Главная » Аналитика » Анализ угроз
05 Июня 2023 - 10:52

Метавселенная vs кибербезопасность. Какие кибератаки нас ожидают?

Аватар пользователя Евгений Баклушин
Евгений Баклушин
Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ, автор блога BESSEC
Вверх
Проголосовало: 22
...
Метавселенная vs кибербезопасность. Какие кибератаки нас ожидают?

Многие из нас уже неоднократно слышали о такой сущности, как метавселенная, но никто не слышал о кибербезопасности таких вселенных. Попробуем осуществить небольшое погружение в этот вопрос.

 

 

 

 

 

 

 

  1. Введение
  2. Покрытие
    1. 2.1. Количество устройств
    2. 2.2. Сколько этих ваших метавселенных?
    3. 2.3. Агент Смит
  3. Метакиберугрозы
    1. 3.1. Тёмная сторона вселенной (darkverse)
    2. 3.2. Мета наблюдает за тобой
    3. 3.3. NFT
    4. 3.4. Лесной царь
    5. 3.5. Умер в мете — умер наяву
    6. 3.6. Грабители
    7. 3.7. Цифровые двойники
    8. 3.8. Недопустимые события
    9. 3.9. Септиллион уязвимостей
  4. Выводы

Введение

Что такое метавселенная (metaverse)? В каком-то смысле этот вопрос был уже поднят в «Матрице» и книге фантаста Нила Стивенсона «Лавина». При этом каждая компания, создавшая или создающая свою метавселенную, даёт собственные определения, но все они сводятся примерно к одному: метавселенная — постоянное виртуальное пространство, в котором люди и организации взаимодействуют друг с другом и цифровыми объектами с помощью различных технологических инструментов (персональные компьютеры, устройства виртуальной или дополненной реальности и т. д.).

Что есть реальность? И как определить её? Весь набор ощущений — зрительных, осязательных, обонятельных — это сигналы рецепторов, электрические импульсы, воспринятые мозгом © The Matrix

Цель — объединить людей из разных точек мира в одной и дать им новые ощущения — ощущения вовлечённости. По сути своей это новый виток эволюции интернета, в перспективе — такой же, как создание социальных сетей.

Однако важно понимать, что «метавселенная» не равно «виртуальная реальность». Это отражается в принципах существования метавселенной, описанных Мэтью Боллом в книге «The Metaverse: And How It will Revolutionize Everything» в 2021 году:

  • Метавселенная должна быть постоянной, т. е. её нельзя поставить на паузу или обнулить, как матчи в компьютерных играх. Метавселенная будет вечной и хранить информацию тоже будет вечно.
  • Метавселенные будут живыми — это значит, что все события будут происходить в данный момент времени независимо от того, находитесь вы сейчас там или нет.
  • Виртуальный и физический миры должны пересекаться, как, например, в компьютерных играх с дополненной реальностью или при создании цифровых двойников промышленных предприятий.

— Мы внутри компьютерной программы?

— Это кажется невероятным? © The Matrix

  • В метавселенной не должно быть лимитов на количество участников (глобально или одновременно), т. е. любой человек в любое время должен иметь возможность в неё попасть.
  • Своя экономика, т. е. в метавселенной можно будет работать, строить бизнес, продавать и инвестировать.
  • Метавселенная должная быть мультиплатформенной — вы должны иметь возможность попасть в неё с любого устройства и (или) платформы, и при этом всё то, что вы сделали на одной платформе, должно быть доступно на остальных.
  • Весь контент должны делать пользователи.

Покрытие

Разобравшись с сущностью метавселенной и принципами её существования, стоит теперь немного поговорить о покрытии нашего мира метавселенными.

Количество устройств

В этом вопросе, пожалуй, стоит начать с устройств, с помощью которых можно бороздить просторы больших и малых метавселенных.

Первые из них — компьютеры и смартфоны. С этой категорией в общем и целом всё понятно. Таких устройств миллиарды. Несмотря на дефицит полупроводников, на сегодняшний день компьютеров и смартфонов более чем достаточно.

Иммерсивность, или эффект погружения в искусственную среду, — вот в чём проблема. Точнее — в устройствах виртуальной или дополненной реальности, позволяющих реализовать этот эффект.

Проблема VR- / AR-устройств — это доступность.

Во-первых, такие устройства стоят недёшево, начальная цена для более-менее хорошо работающей гарнитуры начинается с 1000 долларов США. Во-вторых, количество качественных устройств доходит максимум до десятка миллионов, при этом можно сказать, что на рынке есть условный монополист в лице Meta (признана экстремистской организацией; деятельность на территории Российской Федерации запрещена). На текущий момент её устройство Quest 2 занимает 84,6 % мирового рынка VR / AR по данным аналитической компании IDC.

В-третьих, ещё нет ни одного устройства, которое в полной мере устраивало хотя бы какую-то категорию пользователей.

 

Рисунок 1. Доли производителей на рынке VR- / AR-устройств

Доли производителей на рынке VR- / AR-устройств

 

Таким образом, полноценное погружение пользователей в метавселенные будет ждать момента, когда решится проблема доступности VR- / AR-устройств для получения иммерсивности от них…

Сколько этих ваших метавселенных?

Наиболее просто начать в этом вопросе поможет тот факт, что почти все крупнейшие ИТ-гиганты заявили о создании собственных метавселенных или планах создать таковые.

Первое, что здесь приходит на ум, — это Horizon Worlds от компании Meta, которая задала тренд на создание метавселенных крупными ИТ-предприятиями. При этом каждый пятый её сотрудник работает на виртуальную реальность.

Сегодня метавселенные имеют только часть общей функциональности, которую обещают нам лидеры общественного мнения:

  • Социальные — метавселенные для социального взаимодействия. Это виртуальные пространства, в которых люди могут общаться друг с другом, формировать отношения и т. д. Примерами таких являются Rec Room и VRChat.
  • Открытые — децентрализованные миры, принадлежащие самим пользователям. Здесь можно создавать собственный контент и сообщества. Примеры — одни из самых популярных на сегодня метавселенных Decentraland и The Sandbox.
  • Корпоративные — миры для делового и профессионального общения. Здесь компании общаются с клиентами и сотрудниками в более новом формате, чем обычно. Также компании могут в таких вселенных экспериментировать с новыми продуктами и услугами. Пример — MootUp.
  • Игровые — как следует из названия, предназначены для мира развлечений и игр. Из примеров — Roblox и Fortnite, в которой концерт Трэвиса Скотта посетило более 12 миллионов человек.

Матрица — это мир грёз, порождённый компьютером © The Matrix

Планы на создание и развитие есть не только у частных лиц и компаний. Так, в июле 2022 года власти ОАЭ представили в Дубае стратегию Dubai Metaverse, согласно которой к 2030 году планируется создать не менее 40 000 виртуальных рабочих мест. Стратегия направлена на привлечение более тысячи компаний, а также разработку безопасных платформ для своей метавселенной, которая будет построена с прицелом на сочетание физического и виртуального миров, виртуальную и дополненную реальность, а также на цифровые двойники.

Агент Смит

В октябре 2022 года Интерпол выпустил небольшой доклад о влиянии метавселенных на наш мир, в том числе криминальный.

По данным международной полиции, цифровизация упрощает и увеличивает количество преступлений, в особенности — по хищению данных, отмыванию денег, финансовому мошенничеству, фишингу и домогательствам.

Естественно, для противодействия будущему метакриминалу Интерпол создаст свою метавселенную, которая позволит находить криминальные рынки и противодействовать им, организовывать хранение улик, проводить обучение сотрудников для получения навыков по досмотру и т. п.

Как видно, метавселенных уже немало, а дальше их количество будет только расти. Ну а теперь о главном…

Метакиберугрозы

После того как у вас появилось небольшое понимание сущности метавселенных и широты их распространения, в этом разделе автор предлагает посмотреть на несколько киберугроз, которые он считает наиболее вероятными для метавселенных.

Тёмная сторона вселенной (darkverse)

Если для интернета есть даркнет, то и для метавселенной будет «darkverse».

Обсуждения и торговля на форумах даркнета эволюционируют в имитацию физических встреч криминальных организаций, только предметом преступления и торговли будут уже не обычные данные, а огромное количество метаинформации.

При этом с учётом децентрализации метавселенных правоохранительным органам будет намного тяжелее выполнять свою работу и отлавливать преступников.

Мета наблюдает за тобой

Как мы выяснили ранее, для погружения в метавселенные необходимо применение VR- или AR-устройств. Теперь представьте ситуацию, при которой ваше устройство будет заражено вредоносными программами.

В этом случае возможны различные сценарии дальнейших действий нарушителя, например:

  • Пока вы будете находиться в метавселенной или оценивать, вписывается ли понравившееся кресло в ваш интерьер, нарушитель будет видеть то же самое. Он сможет оценить ваш уровень достатка, узнать геопозицию и спланировать свои дальнейшие действия.
  • Нарушитель будет смотреть не на ваши действия в метавселенной, а вокруг вас: на личные вещи, других людей, строения вокруг, мебель и т. д. Это тоже позволит более точно и качественно спланировать дальнейшие атаки.

NFT

Как известно, NFT предназначены для защиты прав собственности в интернете и метавселенных за счёт своей неповторимости и невозможности замещения. Однако стоит помнить, что NFT не обеспечивает безопасности хранения актива или собственности, хотя подчёркивает их уникальность.

Это, в свою очередь, может сделать активы с NFT-метками в метавселенной более привлекательными для злоумышленников — например, в качестве цели для вредоносного шифрования. У пользователя останется право собственности, но не будет доступа к активу, пока он не заплатит выкуп.

Напомним, не так давно мы оценивали расследование кражи NFT-активов BAYC на 1,7 млн долларов. Частный детектив рассказал о приёмах поиска и показал, что даже при использовании средств микширования криптовалют через сервис Tornado возможности обнаружения мошенников остаются.

Лесной царь

В начале 2023 года вышел мультипликационный сериал «Антология русского хоррора: Красный состав». Одна из серий основана на стихотворении В. А. Жуковского «Лесной царь».

Сюжет развивается намного позже стихотворения, в киберпанке будущего. Вместо развлечений мальчик проводит время в виртуальной реальности, однако его отец — противник технологий. В итоге ребёнок пользуется устаревшим VR-устройством. О мультиплатформенности не забываем. Шлем оказался небезопасным: «В этой версии нет файрвола».

Мальчику приходится вступить в неравное противостояние с игрой-майнером, вот только она крадёт не средства или ресурсы, а личность. С финалом вы можете ознакомиться самостоятельно.

Это ментальная проекция твоего цифрового «Я» © The Matrix

Таким образом автор сюжета предсказал следующую метакиберугрозу — кражу цифровой личности и её возможную потерю в реальном мире.

Умер в мете — умер наяву

Соответственно, если взять предыдущий кейс — фильм «Матрица» и принцип пересечения виртуального мира с физическим, — то получаем следующую угрозу: смерть человека в связи со смертью в метавселенной. Скорее всего, до такого дойдёт нескоро или не дойдёт вообще, но вероятность есть.

Грабители

Естественно, с появлением метавселенных никуда не денутся и преступления. Метаграбители будут так же нападать на метабанки и красть метаимущество. На противостояние этим угрозам должна встать технология блокчейна и криптовалют. Новые устойчивые криптографические алгоритмы и децентрализованность таких валют должны существенно мешать метаграбителям осуществлять их преступления.

На защиту метаимущества, в т. ч. интеллектуальной собственности, должны встать технологии подобные NFT, когда объект искусства или объект недвижимости представляется в виде токена. При этом в момент времени у токена может быть только один владелец и никто не может изменить запись о праве владения или создать новый токен, копируя другой.

Цифровые двойники

Одно из направлений, которое планируется развить в метавселенных, — это использование цифровых двойников, причём не только обычных пользователей, но и целых предприятий. Такие двойники будут выглядеть точь-в-точь как оригинальные заводы, рабочие места хирургов и другие возможные сущности.

Сегодня цифровые двойники в основном применяются для промышленной безопасности. Например, SIEMENS уже предоставляет сервис по построению цифрового двойника предприятия. Такой двойник позволяет:

  • Планировать построение новых заводов или модернизацию существующих.
  • Имитировать и симулировать различные ситуации, в том числе нештатные, такие как аварии.
  • Производить отладку работы механизмов.
  • Осуществлять управление (через SCADA-системы) технологическим процессом настоящего завода.

Наличие цифровых двойников и соответствующей функциональности служат источниками следующей метакиберугрозы: простой / нарушение технологического процесса через деструктивное воздействие на его цифровой двойник.

Недопустимые события

В мае 2022 года в России появилось такое понятие, как «недопустимое событие». Это — самое страшное, что может случиться с компанией или пространством (не обязательно как результат реализации самых критических ИБ-рисков). 

Как мы выяснили, один из принципов существования метавселенной состоит в том, что она должна быть постоянной. Соответственно, нарушение этого принципа и является  главным недопустимым событием для метавселенной. Для растущих пространств это может быть не так опасно, но для больших и долгоживущих это станет катастрофой. Могут оказаться бесполезными и цифровые двойники, и резервные мощности, и NFT, и другие будущие средства защиты. Может хватить всего лишь одной минуты. Насколько это реально, мы узнаем, скорее всего, лет через 10, когда метавселенные будут повсюду окружать нас…

Септиллион уязвимостей

Начнём с первого, что приходит на ум. Если метавселенные предполагают наличие мультиплатформенности и отсутствие лимитов, то это значит, что пользователи будут посещать их с десятков миллионов устройств. Многие из них будут иметь разные платформы, операционные системы, программное обеспечение и конфигурации. Всё это содержит огромное количество общеизвестных уязвимостей, что с учётом масштабов позволит хакерам применять количество векторов атак, стремящееся к бесконечности. Но пусть будет септиллион, как примерное количество звёзд в обозримой Вселенной…

Выводы

В данной статье сделана попытка погрузить читателя не просто в мир метавселенных, но в мир их кибербезопасности.

Понятно, что создание и развитие метавселенных не только становится маркетинговым инструментом для ИТ-гигантов, но и преобразовывается в новый виток развития интернета. При этом метавселенные будут различаться не только производителями, но и назначением. Они могут быть как бесконечными открытыми мирами, так и закрытыми корпоративными пространствами.

Рост метавселенных ведёт к соответствующему росту возможностей для злоумышленников. При этом средства защиты для метавселенных тоже станут объектами атаки и породят свои риски и недопустимые события.

Наблюдение за метавселенными и их кибербезопасностью обязательно продолжится, в том числе и с погружением для того, чтобы проверить возможности реализации метакиберугроз на практике.

Всем безопасных метапутешествий!

Полезные ссылки: 
> Что такое NFT и насколько безопасны невзаимозаменяемые токены
> Расследование кражи NFT-активов BAYC на 1,7 млн долларов
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6