Gelecekte siber saldırganlar bellek implantlarındaki açıklardan yararlanarak insanların belleklerini çalabilecek, izleyebilecek, değiştirebilecek veya kontrol edebilecek. Bu alanda en ciddi tehditlerle karşılaşmamıza daha on yıllar olsa da bunu için gereken temel teknoloji derin beyin uyarı cihazlarında kullanılıyor.
Anılarımızı mı çalacaklar?
Bilim adamları anıların beyinde nasıl oluştuğunu ve bu tür cihazlarla nasıl hedeflenebileceğini, kaydedilebileceğini ve iyileştirilebileceğini öğreniyor. Ancak, bağlı yazılım ve donanımlarda açıklar mevcut. Kaspersky Lab ve Oxford Üniversitesi Fonksiyonel Nöroşiruji Grubu’ndan araştırmacıların hazırladığı rapora göre, gelecekte bizleri bekleyen tehditlere hazır olmak için bu açıkların kapatılması şart.
Araştırmacılar, derin beyin uyarı cihazlarındaki mevcut açıkları keşfetmek için pratik ve teorik analizlerini bir araya getirdi. Vücuda yerleştirilebilir titreşim üretici (IPG – implantable pulse generator) veya beyin pili olarak da bilinen bu cihazlar; Parkinson, titreme, depresyon ve obsesif kompulsif bozkukluk gibi rahatsızlıkların tedavisi için beyindeki belirli noktalara elektrik uyarıları gönderiyor. Bu cihazların en son nesli, hem doktorlar hem de hastaların kullanabileceği yönetim yazılımıyla birlikte geliyor. Bu yazılım herkesin satın alabileceği tabletler ve akıllı telefonlara kuruluyor. Cihazlar arasındaki bağlantı standart Bluetooth protokolü üzerinden gerçekleşiyor.
Araştırmacılar, saldırganların yararlanabileceği bir dizi mevcut ve potansiyel risk senaryosu tespit etti. Risk senaryoları arasında şunlar yer alıyor:
Açık bağlantı altyapısı – Araştırmacılar, cerrahi ekipler arasında popüler olan bir çevrim içi yönetim platformunda bir adet ciddi açık ve endişe verici sayıda hatalı ayar tespit etti. Bunlar, saldırganların hassas verilere ve tedavi prosedürlerine erişmesini sağlayabiliyor.
Vücut içindeki cihaz, yazılım ve ilgili ağlar arasındaki güvensiz veya şifrelenmemiş veri aktarımı sayesinde bir hastanın cihazına veya aynı altyapıya bağlı bir grup cihaza (ve hastaya) müdahale etmek mümkün olabiliyor.Yapılacak müdahale ile gizli kişisel bilgilerin çalınabilmesinin yanı sıra cihazların ayarları değiştirilerek hastanın acı çekmesi veya felç olması da sağlanabiliyor.
Hastanın güvenliği için getirilen bazı tasarım kısıtlamaları nedeniyle güvenlikten ödün veriliyor. Örneğin, tıbbi implantların acil durumlarda doktorlar tarafından kontrol edilebilmesi gerek. Buna hastaların evlerinden hastaneye hızla getirildiği durumlar da dahil. Bu da doktorların genel olarak bilmediği bir parola kullanmayı imkansız hale getiriyor. Bu tür implantlarda yazılım tabanlı bir ‘arka kapı’ olması gerekiyor.
Tıbbi ekiplerin güvenliği göz ardı eden davranışları – Hastalar için kritik önem taşıyan yazılımın yüklü olduğu cihazların varsayılan parolayla bırakıldığı, internette gezmek için kullanıldığı veya içine başka uygulamaların yüklendiği görüldü.
Bu hassas noktaları düzeltmek büyük önem taşıyor. Araştırmacılar önümüzdeki yıllarda, daha gelişmiş beyin pilleri ve insan beyninin anıları nasıl oluşturup sakladığına dair elde edilecek daha derin bilgiler sayesinde bu tür teknolojilerin gelişim ve kullanımının hızlanacağını tahmin ediyor. Bu da siber saldırganlar için yeni fırsatlar anlamına geliyor.
Bilim adamları beş yıl içinde, anıları oluşturan beyin sinyallerini elektronik olarak kaydedebilmeyi ve ardından beyne tekrar göndermeden iyileştirip yeniden yazabilmeyi hedefliyor. Bundan on yıl sonra, ilk ticari hafıza geliştirici implantlar piyasaya çıkabilir. Yaklaşık 20 yıl içinde ise bu teknoloji hafızamız üzerinde kapsamlı bir kontrol sunacak şekilde gelişebilir.
Bunların sonucunda ortaya çıkacak tehditler arasında, politik olaylar veya anlaşmazlıklara dair anıların eklenmesi veya çıkarılmasıyla geniş insan gruplarını toplu bir şekilde etki altına almak gibi durumlar bulunabilir. Ayrıca, ‘yeni amaçlar edinen’ siber tehditler; siber casusluk veya anıların çalınması, silinmesi ya da ‘kilitlenmesi’ (örneğin fidye için) için çıkan yeni fırsatları değerlendirebilir.