Neurovidenskab forklarer, hvorfor vi bliver hacket så nemt

MR-hjernescanninger afslører den måde, vi opfatter, eller blot ignorerer, sikkerhedsadvarsler.

Virksomheder bruger næsten 100 milliarder dollars på at sikre computere hvert år, men hændelser som ransomware, der lammer hospitaler og personlige data, der lækker online, er stadig almindelige. Anthony Vance mener, at defensive foranstaltninger kunne være mere effektive, hvis vi var mere opmærksomme på hardwaren mellem vores ører.

Sikkerhedsprofessionelle skal ikke kun bekymre sig om angribere, men også om deres brugeres neurobiologi, sagde Vance, en lektor ved Brigham Young University, i denne uge ved Enigma-sikkerhedskonferencen i Oakland, Californien. Hans laboratorium bruger funktionelle MR-scanninger af folks hjerner til at afsløre de ubevidste mekanismer bag den måde, de opfatter - eller ignorerer - sikkerhedsadvarsler.



En af Vances undersøgelser fik ham til at samarbejde med Google om test af en ny tilgang til visning af sikkerhedsadvarsler i Chrome-webbrowseren, som folk var mindre tilbøjelige til at afvise direkte. Vance siger, at Googles ingeniører fortalte ham, at de planlægger at tilføje funktionen til en kommende version af Chrome. Google svarede ikke på en anmodning om bekræftelse af, hvornår den ville blive tilføjet.

Daniela Olivera , en lektor ved University of Florida, siger, at sådan forskning kan hjælpe med at foreslå måder at forfine brugervenligheden af ​​sikkerhedsværktøjer og -funktioner - et område, som mange forskere siger, at industrien har haft en tendens til at overse. Hændelser, der spænder fra almindelige malware-infektioner til højprofilerede brud som den DNC, der afslørede John Podestas e-mails, involverer ofte en person, der træffer en forhastet beslutning om en advarselsmeddelelse eller mærkelig e-mail.

Multitasking er en del af skylden. Vances samarbejde med Google voksede ud af eksperimenter, der viste, at når folk reagerede på sikkerhedsadvarsler, mens de også udførte en anden opgave, var hjerneaktiviteten i områder, der var forbundet med fuldt engagement med en advarsel, væsentligt reduceret. Folk var tre gange mindre tilbøjelige til at fortolke en besked korrekt, når de reagerede på sikkerhedsadvarsler, mens de også udførte en anden opgave.

Vances laboratorium gik sammen med Google for at teste en version af Chrome, der er modificeret til kun at levere advarsler om en persons computer, der muligvis er inficeret med malware eller adware, når de ikke var dybt engageret i noget. For eksempel ville det vente, indtil nogen var færdig med at se en video, eller ventede på, at en fil skulle downloades eller uploades, for at poppe beskeden op.

Hjernescanninger afslører, at vi er langt mere tilbøjelige til at ignorere sikkerhedsadvarsler, når vi er i gang med en anden opgave.

Test viste at folk, der brugte den afbrydelsesfølsomme version af Chrome, kun ignorerede beskeden omkring en tredjedel af tiden, sammenlignet med omkring 80 procent af tiden uden den.

Andre undersøgelser i Vances laboratorium har vist, at folk meget hurtigt vænner sig til sikkerhedsadvarsler - han har vist, hvordan hjernens reaktion på en besked falder markant, selv blot anden gang nogen ser den.

Forskerne lavede også opfølgende eksperimenter, hvor folk blev bedt om at downloade mobilapps, der bad om alarmerende tilladelser (for eksempel Kan slette dine billeder). Ved at bryde de sædvanlige regler for softwaredesign og få de sikkerhedsrelaterede beskeder til at ændre udseende en smule hver gang – for eksempel med forskellige farver – var det muligt at reducere tilvænningseffekten.

Dette viser potentialet til at bruge neurovidenskab til at forstå folks adfærd og validere nye brugergrænsefladedesign, sagde Vance. Vores sikkerhedsbrugergrænseflade skal være designet til at være kompatibel med den måde, vores hjerner fungerer på.

skjule