Metaverzum: virtuelna ili nepostojeća sigurnost?
Voljeli ga, ne voljeli, Facebookovo prekrštavanje u brend Meta ojačalo je globalni interes za metaverzum. Preko noći, eksplodirale su pretrage za ključnim informacijama o dolazećem globalnom cyber svijetu u koji će korisnici voljno preseliti barem dio svoje dnevne egzistencije
Piše: Mirza Bahić; E-mail: redakcija@asadria.com
Kompanije kao što su Microsoft, Nvidia, Ralph Lauren i drugi već pripremaju resurse za izgradnju infrastrukture za budući metaverzum. Kako je sigurnost jedan od standarda kod odabira za svako preseljenje, pa i ono digitalno, korisnici se s pravom pitaju je li ovaj neuhvatljivi digitalni svijet siguran za boravak?
Društveni i tehnički inžinjering
Bez obzira na manjak direktne provjerivosti tvrdnji da će metaverzum imati jednake sigurnosne mehanizme kao i fizički svijet koji emulira ili mijenja, lako je uvidjeti da će njegova sigurnost biti onolika kolika je i kod komponenti koje ga tvore. Metaverzum će sigurno koristiti tehnologije kao što su proširena stvarnost (AR), virtuelna stvarnost (VR), internet stvari (IoT) i kriptovalute. Ove tehnologije obećavaju da će integrisati i uskladiti fizički s digitalnim svjetovima, ali i otvoriti kanale za cyber kriminalce koji će ciljati kompanije i pojedince u metaverzumu.
Hakeri, dakle, već sada idu dva koraka ispred dizajnera sigurnosti metaverzuma jer dobro poznaju sve ranjivosti AR-a, VR-a, interneta stvari i digitalnih valuta. Organizacije koje se bave metaverzumom morat će zato uvesti dodatne funkcije za procjenu rizika za infrastrukturu i povezane uređaje koji ga drže u životu. Kako kriminalci primjenjuju sve sofisticiranije phishing i srodne kampanje kako bi pristupili osjetljivim ličnim podacima i mrežama, menadžeri sigurnosti očekuju da će oni svoja iskustva lako ugraditi u osmišljavanje novih tehnika društvenog i tehnološkog inžinjeringa kako bi poboljšali svoje šanse za uspjeh u metaverzumu.
Prepoznavanje rizika
Metaverzum se, za sada, suočava s dva osnovna skupa sigurnosnih problema. Jedan čine poznati izazovi s kojima se sigurnosni menadžeri suočavaju decenijama i tiču se rupa u tehnologijama koje su uključene u rad metaverzuma. Drugi set prijetnji tiče se onih specifičnih za metaverzum i povezanih s korištenjem kriptovaluta, kreiranjem lažnih identiteta i pokušajem prevara. Iako tu već postoji dovoljno iskustva u borbi protiv ovih pojava, očekuje se značajni porast korištenja kriptovaluta, gdje bi svaki virtuelni dućan unutar metaverzuma mogao kreirati i koristiti vlastito platežno sredstvo. Iduća sigurnosna rupa tiče se korištenja NFT-ova (non-fungible token), odnosno nezamjenjivih tokena u metaverzumu. U pitanju je kriptografski zaštićena digitalna imovina koja doživljava pravu eksploziju popularnosti i bez metaverzuma. Očekuje se da će korisnicima metaverzuma prevaranti moći lako prodavati NFT-ove, a zatim nestajati sa zaradom ili vještački napuhivati vrijednost tokena, a onda “zaboraviti” da isplate dividende. Pri tome, vrijednost NFT-a se vještački podiže tako što ih se inicijalno povezuje s osobama koje odranije posjeduju veće količine etabliranih kriptovaluta poput bitcoina. Procjene se baziraju na opipljivim statistikama prema kojima su tzv. prevare s povlačenjem tepiha ispod nogu samo u prvoj polovini 2021. oštetile korisnike u sektoru decentraliziranih finansija za 361 milion američkih dolara. Isto važi i za phishing napade usmjerene na adrese digitalnih novčanika za kriptovalute.
Istovremeno, jedan te isti NFT može se kreirati na više lanaca u isto vrijeme, što će kod korisnika dovesti do lažne percepcije vrijednosti i unikatnosti vlastitih tokena. Prevaranti obično ciljaju na osobe koje na društvenim medijima traže tehničku pomoć, kao posebno ranjiva skupina bez dovoljno znanja o novim tehnologijama. Njima će, naprimjer, biti lako prodati NFT sliku ili avatar koji je zaštićeno intelektualno vlasništvo, a ne umjetnički unikat. Ovu izloženost rizicima samo pojačava činjenica da sigurnost u metaverzumu nije dovoljno regulatorno pokrivena. U kompaniji Cisco, naprimjer, navode da u virtuelnom svijetu možete izgubiti i milion dolara bez ikakvih pravnih posljedica i načina za odštetu. Sve podsjeća na zlatnu groznicu iz 19. stoljeća jer se uz masovnu medijski promoviranu histeriju oko metaverzuma i NFT-ova kod ljudi stvara dojam da će propustiti voz ako ne uskoče na njega i ne ulože što prije moguće.
Ostavite privatnost na rampi metaverzuma?
Šta je sa privatnošću u metaverzumu? Istina, još nije poznato koliko informacija će metaverzum prikupljati od vas nakon što stavite VR komplet na glavu. No, već je sada jasno da će olakšati posao cyber kriminalcima koje zanima krađa informacija i iskorištavanje znatiželjnih korisnika s trajnom željom da isprobaju nešto novo. Prekomjerno prikupljanje podataka jedan je od rizika povezanih sa samim funkcioniranjem metaverzuma. Osim prikupljanja podataka kao što su e-mail adresa i broj telefona, kompanije u metaverzumu će moći prikupljati podatke i o vašem govoru tijela, biometrijskim informacijama i društvenom ponašanju. Sve navedeno će se, u teoriji, izvoditi voljno, no problem su prikrivene prakse kojima će se ovi podaci prikupljati bez odobrenja korisnika.
Dodatni izazov za privatnost je i kontinuirani nadzor korisnika metaverzuma. Za boravak u metaverzumu će vam biti potrebni novi uređaji kao što su VR komplet, kamere, senzori i mikrofoni. Ovi uređaji mogu prikupljati i pohranjivati podatke i bez vašeg znanja. Budući da je metaverzum novi koncept, zakoni koji regulišu podatke koje ovi uređaji smiju prikupljati još nisu u potpunosti razrađeni. Metaverzumu je za pravilan rad potrebno više mrežnih krajnjih tačaka. Svaki uređaj u vašem domu koji se povezuje na internet će za potrebe metaverzuma morati otvarati nova vrata za potencijalne cyber napade. Kako će ovo podrazumijevati korištenje dodatnih uređaja i senzora, korisnici će postati još ranjiviji na incidente kao što je krađa privatnih i osjetljivih podataka.
Avatar nesigurnosti?
Sve navedeno dodatno će otežati temeljna tačka diferencijacije između metaverzuma i stvarnog svijeta – njegova potpuna virtuelnost. Naprimjer, upotreba digitalnih avatara će sigurno otežati proces autentifikacije korisnika, posebno u kontekstu obavljanja svakodnevnih aktivnosti u metaverzumu, poput kupovine. Razlikovanje između stvarnih kupaca i prevaranta, krađa identiteta i postupanje u slučaju da neki avatar uznemirava drugi – sve to su sigurnosna pitanja o kojima će morati razmišljati i korisnici i neimari budućeg virtuelnog univerzuma.