211service.com
Neurowetenschap legt uit waarom we zo gemakkelijk gehackt worden

MRI-hersenscans onthullen de manier waarop we beveiligingswaarschuwingen waarnemen of gewoon negeren.
Bedrijven besteden elk jaar bijna $ 100 miljard aan het beveiligen van computers, maar incidenten zoals ransomware die ziekenhuizen verlamt en persoonlijke gegevens die online lekken, blijven veel voorkomend. Anthony Vance denkt dat defensieve maatregelen effectiever zouden kunnen zijn als we meer aandacht zouden besteden aan de hardware tussen onze oren.
Beveiligingsprofessionals moeten zich niet alleen zorgen maken over aanvallers, maar ook over de neurobiologie van hun gebruikers, zei Vance, universitair hoofddocent aan de Brigham Young University, deze week op de Enigma-beveiligingsconferentie in Oakland, Californië. Zijn laboratorium gebruikt functionele MRI-scans van de hersenen van mensen om de onbewuste mechanismen te onthullen achter de manier waarop ze veiligheidswaarschuwingen waarnemen of negeren.
Een van Vance's onderzoeken bracht hem ertoe samen met Google te werken aan tests van een nieuwe benadering voor het weergeven van beveiligingswaarschuwingen in de Chrome-webbrowser die mensen minder snel zouden negeren. Vance zegt dat de technici van Google hem hebben verteld dat ze van plan zijn de functie toe te voegen aan een aankomende versie van Chrome. Google heeft niet gereageerd op een verzoek om bevestiging van wanneer het zou worden toegevoegd.
Daniela Olivera , een universitair hoofddocent aan de Universiteit van Florida, zegt dat dergelijk onderzoek kan helpen bij het voorstellen van manieren om de bruikbaarheid van beveiligingshulpmiddelen en -functies te verfijnen - een gebied dat veel onderzoekers zeggen dat de industrie de neiging heeft over het hoofd te zien. Bij incidenten, variërend van veelvoorkomende malware-infecties tot spraakmakende inbreuken, zoals de DNC die de e-mails van John Podesta openbaarde, neemt een persoon vaak een overhaaste beslissing over een waarschuwingsbericht of vreemde e-mail.
Multitasking is daar deels debet aan. Vance's samenwerking met Google kwam voort uit experimenten die aantoonden dat wanneer mensen reageerden op beveiligingswaarschuwingen terwijl ze ook een andere taak uitvoerden, de hersenactiviteit in gebieden die verband hielden met het volledig reageren op een waarschuwing aanzienlijk werd verminderd. Mensen hadden drie keer minder kans om een bericht correct te interpreteren wanneer ze reageerden op beveiligingswaarschuwingen terwijl ze ook een andere taak uitvoerden.
Vance's lab werkte samen met Google om een versie van Chrome te testen die is aangepast om waarschuwingen te geven over de computer van een persoon die mogelijk is geïnfecteerd door malware of adware, alleen als ze niet diep betrokken waren bij iets. Het zou bijvoorbeeld wachten tot iemand klaar was met het bekijken van een video, of wachtte op een bestand om te downloaden of te uploaden, om het bericht te laten verschijnen.
Hersenscans laten zien dat we veel meer geneigd zijn om beveiligingswaarschuwingen te negeren wanneer we bezig zijn met een andere taak.
Testen toonde aan: dat mensen die de onderbrekingsgevoelige versie van Chrome gebruiken, het bericht slechts ongeveer een derde van de tijd negeerden, vergeleken met ongeveer 80 procent van de tijd zonder.
Andere onderzoeken in het lab van Vance hebben aangetoond dat mensen heel snel gewend raken aan veiligheidswaarschuwingen - hij heeft laten zien hoe de reactie van de hersenen op een bericht aanzienlijk daalt, zelfs bij de tweede keer dat iemand het ziet.
De onderzoekers deden ook vervolgexperimenten waarbij mensen werd gevraagd om mobiele apps te downloaden die om alarmerende toestemmingen vroegen (bijvoorbeeld Can delete your photos). Door de gebruikelijke regels van softwareontwerp te doorbreken en de beveiligingsgerelateerde berichten elke keer iets van uiterlijk te laten veranderen, bijvoorbeeld met verschillende kleuren, was het mogelijk om het gewenningseffect te verminderen.
Dit toont het potentieel aan om neurowetenschap te gebruiken om het gedrag van mensen te begrijpen en nieuwe ontwerpen van gebruikersinterfaces te valideren, zei Vance. Onze beveiligings-UI moet zo worden ontworpen dat deze compatibel is met de manier waarop onze hersenen werken.