.

Tradotto significa che, usando un Emotiv, lo sviluppatore malintenzionato potrebbe aumentare sensibilmente le proprie possibilità di successo nell’inferire, dal semplice pensiero dell’utente, un codice PIN, dati sul suo Bancomat, quale banca utilizzi, dove viva, il mese di nascita e perfino dati sensibili sui suoi conoscenti. Certo, «non sempre l’attacco rivela informazioni corrette al primo colpo». Tuttavia, «la risposta corretta è stata ottenuta al primo colpo nel 20% dei casi nell’esperimento sul PIN», concludono gli autori, argomentando di aver registrato la stessa percentuale per i dati bancari e quelli sugli amici dei soggetti sperimentali. Ma la percentuale sale al 30% sul luogo di residenza, e addirittura al 60% per il mese di nascita. Non la perfezione, dunque, ma di certo meglio che tirare a indovinare.

I rischi aumenteranno man mano che queste tecnologie forniranno dati più precisi sull’attività cerebrale dei soggetti, argomentano i ricercatori. E, in ogni caso, «l’attaccante può creare le immagini e i video mostrati all’utente appositamente con l’intento di massimizzare la quantità di informazioni trafugate e tentando allo stesso tempo di nascondere l’attacco», magari presentandolo nelle vesti di un gioco o un quiz. Una sorta di trasparenza al contrario, insomma, in cui sono le aziende a carpire i segreti agli individui, e non viceversa. E da cui è difficile vedere una via d’uscita, se è vero che l’unico modo che l’utente ha per trarre in inganno la macchina è concentrarsi intenzionalmente sugli stimoli visivi che si vorrebbero ignorare. Ma «è difficile immaginare uno scenario realistico in cui un utente preoccupato possa provare a nascondere le proprie informazioni all’applicazione per un periodo di tempo prolungato».

La fine della privacy inizia già nel nostro cervello? Per il momento non tutti ne sono convinti. The Register invita alla cautela: i risultati dello studio, scrive, «possono essere considerati mediocri, una volta decostruiti». Prima di tutto perché «una periferica per consumatori non rende sicure le comunicazioni con il proprio host»; in secondo luogo, perché, tutto sommato, i ricercatori hanno semplicemente scoperto che device come l’Emotiv fanno proprio ciò che dichiarano di fare. Nessun segreto, dunque, tanto più che ci sono già oggi modi molto più rapidi per rubare quelle stesse informazioni, conclude The Register, senza dover ricorrere alle onde cerebrali.