Многие из нас уже неоднократно слышали о такой сущности, как метавселенная, но никто не слышал о кибербезопасности таких вселенных. Попробуем осуществить небольшое погружение в этот вопрос.
Введение
Что такое метавселенная (metaverse)? В каком-то смысле этот вопрос был уже поднят в «Матрице» и книге фантаста Нила Стивенсона «Лавина». При этом каждая компания, создавшая или создающая свою метавселенную, даёт собственные определения, но все они сводятся примерно к одному: метавселенная — постоянное виртуальное пространство, в котором люди и организации взаимодействуют друг с другом и цифровыми объектами с помощью различных технологических инструментов (персональные компьютеры, устройства виртуальной или дополненной реальности и т. д.).
Что есть реальность? И как определить её? Весь набор ощущений — зрительных, осязательных, обонятельных — это сигналы рецепторов, электрические импульсы, воспринятые мозгом © The Matrix
Цель — объединить людей из разных точек мира в одной и дать им новые ощущения — ощущения вовлечённости. По сути своей это новый виток эволюции интернета, в перспективе — такой же, как создание социальных сетей.
Однако важно понимать, что «метавселенная» не равно «виртуальная реальность». Это отражается в принципах существования метавселенной, описанных Мэтью Боллом в книге «The Metaverse: And How It will Revolutionize Everything» в 2021 году:
- Метавселенная должна быть постоянной, т. е. её нельзя поставить на паузу или обнулить, как матчи в компьютерных играх. Метавселенная будет вечной и хранить информацию тоже будет вечно.
- Метавселенные будут живыми — это значит, что все события будут происходить в данный момент времени независимо от того, находитесь вы сейчас там или нет.
- Виртуальный и физический миры должны пересекаться, как, например, в компьютерных играх с дополненной реальностью или при создании цифровых двойников промышленных предприятий.
- Мы внутри компьютерной программы?
- Это кажется невероятным? © The Matrix
- В метавселенной не должно быть лимитов на количество участников (глобально или одновременно), т. е. любой человек в любое время должен иметь возможность в неё попасть.
- Своя экономика, т. е. в метавселенной можно будет работать, строить бизнес, продавать и инвестировать.
- Метавселенная должная быть мультиплатформенной — вы должны иметь возможность попасть в неё с любого устройства и (или) платформы, и при этом всё то, что вы сделали на одной платформе, должно быть доступно на остальных.
- Весь контент должны делать пользователи.
Покрытие
Разобравшись с сущностью метавселенной и принципами её существования, стоит теперь немного поговорить о покрытии нашего мира метавселенными.
Количество устройств
В этом вопросе, пожалуй, стоит начать с устройств, с помощью которых можно бороздить просторы больших и малых метавселенных.
Первые из них — компьютеры и смартфоны. С этой категорией в общем и целом всё понятно. Таких устройств миллиарды. Несмотря на дефицит полупроводников, на сегодняшний день компьютеров и смартфонов более чем достаточно.
Иммерсивность, или эффект погружения в искусственную среду, — вот в чём проблема. Точнее — в устройствах виртуальной или дополненной реальности, позволяющих реализовать этот эффект.
Проблема VR- / AR-устройств — это доступность.
Во-первых, такие устройства стоят недёшево, начальная цена для более-менее хорошо работающей гарнитуры начинается с 1000 долларов США. Во-вторых, количество качественных устройств доходит максимум до десятка миллионов, при этом можно сказать, что на рынке есть условный монополист в лице Meta (признана экстремистской организацией; деятельность на территории Российской Федерации запрещена). На текущий момент её устройство Quest 2 занимает 84,6 % мирового рынка VR / AR по данным аналитической компании IDC.
В-третьих, ещё нет ни одного устройства, которое в полной мере устраивало хотя бы какую-то категорию пользователей.
Рисунок 1. Доли производителей на рынке VR- / AR-устройств
Таким образом, полноценное погружение пользователей в метавселенные будет ждать момента, когда решится проблема доступности VR- / AR-устройств для получения иммерсивности от них…
Сколько этих ваших метавселенных?
Наиболее просто начать в этом вопросе поможет тот факт, что почти все крупнейшие ИТ-гиганты заявили о создании собственных метавселенных или планах создать таковые.
Первое, что здесь приходит на ум, — это Horizon Worlds от компании Meta, которая задала тренд на создание метавселенных крупными ИТ-предприятиями. При этом каждый пятый её сотрудник работает на виртуальную реальность.
Сегодня метавселенные имеют только часть общей функциональности, которую обещают нам лидеры общественного мнения:
- Социальные — метавселенные для социального взаимодействия. Это виртуальные пространства, в которых люди могут общаться друг с другом, формировать отношения и т. д. Примерами таких являются Rec Room и VRChat.
- Открытые — децентрализованные миры, принадлежащие самим пользователям. Здесь можно создавать собственный контент и сообщества. Примеры — одни из самых популярных на сегодня метавселенных Decentraland и The Sandbox.
- Корпоративные — миры для делового и профессионального общения. Здесь компании общаются с клиентами и сотрудниками в более новом формате, чем обычно. Также компании могут в таких вселенных экспериментировать с новыми продуктами и услугами. Пример — MootUp.
- Игровые — как следует из названия, предназначены для мира развлечений и игр. Из примеров — Roblox и Fortnite, в которой концерт Трэвиса Скотта посетило более 12 миллионов человек.
Матрица — это мир грёз, порождённый компьютером © The Matrix
Планы на создание и развитие есть не только у частных лиц и компаний. Так, в июле 2022 года власти ОАЭ представили в Дубае стратегию Dubai Metaverse, согласно которой к 2030 году планируется создать не менее 40 000 виртуальных рабочих мест. Стратегия направлена на привлечение более тысячи компаний, а также разработку безопасных платформ для своей метавселенной, которая будет построена с прицелом на сочетание физического и виртуального миров, виртуальную и дополненную реальность, а также на цифровые двойники.
Агент Смит
В октябре 2022 года Интерпол выпустил небольшой доклад о влиянии метавселенных на наш мир, в том числе криминальный.
По данным международной полиции, цифровизация упрощает и увеличивает количество преступлений, в особенности — по хищению данных, отмыванию денег, финансовому мошенничеству, фишингу и домогательствам.
Естественно, для противодействия будущему метакриминалу Интерпол создаст свою метавселенную, которая позволит находить криминальные рынки и противодействовать им, организовывать хранение улик, проводить обучение сотрудников для получения навыков по досмотру и т. п.
Как видно, метавселенных уже немало, а дальше их количество будет только расти. Ну а теперь о главном…
Метакиберугрозы
После того как у вас появилось небольшое понимание сущности метавселенных и широты их распространения, в этом разделе автор предлагает посмотреть на несколько киберугроз, которые он считает наиболее вероятными для метавселенных.
Тёмная сторона вселенной (darkverse)
Если для интернета есть даркнет, то и для метавселенной будет «darkverse».
Обсуждения и торговля на форумах даркнета эволюционируют в имитацию физических встреч криминальных организаций, только предметом преступления и торговли будут уже не обычные данные, а огромное количество метаинформации.
При этом с учётом децентрализации метавселенных правоохранительным органам будет намного тяжелее выполнять свою работу и отлавливать преступников.
Мета наблюдает за тобой
Как мы выяснили ранее, для погружения в метавселенные необходимо применение VR- или AR-устройств. Теперь представьте ситуацию, при которой ваше устройство будет заражено вредоносными программами.
В этом случае возможны различные сценарии дальнейших действий нарушителя, например:
- Пока вы будете находиться в метавселенной или оценивать, вписывается ли понравившееся кресло в ваш интерьер, нарушитель будет видеть то же самое. Он сможет оценить ваш уровень достатка, узнать геопозицию и спланировать свои дальнейшие действия.
- Нарушитель будет смотреть не на ваши действия в метавселенной, а вокруг вас: на личные вещи, других людей, строения вокруг, мебель и т. д. Это тоже позволит более точно и качественно спланировать дальнейшие атаки.
NFT
Как известно, NFT предназначены для защиты прав собственности в интернете и метавселенных за счёт своей неповторимости и невозможности замещения. Однако стоит помнить, что NFT не обеспечивает безопасности хранения актива или собственности, хотя подчёркивает их уникальность.
Это, в свою очередь, может сделать активы с NFT-метками в метавселенной более привлекательными для злоумышленников — например, в качестве цели для вредоносного шифрования. У пользователя останется право собственности, но не будет доступа к активу, пока он не заплатит выкуп.
Напомним, не так давно мы оценивали расследование кражи NFT-активов BAYC на 1,7 млн долларов. Частный детектив рассказал о приёмах поиска и показал, что даже при использовании средств микширования криптовалют через сервис Tornado возможности обнаружения мошенников остаются.
Лесной царь
В начале 2023 года вышел мультипликационный сериал «Антология русского хоррора: Красный состав». Одна из серий основана на стихотворении В. А. Жуковского «Лесной царь».
Сюжет развивается намного позже стихотворения, в киберпанке будущего. Вместо развлечений мальчик проводит время в виртуальной реальности, однако его отец — противник технологий. В итоге ребёнок пользуется устаревшим VR-устройством. О мультиплатформенности не забываем. Шлем оказался небезопасным: «В этой версии нет файрвола».
Мальчику приходится вступить в неравное противостояние с игрой-майнером, вот только она крадёт не средства или ресурсы, а личность. С финалом вы можете ознакомиться самостоятельно.
Это ментальная проекция твоего цифрового «Я» © The Matrix
Таким образом автор сюжета предсказал следующую метакиберугрозу — кражу цифровой личности и её возможную потерю в реальном мире.
Умер в мете — умер наяву
Соответственно, если взять предыдущий кейс — фильм «Матрица» и принцип пересечения виртуального мира с физическим, — то получаем следующую угрозу: смерть человека в связи со смертью в метавселенной. Скорее всего, до такого дойдёт нескоро или не дойдёт вообще, но вероятность есть.
Грабители
Естественно, с появлением метавселенных никуда не денутся и преступления. Метаграбители будут так же нападать на метабанки и красть метаимущество. На противостояние этим угрозам должна встать технология блокчейна и криптовалют. Новые устойчивые криптографические алгоритмы и децентрализованность таких валют должны существенно мешать метаграбителям осуществлять их преступления.
На защиту метаимущества, в т. ч. интеллектуальной собственности, должны встать технологии подобные NFT, когда объект искусства или объект недвижимости представляется в виде токена. При этом в момент времени у токена может быть только один владелец и никто не может изменить запись о праве владения или создать новый токен, копируя другой.
Цифровые двойники
Одно из направлений, которое планируется развить в метавселенных, — это использование цифровых двойников, причём не только обычных пользователей, но и целых предприятий. Такие двойники будут выглядеть точь-в-точь как оригинальные заводы, рабочие места хирургов и другие возможные сущности.
Сегодня цифровые двойники в основном применяются для промышленной безопасности. Например, SIEMENS уже предоставляет сервис по построению цифрового двойника предприятия. Такой двойник позволяет:
- Планировать построение новых заводов или модернизацию существующих.
- Имитировать и симулировать различные ситуации, в том числе нештатные, такие как аварии.
- Производить отладку работы механизмов.
- Осуществлять управление (через SCADA-системы) технологическим процессом настоящего завода.
Наличие цифровых двойников и соответствующей функциональности служат источниками следующей метакиберугрозы: простой / нарушение технологического процесса через деструктивное воздействие на его цифровой двойник.
Недопустимые события
В мае 2022 года в России появилось такое понятие, как «недопустимое событие». Это — самое страшное, что может случиться с компанией или пространством (не обязательно как результат реализации самых критических ИБ-рисков).
Как мы выяснили, один из принципов существования метавселенной состоит в том, что она должна быть постоянной. Соответственно, нарушение этого принципа и является главным недопустимым событием для метавселенной. Для растущих пространств это может быть не так опасно, но для больших и долгоживущих это станет катастрофой. Могут оказаться бесполезными и цифровые двойники, и резервные мощности, и NFT, и другие будущие средства защиты. Может хватить всего лишь одной минуты. Насколько это реально, мы узнаем, скорее всего, лет через 10, когда метавселенные будут повсюду окружать нас…
Септиллион уязвимостей
Начнём с первого, что приходит на ум. Если метавселенные предполагают наличие мультиплатформенности и отсутствие лимитов, то это значит, что пользователи будут посещать их с десятков миллионов устройств. Многие из них будут иметь разные платформы, операционные системы, программное обеспечение и конфигурации. Всё это содержит огромное количество общеизвестных уязвимостей, что с учётом масштабов позволит хакерам применять количество векторов атак, стремящееся к бесконечности. Но пусть будет септиллион, как примерное количество звёзд в обозримой Вселенной…
Выводы
В данной статье сделана попытка погрузить читателя не просто в мир метавселенных, но в мир их кибербезопасности.
Понятно, что создание и развитие метавселенных не только становится маркетинговым инструментом для ИТ-гигантов, но и преобразовывается в новый виток развития интернета. При этом метавселенные будут различаться не только производителями, но и назначением. Они могут быть как бесконечными открытыми мирами, так и закрытыми корпоративными пространствами.
Рост метавселенных ведёт к соответствующему росту возможностей для злоумышленников. При этом средства защиты для метавселенных тоже станут объектами атаки и породят свои риски и недопустимые события.
Наблюдение за метавселенными и их кибербезопасностью обязательно продолжится, в том числе и с погружением для того, чтобы проверить возможности реализации метакиберугроз на практике.
Всем безопасных метапутешествий!
Автор: Евгений Баклушин, руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ, автор блога BESSECИсточник: Anti-Malware