La malveillance dans le métaverse : combattre les cybermenaces connues sur une nouvelle frontière
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
L'avènement du métaverse, le chouchou numérique du moment, ajoute une nouvelle surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale. Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu où règne la fumée et les miroirs.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
