Voljeli ga, ne voljeli, Facebookovo prekrštavanje u brend Meta ojačalo je globalni interes za metaverzum. Preko noći, eksplodirale su pretrage za ključnim informacijama o dolazećem globalnom cyber svijetu u koji će korisnici voljno preseliti barem dio svoje dnevne egzistencije

Piše: Mirza Bahić; E-mail: redakcija@asadria.com

Kompanije kao što su Microsoft, Nvidia, Ralph Lauren i drugi već pripremaju resurse za izgradnju infrastrukture za budući metaverzum. Kako je sigurnost jedan od standarda kod odabira za svako preseljenje, pa i ono digitalno, korisnici se s pravom pitaju je li ovaj neuhvatljivi digitalni svijet siguran za boravak?

Društveni i tehnički inžinjering

Bez obzira na manjak direktne provjerivosti tvrdnji da će metaverzum imati jednake sigurnosne mehanizme kao i fizički svijet koji emulira ili mijenja, lako je uvidjeti da će njegova sigurnost biti onolika kolika je i kod komponenti koje ga tvore. Metaverzum će sigurno koristiti tehnologije kao što su proširena stvarnost (AR), virtuelna stvarnost (VR), internet stvari (IoT) i kriptovalute. Ove tehnologije obećavaju da će integrisati i uskladiti fizički s digitalnim svjetovima, ali i otvoriti kanale za cyber kriminalce koji će ciljati kompanije i pojedince u metaverzumu.

Hakeri, dakle, već sada idu dva koraka ispred dizajnera sigurnosti metaverzuma jer dobro poznaju sve ranjivosti AR-a, VR-a, interneta stvari i digitalnih valuta. Organizacije koje se bave metaverzumom morat će zato uvesti dodatne funkcije za procjenu rizika za infrastrukturu i povezane uređaje koji ga drže u životu. Kako kriminalci primjenjuju sve sofisticiranije phishing i srodne kampanje kako bi pristupili osjetljivim ličnim podacima i mrežama, menadžeri sigurnosti očekuju da će oni svoja iskustva lako ugraditi u osmišljavanje novih tehnika društvenog i tehnološkog inžinjeringa kako bi poboljšali svoje šanse za uspjeh u metaverzumu.

Prepoznavanje rizika

Metaverzum se, za sada, suočava s dva osnovna skupa sigurnosnih problema. Jedan čine poznati izazovi s kojima se sigurnosni menadžeri suočavaju decenijama i tiču se rupa u tehnologijama koje su uključene u rad metaverzuma. Drugi set prijetnji tiče se onih specifičnih za metaverzum i povezanih s korištenjem kriptovaluta, kreiranjem lažnih identiteta i pokušajem prevara. Iako tu već postoji dovoljno iskustva u borbi protiv ovih pojava, očekuje se značajni porast korištenja kriptovaluta, gdje bi svaki virtuelni dućan unutar metaverzuma mogao kreirati i koristiti vlastito platežno sredstvo. Iduća sigurnosna rupa tiče se korištenja NFT-ova (non-fungible token), odnosno nezamjenjivih tokena u metaverzumu. U pitanju je kriptografski zaštićena digitalna imovina koja doživljava pravu eksploziju popularnosti i bez metaverzuma. Očekuje se da će korisnicima metaverzuma prevaranti moći lako prodavati NFT-ove, a zatim nestajati sa zaradom ili vještački napuhivati vrijednost tokena, a onda “zaboraviti” da isplate dividende. Pri tome, vrijednost NFT-a se vještački podiže tako što ih se inicijalno povezuje s osobama koje odranije posjeduju veće količine etabliranih kriptovaluta poput bitcoina. Procjene se baziraju na opipljivim statistikama prema kojima su tzv. prevare s povlačenjem tepiha ispod nogu samo u prvoj polovini 2021. oštetile korisnike u sektoru decentraliziranih finansija za 361 milion američkih dolara. Isto važi i za phishing napade usmjerene na adrese digitalnih novčanika za kriptovalute.

Istovremeno, jedan te isti NFT može se kreirati na više lanaca u isto vrijeme, što će kod korisnika dovesti do lažne percepcije vrijednosti i unikatnosti vlastitih tokena. Prevaranti obično ciljaju na osobe koje na društvenim medijima traže tehničku pomoć, kao posebno ranjiva skupina bez dovoljno znanja o novim tehnologijama. Njima će, naprimjer, biti lako prodati NFT sliku ili avatar koji je zaštićeno intelektualno vlasništvo, a ne umjetnički unikat. Ovu izloženost rizicima samo pojačava činjenica da sigurnost u metaverzumu nije dovoljno regulatorno pokrivena. U kompaniji Cisco, naprimjer, navode da u virtuelnom svijetu možete izgubiti i milion dolara bez ikakvih pravnih posljedica i načina za odštetu. Sve podsjeća na zlatnu groznicu iz 19. stoljeća jer se uz masovnu medijski promoviranu histeriju oko metaverzuma i NFT-ova kod ljudi stvara dojam da će propustiti voz ako ne uskoče na njega i ne ulože što prije moguće.

Ostavite privatnost na rampi metaverzuma?

Šta je sa privatnošću u metaverzumu? Istina, još nije poznato koliko informacija će metaverzum prikupljati od vas nakon što stavite VR komplet na glavu. No, već je sada jasno da će olakšati posao cyber kriminalcima koje zanima krađa informacija i iskorištavanje znatiželjnih korisnika s trajnom željom da isprobaju nešto novo. Prekomjerno prikupljanje podataka jedan je od rizika povezanih sa samim funkcioniranjem metaverzuma. Osim prikupljanja podataka kao što su e-mail adresa i broj telefona, kompanije u metaverzumu će moći prikupljati podatke i o vašem govoru tijela, biometrijskim informacijama i društvenom ponašanju. Sve navedeno će se, u teoriji, izvoditi voljno, no problem su prikrivene prakse kojima će se ovi podaci prikupljati bez odobrenja korisnika.

Dodatni izazov za privatnost je i kontinuirani nadzor korisnika metaverzuma. Za boravak u metaverzumu će vam biti potrebni novi uređaji kao što su VR komplet, kamere, senzori i mikrofoni. Ovi uređaji mogu prikupljati i pohranjivati ​podatke i bez vašeg znanja. Budući da je metaverzum novi koncept, zakoni koji regulišu podatke koje ovi uređaji smiju prikupljati još nisu u potpunosti razrađeni. Metaverzumu je za pravilan rad potrebno više mrežnih krajnjih tačaka. Svaki uređaj u vašem domu koji se povezuje na internet će za potrebe metaverzuma morati otvarati nova vrata za potencijalne cyber napade. Kako će ovo podrazumijevati korištenje dodatnih uređaja i senzora, korisnici će postati još ranjiviji na incidente kao što je krađa privatnih i osjetljivih podataka.

 Avatar nesigurnosti?

Sve navedeno dodatno će otežati temeljna tačka diferencijacije između metaverzuma i stvarnog svijeta – njegova potpuna virtuelnost. Naprimjer, upotreba digitalnih avatara će sigurno otežati proces autentifikacije korisnika, posebno u kontekstu obavljanja svakodnevnih aktivnosti u metaverzumu, poput kupovine. Razlikovanje između stvarnih kupaca i prevaranta, krađa identiteta i postupanje u slučaju da neki avatar uznemirava drugi – sve to su sigurnosna pitanja o kojima će morati razmišljati i korisnici i neimari budućeg virtuelnog univerzuma.

Posljednji izbori u SAD-u i Njemačkoj zorno su pokazali kako se cyber napadi koriste kao politička argumentacija za demontažu demokratije. U kombinaciji s nereguliranim društvenim mrežama, kreiran je toksičan politički koktel koji će tražiti odgovor i sigurnosne struke i države

Piše: Mirza Bahić; mail: redakcija@asadria.com

Demokratski izbori u Evropi i SAD-u odavno nisu puki datum u političkom kalendaru. Cijele društvene strukture danas ih nerijetko očekuju sa zebnjom, prvenstveno zbog većinski nevidljivih, ali ništa manje opasnih prijetnji. Danas su to masovni, politički orkestrirani cyber napadi, koji često idu u paru s jednako dobro organiziranim dezinfomacijskim kampanjama. Da smo sa stranica cyber trilera zakoračili duboko u “nove normalnosti”, govore i posljednji njemački izbori koji su upozoravajući signal da će se političke borbe ubuduće voditi na ključnom, novom bojnom polju – cyber sigurnosti.

Izbori u eri cyber terorizma  

Prije održavanja izbora u septembru 2021. njemačke vlasti su oglasile “zvona na uzbunu”. Cyber napadi su u toj zemlji došli s jakim političkim koloritom, a demokratska javnost se prvi put suočila s masovnom cyber kampanjom s potpuno novom agendom – obesmisliti izbore kao ideju. Ovo se trebalo postići dovođenjem u pitanje samog legitimiteta izbornog procesa, a sve se radilo uz prizivanje asocijacija na američki scenario s narativom o krađi izbora kojom je, navodno, oštećen bivši predsjednik Donald Trump. Novina je u tome što sami napadači i političke strukture iza njih sada dramatično mijenjaju pristup cyber ratovanju. Čini se da ih sada više zanima sijanje nepovjerenja u demokratske i izborne institucije i izazivanje podjela u društvima, a ne podrška određenom kandidatu ili stranci. Novi pristup je pokazati da je postojeći sistem naprosto slab i nedovoljno otporan na napade da bi osigurao željenu objektivnost izbora.

Politizacija odabira meta

Danas je vođenje kampanja dezinformiranja i prikupljanja podataka znatno lakše, jeftinije i brže zahvaljujući sveprisutnosti društvenih medija i činjenici da hakeri imaju podršku moćnih državnih struktura. U slučaju Njemačke, kao glavni krivac za prebacivanje predizborne borbe u online arenu označena je Rusija. Zvaničnici njemačke vlade su u martu ove godine naveli da su ruski hakeri napali desetine njemačkih političara, a popis uključuje sedam zastupnika Bundestaga i 31 zastupnika u regionalnim parlamentima. Većina žrtava bili su članovi stranaka CSU, CDU i SPD, što upućuje na pažljiv i politički motivirani odabir meta. Svi oni su primili lažne e-mail poruke koje su osmišljene da izgledaju kao legitimne s ciljem da parlamentarci ostave svoje osjetljive podatke ili da otvaranjem poruke na svoj računar instaliraju opasni softver. Ruski cyber napadi na njemačke političare samo su jedan incident u nizu kampanja koje su vođene posljednjih nekoliko godina. Još je 2015. njemačka obavještajna služba BfV optužila Rusiju za orkestriranje cyber napada na državnu računarsku infrastrukturu. Kao dokaz umiješanosti ruskih zvaničnika u ove napade, glasnogovornik njemačkog Ministarstva vanjskih poslova naveo je da je hakerska grupa Ghostwriter povezana s ruskom vojno-obavještajnom službom GRU.

Njemačka pod opsadom

GRU je imenovan kao krivac i u napadu čiji je glavni cilj bilo preuzimanje e-mailova iz ureda izborne jedinice bivše kancelarke Angele Merkel. Još jedan napad bio je usmjeren na njemački parlament s ciljem instaliranja softvera koji bi napadačima omogućio stalni pristup računarima za osoblje i članove parlamenta. Informacije o samim napadima su šture, no njemački obavještajci navode da su oni iskorišteni i za pokušaj krađe podataka o kritičnoj infrastrukturi, poput elektrana. Voditelj Državne izborne komisije Georg Thiel je prije održavanja izbora upozorio da je “rizik od cyber napada veliki” te da su motivi za njih brojni. Oni se kreću u rasponu od manipulacije izbornim ishodima do špijunaže i prikupljanja obavještajnih podataka o pojedinim političarima. Zbog ponavljanja i jačanja intenziteta napada, njemačke vlasti su u više navrata službeno pozvale Ruse da prekinu svoje ilegalne cyber aktivnosti.

 Sigurno elektronsko glasanje za demontažu teorija zavjera?

Na drugoj strani Atlantika američki biznismen i autor Bradley Tusk u cyber sigurnosti ne vidi prijetnju, nego priliku za podizanje demokratskog procesa na nivo koji ide u korak s tehnološkim trendovima. Njegov plan je da se do 2028. svakom Amerikancu omogući glasanje putem vlastitih pametnih telefona. Za sada sigurnosna struka je skeptična u pogledu realizacije ovog projekta. Tusk tvrdi da je svjestan da mu stručnjaci za cyber sigurnosti možda isprva neće dati svoj blagoslov, ali da je, u konačnici, optimista kada je u pitanju razuvjeravanje skeptika. Ipak, veća prepreka od one tehnološke mogla bi biti klima nepovjerenja prema sigurnosti izbornog sistema koja se pažljivo i ciljano kultivira u vidu široko dijeljenih teorija zavjere. Zbog toga bi izborni eksperti mogli dugoročno oklijevati s primjenom Tuskovog rješenja jer bi ono moglo dovesti do rasta broja konzumenata teorija o izbornim prevarama i hakiranju glasova. Tusk ističe da će glasanje telefonom uz adekvatne sigurnosne mjere zapravo smanjiti društvenu polarizaciju jer će ponuditi veću izlaznost kao manifestaciju demokratije.

Skepsom do pobjede

U prilog Tuskovom modelu ide njegova za sada prisna saradnja s ekspertima iz cyber sigurnosne zajednice. Nakon pomne analize 25 predloženih tehnoloških rješenja, Tuskov tim je za realizaciju projekta odabrao dansku tehnološku kompaniju Assembly Voting. Ona će svoj model usavršiti uz pomoć instituta OSET, američke neprofitne organizacije koja se bavi istraživanjem tehnologija za unapređenje procesa glasanja. OSET će biti zadužen za izradu javno dostupne aplikacije za označavanje glasačkih listića, dok će Assembly dizajnirati tehnologiju koja će prenositi elektronski glasački listić s telefona i drugih uređaja do izbornih tijela.

Proces prijenosa bi trebao biti lako provjerljiv duž cijelog komunikacijskog kanala. To znači da bi svaki glasač dobio način da potvrdi da je plasirani glas ispravno zabilježen i prebrojan. I, još važnije, da tokom tranzita nije bio izložen manipulaciji.

Stručnjaci za cyber sigurnost upravo to vide kao najveći problem i postavljaju kontrolu nad integralnim procesom slanja digitalnog glasa kao preduvjet da sam projekt uopće dobije zeleno svjetlo. U Assemblyju vjeruju da će traženi nivo sigurnosti uspjeti osigurati uz pomoć eksperata, etičkih hakera i sigurnosne zajednice. Na kraju, čini se da će konačne rezultate, pored same sigurnosne tehnologije, uveliko diktirati i opći ambijent u kojem ključni akteri u cijelom lancu cyber sigurnosti uspiju uvjeriti javnost da se politička i tehnološka bitka sa sve brojnijim negativcima na kraju može stvarno izvojevati.