Neurovetenskap förklarar varför vi blir hackade så lätt

MRT-hjärnskanningar avslöjar hur vi uppfattar, eller helt enkelt ignorerar, säkerhetsvarningar.





Företag spenderar nästan 100 miljarder dollar på att säkra datorer varje år, men incidenter som lösenprogram som förlamar sjukhus och personlig data som läcker online är fortfarande vanliga. Anthony Vance tror att defensiva åtgärder skulle kunna vara effektivare om vi ägnade mer uppmärksamhet åt hårdvaran mellan öronen.

Säkerhetspersonal behöver inte bara oroa sig för angripare utan för deras användares neurobiologi, sa Vance, docent vid Brigham Young University, denna vecka vid säkerhetskonferensen Enigma i Oakland, Kalifornien. Hans labb använder funktionella MRI-skanningar av människors hjärnor för att avslöja de omedvetna mekanismerna bakom hur de uppfattar - eller ignorerar - säkerhetsvarningar.

En av Vances studier ledde till att han samarbetade med Google i tester av ett nytt tillvägagångssätt för att visa säkerhetsvarningar i webbläsaren Chrome som folk var mindre benägna att avfärda direkt. Vance säger att Googles ingenjörer sa till honom att de planerar att lägga till funktionen i en kommande version av Chrome. Google svarade inte på en begäran om bekräftelse av när den skulle läggas till.



Daniela Olivera , en docent vid University of Florida, säger att sådan forskning kan hjälpa till att föreslå sätt att förfina användbarheten av säkerhetsverktyg och -funktioner – ett område som många forskare säger att industrin har tenderat att förbise. Incidenter som sträcker sig från vanliga malwareinfektioner till högprofilerade intrång som den DNC som avslöjade John Podestas e-postmeddelanden involverar ofta en person som fattar ett förhastat beslut om ett varningsmeddelande eller konstigt e-postmeddelande.

Multitasking är delvis skyldig. Vances samarbete med Google växte fram ur experiment som visade att när människor reagerade på säkerhetsvarningar samtidigt som de utförde en annan uppgift, minskade hjärnaktiviteten i områden som var förknippade med att fullständigt engagera sig med en varning avsevärt. Människor var tre gånger mindre benägna att tolka ett meddelande korrekt när de reagerade på säkerhetsvarningar samtidigt som de utförde en annan uppgift.

Vances labb samarbetade med Google för att testa en version av Chrome modifierad för att leverera varningar om en persons dator möjligen infekterad av skadlig programvara eller adware endast när de inte var djupt engagerade i något. Till exempel skulle det vänta tills någon slutat titta på en video, eller väntade på att en fil skulle laddas ner eller laddas upp, för att poppa upp meddelandet.



Hjärnskanningar visar att vi är mycket mer benägna att ignorera säkerhetsvarningar när vi är engagerade i en annan uppgift.

Testning visade att personer som använder den avbrottskänsliga versionen av Chrome ignorerade meddelandet bara ungefär en tredjedel av gångerna, jämfört med ungefär 80 procent av tiden utan det.

Andra studier i Vances labb har visat att människor väldigt snabbt vänjer sig vid säkerhetsvarningar – han har visat hur hjärnans svar på ett meddelande sjunker avsevärt till och med bara andra gången någon ser det.



Forskarna gjorde också uppföljande experiment där människor ombads ladda ner mobilappar som bad om alarmerande behörigheter (till exempel Kan radera dina foton). Genom att bryta mot de vanliga reglerna för mjukvarudesign och låta de säkerhetsrelaterade meddelandena ändra utseende något varje gång – till exempel med olika färger – var det möjligt att minska tillvänjningseffekten.

Detta visar potentialen att använda neurovetenskap för att förstå människors beteende och validera nya användargränssnittsdesigner, sa Vance. Vårt säkerhetsgränssnitt bör utformas för att vara kompatibelt med hur våra hjärnor fungerar.

Dölj