Kommentar till "Neurosecurity: security and privacy for neural devices"

7/11/2009

Jag har här på bloggen ytligt och föga tydligt flera gånger menat att ett nytt område inom säkerhet håller på öppnas upp ("kognitiv-säkerhet"). Där menar jag att nuvarande säkerhetslösningar överhuvudtaget inte adresserar området. Vidare att internet gör att angrepp vara tillämpara i stor skala med mycket snabb påverkan. På grund av det och särskilt för att besvara en direkt fråga är det lämpligt att jag kommenterar Denning, Matsuoka och Kohno artikel i Neurosurgical Focus:

Neurosecurity: security and privacy for neural devices
DOI: 10.3171/2009.4.FOCUS0985
Tamara Denning, B.S., Yoky Matsuoka, Ph.D., och Tadayoshi Kohno, Ph.D.,
Neurosurgical Focus.

Jag vill här tydliggöra att detta inte är vad jag avsett. Vidare menar jag att det område artikeln Neurosurgical Focus diskuterar i artikeln är för smalt för att någon generalisering ska vara möjlig. Det är dock utmärkt att de uppmärksammat det.

Avseende "Neurosecurity: security and privacy for neural devices"

Utrustning på sjukhus är ofta kritisk och angrepp mot dessa kan orsaka enorm skada. Vidare gäller samma sak naturligtvis när patienten vårdas med hemmet med ett stycke utrustning. Det samma gäller teknisk utrustning som sätts in i kroppen (t.ex. Deep brain stimulation) på personer under längre tider oavsett om dessa personer befinner sig på sjukhus eller inte. Vi inser att detta säkerhetsproblem gäller allt som faller inom denna typ av utrustning. Artikeln diskuterar en specifik undergrupp av sådana produkter.

Säkerhetskraven Denning, Matsuoka och Kohno pekar på är verkliga men är en del av en större fråga. Den borde åtminstone idag vara välkänd och adresseras i kvalitetskrav som ställs allmänt på denna utrustning. Här avser jag då den övergripande frågan om säkerhet snarare än att kravspecifikationer för alla typer av produkter faktiskt finns för att uppfylla sådana allmänna krav. Sådana allmänna säkerhetskrav ska ställa krav på att påverkan på utrustningen inte ska vara praktiskt möjligt. Eller där så är möjligt är en risk man är beredd att ta och då är dokumenterad och välkänd.

Det är dock mycket bra att de gjort detta arbete och fått artikeln publicerad. Givetvis är det mycket bra att potentiella tekniska risker tidigt tas upp så att lösningar inte utvecklas vilka i onödan är osäkra. Risken är naturligtvis annars givetvis att man missar att se över detta för den specifika undergruppen av produkter.

Kognitiva säkerhetsproblem

Frågan om den typ av påverkan författaren argumenterar specifikt behöver adresseras d.v.s. angrepp som orsakar påverkar på kognition via inopererad tekniska lösningar menar jag vidare även om det kan räknas in i kognitiv-säkerhet när säkerhetsproblem här accepteras ändå relativt övriga problem som här finns är väldigt begränsat. Betraktar vi en inte helt liten population har vi redan idag bedömer jag att potentiella problem finns och det oavsett om de fått någon utrustning inopererad eller äter något särskilt läkemedel.

Här avser jag inte heller välkända fenomen inom området propaganda eller för den delen exempel från vad jag kallat negativ påverkan även om likheter finns och att detta ev. ska in under ett samlat område. Att diskutera detta mer exakt här är mycket problematisk eftersom jag bedömer att vi har en otrevlig aktörer som försöker satsa här om än troligen ännu åt "fel håll".

Egentligen borde jag själv göra en insats med en "teori-filtrerad" säkerhetsarkitektur riktad mot områden där specifika angreppsproblem kan vara större. Dock är nu detta område för mig numera en hobby och vad som intresserar mig är mitt arbetet mot en övergripande tillämpar teori för spridningen av "idéer". Att direkt gå in och göra en mycket begränsad försvarsfilosofisk tillämpning nu tar tid antingen från det eller kommersiellt arbete vilket gör det problematisk. Jag såg dessutom ytligt över detta för att se om något tillräckligt applicerbart avseende skyddsnivå och som också praktiskt hade förutsättningar att använda fanns att tillgå. Min bedömning var att det inte fanns vilket innebär att en sådan insats säkert skulle kräva två veckor. Vidare krävs en del kontakter med vissa specialister och forskare vilket också kostar på och få saker att dra ut onödigt i tiden. Jag avstår därför från detta såvida inte något radikalt ser ut att förändras (t.ex. avseende behov eller resurser).

Relaterat på SEOTaktik och media

Försvarsfilosofi har av och till diskuterats och några läsvärda inlägg har vi nedan. De är utvalda för att peka på några principer jag tycker är viktiga men utan att egentligen röra tankar om kognitiv-säkerhet eller det större idée-konceptet:

WHITENING DÖLJER VAD SOM HÄNDER

FÖR ALLT VIKTIGT SKA IDENTITET KONTROLLERAS

OBAMAS SATSNING PÅ INTERNETSÄKERHET & EN NY METODIK

GOOGLE BROWSER SECURITY HANDBOOK

INTERNETSÄKERHET DISKUTERAS I NRC-RAPPORT

Tillåt mig även att kommentera några aktuella säkerhetsdiskussioner i media. Vi har först det här kring avlyssningen i UK:

"Thirty-one journalists from the two newspapers stand accused of hiring private investigators to illegally hack into the mobile phones of politicians, celebrities, and sports stars, to dig up private information for stories."

Citerat från Rupert Murdoch’s wiretap problem, T. Boone Pickens’ wind-farm punt

Detta bör inte förvåna någon som läser SEOTaktik eftersom jag flera gånger pekat på att avlyssning är mycket vanligt. Vidare menade jag nyligen att (det har ingenting att göra med om nyheterna är korrekta eller inte) "politiska problem" uppmärksammats i en onormal stor utsträckning vilket indikerar någon mer optimerad metod och troligast avlyssning. Jag uttryckte detta så här den 10 juni 2009 med tanke på UK:

"Senaste året kan man också se hur politiker i Västerlandet (även på mycket hög nivå) viktiga för internationell demokrati angripits. Det handlar om allt möjligt och helt andra frågor via landets egna press. Åtminstone jag kan inte avgöra om någon övergripande aktör stött det i sin helhet genom att via större resurser kunna förse pressen med information. Men det är åtminstone ett hot att ta på stort allvar [...]."

Vi har också det här med DoS-angreppen vilka ofta påstås vara initierade av Sydkorea:

List of US, South Korean sites targeted in ongoing DDOS

Det är tror jag inte något icke-rationellt angrepp även om det i sig inte har något faktiskt värde för angriparen. Istället tror jag att dessa angrepp är en dimension i ett angrepp i fler dimensioner. Men jag förstår inte vad det faktiska målet är. För att ta saker från luften i rena gissningar kanske det istället handlar om:

  • Ta mänskliga resurser från möjlighet att centralt stödja i skydd mot omedelbara angrepp riktade mot andra sajter.
  • Störa arbete som ev. kan ha påbörjats för att skydda vissa sajter.
  • Störa ut något analysprogram avsett för att detektera angrepp för att göra det möjligt för ett annat angrepp att lättare passera igenom.

Om dessa saker kan vara aktuella kan jag inte bedöma. Men sajter inom sociala media (inte minst Twitter och Facebook) kan ha data vissa aktörer mycket gärna vill ha.

Det är även möjligt att huvud-angreppet rör ett ekonomiskt mål i Sydkorea. Troligen gissar jag då att det inte är en bank utan att målet är att sätta resurser mot just banksektorn. Slutligen vill jag inte helt utesluta att någon leverantör i ekonomiska problem vill "stimulera" inköpen av säkerhetsprodukter.

Av dessa tre alternativ gissar (med nästan inget att motivera gissningen med) att det faktiska målet är något med ekonomiskt intresse i Sydkorea. Precis som jag skrev inte en bank. Kanske något med en viss typ av data som går att omsätta till pengar? Spontant skulle jag själv sätta av resurser till sajter med sådant data vilka administreras av banker som stått under angrepp men där dessa sajter inte angripits (i DOS-offensiven). Bankernas egna resurser är ju upptagna med själva banksajterna. Hur hanteras t.ex. kreditkortsbetalningar i Sydkorea? Finns det något där betalningar och dyligt samlas för att skickas vidare i batchar till bankerna?

Betänk här att Nordkorea kan behöva köpa vissa dyra prylar till sitt vapenprogram. Om det överhuvudtaget är Nordkorea som står bakom angreppen. Det finns massor av aktörer som kan behöva pengar till att skapa ondska.

1 kommentar
Swedish Research sa...

Grejen om de batchar kortutbetalning, kreditkortsbetalningar per / för en / gemensamt är ju risken att de samlas på hög på servern under ett DoS.

2009-07-12 15:41

Kommentera