元空间中的恶意行为。在新的领域与已知的网络威胁作斗争
这篇文章的一个版本出现在 Infosecurity杂志.它已被更新并在此转发。
几年前,我们经常谈到网络安全是狂野的西部,迫切需要更多的人普遍关心它,更不用说许多网络攻击可能对生命造成的非常真实的风险。
快进到2023年,我们很高兴地看到已经取得了一些进展,特别是在许多有影响力的国家的政府层面。然而,对我们来说,实现真正安全的代码和更安全的软件的旅程是没有终点的。当今的数字宠儿--元空间--的出现为代码级漏洞和社会工程增加了一个巨大的新攻击面。
而我们根本没有准备好在这个靠烟雾和镜面繁荣的新竞争环境中作战。
混合现实技术伴随着强化的风险
尽管它目前的地位是本月的热门话题,但元空间的概念已经存在了很长时间。在线平台 "第二人生"自2003年以来一直存在,通过一个完全可定制的在线宇宙为一个忠实的小众群体服务,用户的化身通过语音和文本聊天进行互动,可以玩游戏,阿迪达斯等公司还提供官方虚拟商店。在纯粹的游戏方面,像《堡垒之夜》和《魔兽世界》这样的大型多人在线(MMO)游戏为其玩家提供了广阔的世界,并越来越依赖于微交易,或者说,为虚拟物品支付真实的金钱。仅仅《堡垒之夜》在进入市场的头两年就获得了43亿美元的微交易收入。
非常清楚的是,元空间的概念不仅会继续存在,而且还将被马克-扎克伯格(Mark Zuckerberg)的规模推入主流。这是互联网--或至少是社交媒体和一些电子商务--的一个令人兴奋的演变,但网络攻击和破坏性利用的机会是令人难以置信的。
元空间的攻击面是深远的,远远超出了基于网络的软件、API和支付网关。VR头盔和配件的外围元件也对核心数据构成了威胁,如果这些设备中的板载软件有漏洞,就会成为通往付费区的非常方便的红地毯。
来自罗格斯大学的安全研究人员今年早些时候披露了 "Face-Mic",这是第一项研究,研究虚拟现实头盔上的语音命令功能如何导致严重的隐私侵犯,即所谓的 "窃听攻击"。这项工作很吸引人,显示威胁者有可能利用一些内置运动传感器的虚拟现实(AR/VR)头盔来记录与语音相关的面部手势,导致通过声控交流的敏感信息可能被盗,包括信用卡信息和密码。这个问题的根本原因似乎是缺乏用户认证。由于加速计和陀螺仪不需要任何访问权限,错综复杂的面部动作、骨子里的振动和空气中的振动都可以被记录下来,并根据用户的模式,用来推断从银行密码到高度限制的医疗记录。
在元宇宙中,你的每一个动作都是一个数据点,如果通过宽松的软件安全可以获得这些数据,那么攻击者碰运气的动机就非常大。
智能合约面临聪明的(er)对手
元经济要求去中心化、非物质化、灵活性,当然还有不折不扣的安全性。现在,在各种加密货币社区中,有越来越多的元经济,如Shiba Inu。为了购买虚拟房地产和其他无形产品,利用了存储在区块链上的智能合约。
提到 "区块链",大多数普通人(有一点技术知识的人)都把它理解为一个安全和匿名的系统,被认为是数字货币的未来。然而,这有一个小问题:没有一个网上堡垒是不可攻破的,那些智能合约也不例外。它们本质上是小程序,而且可以被黑掉。
智能合约很容易被利用,这要归功于几个相当常见的漏洞,即整数溢出和下溢,重放攻击,以及导致重入攻击的(非常有害的)区块链中心错误,后者可能导致用户被耗尽他们储存的加密货币余额。所有这些攻击都是由于不良的编码模式导致可利用的漏洞,以及不安全的设计基本原理而成为可能。
这项技术只会得到更广泛的应用,然而,就目前的情况来看,我们将很难找到足够的有安全意识的开发人员来确保一个安全、无故障的元空间。企业必须了解其参与元空间的规模,尤其是在数据和货币处于危险之中的情况下......很难想象会有不这样的情况发生。
这是一个不受监管的环境,而你(仍然)是产品。
正如我们在电影、电视、第二人生和电子游戏中看到的那样,元空间环境允许我们成为我们想要的人。在一个虚拟世界里,可能性只受限于你的想象力,而这种灵活性对用户来说是一个巨大的吸引力。然而,缺点是,在像Meta这样的计划规模中,它实在是太庞大和分散了,从安全的角度来看,它根本就不可能以一种无懈可击的方式来管理。诈骗将是不可避免的,从社会工程的角度来看,熟练的犯罪分子将有更多的工作机会。
敏感的用户数据是新的黄金,而元空间有可能成为我们迄今为止看到的最丰富、最完整的数据来源,前提是预计采用情况按计划进行。虽然可以假设与元气圈相关的软件建设将遵守当前的监管标准和合规措施,但这些将需要更新,以支持快速扩张的数字世界及其经济。这方面的核心是,各组织要对其对元宇宙所做贡献的安全性负责,其内部安全成熟度要达到一定水平,以确保每个从事软件工作的人在其流程中的每一步都考虑到并实施安全,特别是开发团队。
为什么安全编码对元空间的成功至关重要?
尽管在一个无法无天的数字空间里游荡,由一个化身代表你希望在现实世界中的一切,这可能很有趣,但我们决不能忘记,每个 "角色 "背后都有一个人。而当真实的人的数据和财务处于危险之中时,它就与游戏相去甚远。
在网络安全方面,我们很清楚,错误的后果可能是真正的破坏性的,如果要实现广泛的采用和消费者的信任,元宇宙的每个组件的完整性不能是事后的考虑。
企业现在就可以开始计划,对其安全成熟度做一个现实的assessment ,把重点放在提高积极从事软件工作的开发人员的安全技能上。正如我们从罗格斯大学的研究中所看到的,访问控制只是一个可能导致广泛的数据泄漏的潜在漏洞,而具有安全意识的开发人员在编写代码时,以及在他们进入承诺的代码之前,会更好地驾驭这些问题。
在发生重大的元数据泄露事件后,依靠网络安全技能短缺的借口是行不通的,我们面前的工具不仅可以做到最好,而且可以积极提高软件安全标准。现在是时候投资于培训元空间的架构师,并从我们所知的产品和服务的虚拟重构中获益。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
元空间中的恶意行为。在新的领域与已知的网络威胁作斗争
这篇文章的一个版本出现在 Infosecurity杂志.它已被更新并在此转发。
几年前,我们经常谈到网络安全是狂野的西部,迫切需要更多的人普遍关心它,更不用说许多网络攻击可能对生命造成的非常真实的风险。
快进到2023年,我们很高兴地看到已经取得了一些进展,特别是在许多有影响力的国家的政府层面。然而,对我们来说,实现真正安全的代码和更安全的软件的旅程是没有终点的。当今的数字宠儿--元空间--的出现为代码级漏洞和社会工程增加了一个巨大的新攻击面。
而我们根本没有准备好在这个靠烟雾和镜面繁荣的新竞争环境中作战。
混合现实技术伴随着强化的风险
尽管它目前的地位是本月的热门话题,但元空间的概念已经存在了很长时间。在线平台 "第二人生"自2003年以来一直存在,通过一个完全可定制的在线宇宙为一个忠实的小众群体服务,用户的化身通过语音和文本聊天进行互动,可以玩游戏,阿迪达斯等公司还提供官方虚拟商店。在纯粹的游戏方面,像《堡垒之夜》和《魔兽世界》这样的大型多人在线(MMO)游戏为其玩家提供了广阔的世界,并越来越依赖于微交易,或者说,为虚拟物品支付真实的金钱。仅仅《堡垒之夜》在进入市场的头两年就获得了43亿美元的微交易收入。
非常清楚的是,元空间的概念不仅会继续存在,而且还将被马克-扎克伯格(Mark Zuckerberg)的规模推入主流。这是互联网--或至少是社交媒体和一些电子商务--的一个令人兴奋的演变,但网络攻击和破坏性利用的机会是令人难以置信的。
元空间的攻击面是深远的,远远超出了基于网络的软件、API和支付网关。VR头盔和配件的外围元件也对核心数据构成了威胁,如果这些设备中的板载软件有漏洞,就会成为通往付费区的非常方便的红地毯。
来自罗格斯大学的安全研究人员今年早些时候披露了 "Face-Mic",这是第一项研究,研究虚拟现实头盔上的语音命令功能如何导致严重的隐私侵犯,即所谓的 "窃听攻击"。这项工作很吸引人,显示威胁者有可能利用一些内置运动传感器的虚拟现实(AR/VR)头盔来记录与语音相关的面部手势,导致通过声控交流的敏感信息可能被盗,包括信用卡信息和密码。这个问题的根本原因似乎是缺乏用户认证。由于加速计和陀螺仪不需要任何访问权限,错综复杂的面部动作、骨子里的振动和空气中的振动都可以被记录下来,并根据用户的模式,用来推断从银行密码到高度限制的医疗记录。
在元宇宙中,你的每一个动作都是一个数据点,如果通过宽松的软件安全可以获得这些数据,那么攻击者碰运气的动机就非常大。
智能合约面临聪明的(er)对手
元经济要求去中心化、非物质化、灵活性,当然还有不折不扣的安全性。现在,在各种加密货币社区中,有越来越多的元经济,如Shiba Inu。为了购买虚拟房地产和其他无形产品,利用了存储在区块链上的智能合约。
提到 "区块链",大多数普通人(有一点技术知识的人)都把它理解为一个安全和匿名的系统,被认为是数字货币的未来。然而,这有一个小问题:没有一个网上堡垒是不可攻破的,那些智能合约也不例外。它们本质上是小程序,而且可以被黑掉。
智能合约很容易被利用,这要归功于几个相当常见的漏洞,即整数溢出和下溢,重放攻击,以及导致重入攻击的(非常有害的)区块链中心错误,后者可能导致用户被耗尽他们储存的加密货币余额。所有这些攻击都是由于不良的编码模式导致可利用的漏洞,以及不安全的设计基本原理而成为可能。
这项技术只会得到更广泛的应用,然而,就目前的情况来看,我们将很难找到足够的有安全意识的开发人员来确保一个安全、无故障的元空间。企业必须了解其参与元空间的规模,尤其是在数据和货币处于危险之中的情况下......很难想象会有不这样的情况发生。
这是一个不受监管的环境,而你(仍然)是产品。
正如我们在电影、电视、第二人生和电子游戏中看到的那样,元空间环境允许我们成为我们想要的人。在一个虚拟世界里,可能性只受限于你的想象力,而这种灵活性对用户来说是一个巨大的吸引力。然而,缺点是,在像Meta这样的计划规模中,它实在是太庞大和分散了,从安全的角度来看,它根本就不可能以一种无懈可击的方式来管理。诈骗将是不可避免的,从社会工程的角度来看,熟练的犯罪分子将有更多的工作机会。
敏感的用户数据是新的黄金,而元空间有可能成为我们迄今为止看到的最丰富、最完整的数据来源,前提是预计采用情况按计划进行。虽然可以假设与元气圈相关的软件建设将遵守当前的监管标准和合规措施,但这些将需要更新,以支持快速扩张的数字世界及其经济。这方面的核心是,各组织要对其对元宇宙所做贡献的安全性负责,其内部安全成熟度要达到一定水平,以确保每个从事软件工作的人在其流程中的每一步都考虑到并实施安全,特别是开发团队。
为什么安全编码对元空间的成功至关重要?
尽管在一个无法无天的数字空间里游荡,由一个化身代表你希望在现实世界中的一切,这可能很有趣,但我们决不能忘记,每个 "角色 "背后都有一个人。而当真实的人的数据和财务处于危险之中时,它就与游戏相去甚远。
在网络安全方面,我们很清楚,错误的后果可能是真正的破坏性的,如果要实现广泛的采用和消费者的信任,元宇宙的每个组件的完整性不能是事后的考虑。
企业现在就可以开始计划,对其安全成熟度做一个现实的assessment ,把重点放在提高积极从事软件工作的开发人员的安全技能上。正如我们从罗格斯大学的研究中所看到的,访问控制只是一个可能导致广泛的数据泄漏的潜在漏洞,而具有安全意识的开发人员在编写代码时,以及在他们进入承诺的代码之前,会更好地驾驭这些问题。
在发生重大的元数据泄露事件后,依靠网络安全技能短缺的借口是行不通的,我们面前的工具不仅可以做到最好,而且可以积极提高软件安全标准。现在是时候投资于培训元空间的架构师,并从我们所知的产品和服务的虚拟重构中获益。
