Bosheit im Metaversum: Der Kampf gegen bekannte Cyber-Bedrohungen in einem neuen Grenzbereich
Eine Version dieses Artikels erschien in Infosecurity Magazin. Er wurde aktualisiert und hier syndiziert.
Vor ein paar Jahren haben wir viel darüber gesprochen, dass Cybersicherheit der Wilde Westen ist und dass es dringend notwendig ist, dass sich mehr Menschen mit diesem Thema befassen, ganz zu schweigen von der sehr realen Lebensgefahr, die viele Cyberangriffe darstellen können.
Spulen wir ins Jahr 2023 vor, und es ist erfreulich zu sehen, dass einige Fortschritte gemacht wurden, insbesondere auf Regierungsebene in vielen einflussreichen Ländern. Für uns ist der Weg zu wirklich sicherem Code und sicherer Software jedoch noch lange nicht zu Ende. Das Aufkommen des aktuellen digitalen Lieblingsthemas - des Metaversums - bietet eine riesige neue Angriffsfläche für Schwachstellen auf Code-Ebene und Social Engineering.
Und wir sind einfach nicht auf den Kampf auf diesem neuen Spielfeld vorbereitet, das von Rauch und Spiegeln lebt.
Die gemischte Realität birgt ein erhöhtes Risiko
Das Konzept des Metaversums gibt es schon seit langem, auch wenn es derzeit als "Geschmack des Monats" gilt. Die Online-Plattform Second Life gibt es seit 2003 und bedient eine treue Nische mit einem vollständig anpassbaren Online-Universum, in dem die Avatare der Nutzer über Sprach- und Text-Chat interagieren, Spiele gespielt werden können und Unternehmen wie Adidas offizielle virtuelle Geschäfte anbieten. Auf der reinen Spieleseite bieten Massively Multiplayer Online (MMO)-Spiele wie Fortnite und World of Warcraft ihren Spielern ausgedehnte Welten und sind zunehmend von Mikrotransaktionen abhängig, d. h. davon, echtes Geld für virtuelle Gegenstände zu bezahlen. Allein Fortnite hat in den ersten zwei Jahren seiner Marktpräsenz 4,3 Milliarden Dollar an Mikrotransaktionseinnahmen erzielt.
Es ist ganz klar, dass das Metaversum-Konzept nicht nur von Dauer ist, sondern auch kurz davor steht, einen Mark Zuckerberg-großen Schub in den Mainstream zu bekommen. Dies ist eine aufregende Entwicklung des Internets - oder zumindest der sozialen Medien und eines Teils des elektronischen Handels - wie wir es kennen, aber die Möglichkeiten für Cyberangriffe und schädliche Exploits sind verblüffend.
Die Angriffsfläche des Metaverse ist weitreichend und geht weit über webbasierte Software, APIs und Zahlungsgateways hinaus. Die Peripherieelemente von VR-Headsets und -Zubehör stellen ebenfalls eine Bedrohung für die Kerndaten dar, wobei die integrierte Software in diesen Geräten ein sehr bequemer roter Teppich ist, um an die Daten zu gelangen, wenn sie anfällig sind.
Sicherheitsforscher der Rutgers University haben Anfang des Jahres mit "Face-Mic" die erste Studie dieser Art veröffentlicht, in der untersucht wurde, wie Sprachbefehlsfunktionen von Virtual-Reality-Headsets zu schwerwiegenden Datenschutzverletzungen, den sogenannten "Lauschangriffen", führen könnten. Die Arbeit ist faszinierend und zeigt, dass Bedrohungsakteure potenziell einige Virtual-Reality-Headsets (AR/VR) mit eingebauten Bewegungssensoren nutzen könnten, um sprachassoziierte Gesichtsgesten aufzuzeichnen, was zum potenziellen Diebstahl sensibler Informationen führen könnte, die über sprachaktivierte Steuerelemente übermittelt werden, einschließlich Kreditkarteninformationen und Passwörter. Die Hauptursache für dieses Problem scheint die fehlende Benutzerauthentifizierung zu sein. Da für den Zugriff auf Beschleunigungsmesser und Gyroskop keine Genehmigung erforderlich ist, könnten komplizierte Gesichtsbewegungen, Vibrationen in den Knochen und Vibrationen in der Luft aufgezeichnet und je nach Verhaltensmuster des Nutzers dazu verwendet werden, Bank-PINs oder streng vertrauliche Gesundheitsdaten abzuleiten.
Im Metaverse ist jede Bewegung, die Sie machen, ein Datenpunkt, und wenn der Zugriff darauf durch laxe Softwaresicherheit möglich ist, ist der Anreiz für Angreifer, ihr Glück zu versuchen, enorm.
Intelligente Verträge stehen intelligenten Gegnern gegenüber
Die Metaökonomie erfordert Dezentralisierung, Dematerialisierung, Flexibilität und natürlich Sicherheit ohne Kompromisse. Derzeit gibt es in verschiedenen Kryptowährungsgemeinschaften, wie Shiba Inu, wachsende Metawirtschaften. Um virtuelle Immobilien und andere immaterielle Produkte zu kaufen, werden auf der Blockchain gespeicherte Smart Contracts verwendet.
Wenn man "Blockchain" erwähnt, verstehen die meisten Durchschnittsmenschen (mit ein wenig technischem Verständnis) darunter ein sicheres und anonymes System für das, was als die Zukunft der digitalen Währung angesehen wird. Dabei gibt es jedoch ein kleines Problem: Keine Online-Festung ist uneinnehmbar, und diese intelligenten Verträge sind da keine Ausnahme. Sie sind im Wesentlichen kleine Programme, und sie können gehackt werden.
Smart Contracts sind anfällig für Angriffe, da sie einige recht häufige Schwachstellen aufweisen, nämlich Integer-Überlauf und -Unterlauf, Replay-Angriffe und den (sehr schädlichen) Blockchain-zentrierten Fehler, der zu Reentrancy-Angriffen führt, wobei letzterer dazu führen kann, dass ein Nutzer sein gespeichertes Kryptoguthaben verliert. All diese Angriffe werden durch schlechte Codierungsmuster, die zu ausnutzbaren Schwachstellen führen, und unsichere Designgrundlagen ermöglicht.
Diese Technologie wird sich immer weiter verbreiten, doch so wie es heute aussieht, werden wir Schwierigkeiten haben, genügend sicherheitsbewusste Entwickler zu finden, um ein sicheres, ausfallsicheres Metaversum zu gewährleisten. Unternehmen müssen sich über die Tragweite ihrer Metaverse-Beteiligung im Klaren sein, insbesondere wenn Daten und Währungen auf dem Spiel stehen... und es ist schwer, sich ein Szenario vorzustellen, in dem dies nicht der Fall wäre.
Es ist ein unreguliertes Umfeld, und Sie sind (noch) das Produkt
Wie wir es aus Filmen, dem Fernsehen, Second Life und Videospielen kennen, können wir in einer metaversen Umgebung sein, wer wir wollen. In einer virtuellen Welt sind die Möglichkeiten nur durch die eigene Vorstellungskraft begrenzt, und diese Flexibilität ist ein großer Anreiz für die Nutzer. Die Kehrseite der Medaille ist jedoch, dass das geplante Ausmaß von Meta einfach zu groß und zu dezentral ist, um es in einer Weise zu überwachen, die es aus der Sicht der Sicherheit sicher machen würde. Betrügereien werden unvermeidlich sein, und geschickte Kriminelle werden aus der Perspektive des Social Engineering noch mehr Möglichkeiten haben, damit zu arbeiten.
Sensible Nutzerdaten sind das neue Gold, und das Metaverse hat das Potenzial, die reichhaltigste und vollständigste Datenquelle zu sein, die wir bisher gesehen haben, vorausgesetzt, die geplante Einführung verläuft wie geplant. Es kann zwar davon ausgegangen werden, dass die mit dem Metaverse verbundenen Softwareentwicklungen den aktuellen Regulierungsstandards und Compliance-Maßnahmen entsprechen werden, doch diese müssen aktualisiert werden, um ein schnell wachsendes digitales Universum und seine Wirtschaft zu unterstützen. Der Schlüssel dazu ist, dass Unternehmen die Verantwortung für die Sicherheit ihrer Beiträge zum Metaverse übernehmen, mit einem internen Sicherheitsniveau, das sicherstellt, dass jede Person, die an der Software arbeitet, bei jedem Schritt ihres Prozesses an die Sicherheit denkt und sie umsetzt, insbesondere die Entwicklungskohorte.
Warum sichere Kodierung für den Erfolg des Metaversums entscheidend sein wird
So viel Spaß es auch machen mag, durch eine gesetzlose digitale Dimension zu galoppieren, repräsentiert durch einen Avatar, der all das ist, was man in der realen Welt sein möchte, dürfen wir nie vergessen, dass hinter jedem "Charakter" ein Mensch steht. Und wenn die Daten und Finanzen echter Menschen auf dem Spiel stehen, ist das weit entfernt von einem Spiel.
Im Bereich der Cybersicherheit sind wir uns sehr wohl bewusst, dass Fehler verheerende Folgen haben können, und die Integrität jeder Komponente des Metaversums darf nicht auf die lange Bank geschoben werden, wenn eine breite Akzeptanz und das Vertrauen der Verbraucher erreicht werden sollen.
Unternehmen können jetzt mit der Planung beginnen, indem sie eine realistische assessment ihrer Sicherheitsreife durchführen und dabei den Schwerpunkt auf die Verbesserung der Sicherheitsfähigkeiten der Entwickler legen, die aktiv an der Software arbeiten. Wie aus der Studie der Rutgers University hervorgeht, ist die Zugangskontrolle nur eine der Schwachstellen, die zu einem weit verbreiteten Datenleck führen können, und sicherheitsbewusste Entwickler wären weitaus besser in der Lage, diese Probleme bereits beim Schreiben des Codes und lange vor der Eingabe in den verbindlichen Code zu bewältigen.
Sich auf der Ausrede des Mangels an Cybersecurity-Fachkräften auszuruhen, wird nach einer großen Datenpanne im Metaversum nicht mehr helfen, und wir haben die Mittel in der Hand, um nicht nur unser Bestes zu geben, sondern die Standards für die Softwaresicherheit aktiv und nachhaltig zu verbessern. Jetzt ist es an der Zeit, in die Ausbildung der Architekten des Metaversums zu investieren und die Vorteile einer virtuellen Neuplanung von Produkten und Dienstleistungen, wie wir sie kennen, zu nutzen.
Das Aufkommen des aktuellen digitalen Lieblingsthemas - des Metaversums - bietet eine riesige neue Angriffsfläche für Schwachstellen auf Code-Ebene und Social Engineering. Und wir sind einfach nicht auf den Kampf auf diesem neuen Spielfeld vorbereitet, das von Rauch und Spiegeln lebt.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Infosecurity Magazin. Er wurde aktualisiert und hier syndiziert.
Vor ein paar Jahren haben wir viel darüber gesprochen, dass Cybersicherheit der Wilde Westen ist und dass es dringend notwendig ist, dass sich mehr Menschen mit diesem Thema befassen, ganz zu schweigen von der sehr realen Lebensgefahr, die viele Cyberangriffe darstellen können.
Spulen wir ins Jahr 2023 vor, und es ist erfreulich zu sehen, dass einige Fortschritte gemacht wurden, insbesondere auf Regierungsebene in vielen einflussreichen Ländern. Für uns ist der Weg zu wirklich sicherem Code und sicherer Software jedoch noch lange nicht zu Ende. Das Aufkommen des aktuellen digitalen Lieblingsthemas - des Metaversums - bietet eine riesige neue Angriffsfläche für Schwachstellen auf Code-Ebene und Social Engineering.
Und wir sind einfach nicht auf den Kampf auf diesem neuen Spielfeld vorbereitet, das von Rauch und Spiegeln lebt.
Die gemischte Realität birgt ein erhöhtes Risiko
Das Konzept des Metaversums gibt es schon seit langem, auch wenn es derzeit als "Geschmack des Monats" gilt. Die Online-Plattform Second Life gibt es seit 2003 und bedient eine treue Nische mit einem vollständig anpassbaren Online-Universum, in dem die Avatare der Nutzer über Sprach- und Text-Chat interagieren, Spiele gespielt werden können und Unternehmen wie Adidas offizielle virtuelle Geschäfte anbieten. Auf der reinen Spieleseite bieten Massively Multiplayer Online (MMO)-Spiele wie Fortnite und World of Warcraft ihren Spielern ausgedehnte Welten und sind zunehmend von Mikrotransaktionen abhängig, d. h. davon, echtes Geld für virtuelle Gegenstände zu bezahlen. Allein Fortnite hat in den ersten zwei Jahren seiner Marktpräsenz 4,3 Milliarden Dollar an Mikrotransaktionseinnahmen erzielt.
Es ist ganz klar, dass das Metaversum-Konzept nicht nur von Dauer ist, sondern auch kurz davor steht, einen Mark Zuckerberg-großen Schub in den Mainstream zu bekommen. Dies ist eine aufregende Entwicklung des Internets - oder zumindest der sozialen Medien und eines Teils des elektronischen Handels - wie wir es kennen, aber die Möglichkeiten für Cyberangriffe und schädliche Exploits sind verblüffend.
Die Angriffsfläche des Metaverse ist weitreichend und geht weit über webbasierte Software, APIs und Zahlungsgateways hinaus. Die Peripherieelemente von VR-Headsets und -Zubehör stellen ebenfalls eine Bedrohung für die Kerndaten dar, wobei die integrierte Software in diesen Geräten ein sehr bequemer roter Teppich ist, um an die Daten zu gelangen, wenn sie anfällig sind.
Sicherheitsforscher der Rutgers University haben Anfang des Jahres mit "Face-Mic" die erste Studie dieser Art veröffentlicht, in der untersucht wurde, wie Sprachbefehlsfunktionen von Virtual-Reality-Headsets zu schwerwiegenden Datenschutzverletzungen, den sogenannten "Lauschangriffen", führen könnten. Die Arbeit ist faszinierend und zeigt, dass Bedrohungsakteure potenziell einige Virtual-Reality-Headsets (AR/VR) mit eingebauten Bewegungssensoren nutzen könnten, um sprachassoziierte Gesichtsgesten aufzuzeichnen, was zum potenziellen Diebstahl sensibler Informationen führen könnte, die über sprachaktivierte Steuerelemente übermittelt werden, einschließlich Kreditkarteninformationen und Passwörter. Die Hauptursache für dieses Problem scheint die fehlende Benutzerauthentifizierung zu sein. Da für den Zugriff auf Beschleunigungsmesser und Gyroskop keine Genehmigung erforderlich ist, könnten komplizierte Gesichtsbewegungen, Vibrationen in den Knochen und Vibrationen in der Luft aufgezeichnet und je nach Verhaltensmuster des Nutzers dazu verwendet werden, Bank-PINs oder streng vertrauliche Gesundheitsdaten abzuleiten.
Im Metaverse ist jede Bewegung, die Sie machen, ein Datenpunkt, und wenn der Zugriff darauf durch laxe Softwaresicherheit möglich ist, ist der Anreiz für Angreifer, ihr Glück zu versuchen, enorm.
Intelligente Verträge stehen intelligenten Gegnern gegenüber
Die Metaökonomie erfordert Dezentralisierung, Dematerialisierung, Flexibilität und natürlich Sicherheit ohne Kompromisse. Derzeit gibt es in verschiedenen Kryptowährungsgemeinschaften, wie Shiba Inu, wachsende Metawirtschaften. Um virtuelle Immobilien und andere immaterielle Produkte zu kaufen, werden auf der Blockchain gespeicherte Smart Contracts verwendet.
Wenn man "Blockchain" erwähnt, verstehen die meisten Durchschnittsmenschen (mit ein wenig technischem Verständnis) darunter ein sicheres und anonymes System für das, was als die Zukunft der digitalen Währung angesehen wird. Dabei gibt es jedoch ein kleines Problem: Keine Online-Festung ist uneinnehmbar, und diese intelligenten Verträge sind da keine Ausnahme. Sie sind im Wesentlichen kleine Programme, und sie können gehackt werden.
Smart Contracts sind anfällig für Angriffe, da sie einige recht häufige Schwachstellen aufweisen, nämlich Integer-Überlauf und -Unterlauf, Replay-Angriffe und den (sehr schädlichen) Blockchain-zentrierten Fehler, der zu Reentrancy-Angriffen führt, wobei letzterer dazu führen kann, dass ein Nutzer sein gespeichertes Kryptoguthaben verliert. All diese Angriffe werden durch schlechte Codierungsmuster, die zu ausnutzbaren Schwachstellen führen, und unsichere Designgrundlagen ermöglicht.
Diese Technologie wird sich immer weiter verbreiten, doch so wie es heute aussieht, werden wir Schwierigkeiten haben, genügend sicherheitsbewusste Entwickler zu finden, um ein sicheres, ausfallsicheres Metaversum zu gewährleisten. Unternehmen müssen sich über die Tragweite ihrer Metaverse-Beteiligung im Klaren sein, insbesondere wenn Daten und Währungen auf dem Spiel stehen... und es ist schwer, sich ein Szenario vorzustellen, in dem dies nicht der Fall wäre.
Es ist ein unreguliertes Umfeld, und Sie sind (noch) das Produkt
Wie wir es aus Filmen, dem Fernsehen, Second Life und Videospielen kennen, können wir in einer metaversen Umgebung sein, wer wir wollen. In einer virtuellen Welt sind die Möglichkeiten nur durch die eigene Vorstellungskraft begrenzt, und diese Flexibilität ist ein großer Anreiz für die Nutzer. Die Kehrseite der Medaille ist jedoch, dass das geplante Ausmaß von Meta einfach zu groß und zu dezentral ist, um es in einer Weise zu überwachen, die es aus der Sicht der Sicherheit sicher machen würde. Betrügereien werden unvermeidlich sein, und geschickte Kriminelle werden aus der Perspektive des Social Engineering noch mehr Möglichkeiten haben, damit zu arbeiten.
Sensible Nutzerdaten sind das neue Gold, und das Metaverse hat das Potenzial, die reichhaltigste und vollständigste Datenquelle zu sein, die wir bisher gesehen haben, vorausgesetzt, die geplante Einführung verläuft wie geplant. Es kann zwar davon ausgegangen werden, dass die mit dem Metaverse verbundenen Softwareentwicklungen den aktuellen Regulierungsstandards und Compliance-Maßnahmen entsprechen werden, doch diese müssen aktualisiert werden, um ein schnell wachsendes digitales Universum und seine Wirtschaft zu unterstützen. Der Schlüssel dazu ist, dass Unternehmen die Verantwortung für die Sicherheit ihrer Beiträge zum Metaverse übernehmen, mit einem internen Sicherheitsniveau, das sicherstellt, dass jede Person, die an der Software arbeitet, bei jedem Schritt ihres Prozesses an die Sicherheit denkt und sie umsetzt, insbesondere die Entwicklungskohorte.
Warum sichere Kodierung für den Erfolg des Metaversums entscheidend sein wird
So viel Spaß es auch machen mag, durch eine gesetzlose digitale Dimension zu galoppieren, repräsentiert durch einen Avatar, der all das ist, was man in der realen Welt sein möchte, dürfen wir nie vergessen, dass hinter jedem "Charakter" ein Mensch steht. Und wenn die Daten und Finanzen echter Menschen auf dem Spiel stehen, ist das weit entfernt von einem Spiel.
Im Bereich der Cybersicherheit sind wir uns sehr wohl bewusst, dass Fehler verheerende Folgen haben können, und die Integrität jeder Komponente des Metaversums darf nicht auf die lange Bank geschoben werden, wenn eine breite Akzeptanz und das Vertrauen der Verbraucher erreicht werden sollen.
Unternehmen können jetzt mit der Planung beginnen, indem sie eine realistische assessment ihrer Sicherheitsreife durchführen und dabei den Schwerpunkt auf die Verbesserung der Sicherheitsfähigkeiten der Entwickler legen, die aktiv an der Software arbeiten. Wie aus der Studie der Rutgers University hervorgeht, ist die Zugangskontrolle nur eine der Schwachstellen, die zu einem weit verbreiteten Datenleck führen können, und sicherheitsbewusste Entwickler wären weitaus besser in der Lage, diese Probleme bereits beim Schreiben des Codes und lange vor der Eingabe in den verbindlichen Code zu bewältigen.
Sich auf der Ausrede des Mangels an Cybersecurity-Fachkräften auszuruhen, wird nach einer großen Datenpanne im Metaversum nicht mehr helfen, und wir haben die Mittel in der Hand, um nicht nur unser Bestes zu geben, sondern die Standards für die Softwaresicherheit aktiv und nachhaltig zu verbessern. Jetzt ist es an der Zeit, in die Ausbildung der Architekten des Metaversums zu investieren und die Vorteile einer virtuellen Neuplanung von Produkten und Dienstleistungen, wie wir sie kennen, zu nutzen.
Eine Version dieses Artikels erschien in Infosecurity Magazin. Er wurde aktualisiert und hier syndiziert.
Vor ein paar Jahren haben wir viel darüber gesprochen, dass Cybersicherheit der Wilde Westen ist und dass es dringend notwendig ist, dass sich mehr Menschen mit diesem Thema befassen, ganz zu schweigen von der sehr realen Lebensgefahr, die viele Cyberangriffe darstellen können.
Spulen wir ins Jahr 2023 vor, und es ist erfreulich zu sehen, dass einige Fortschritte gemacht wurden, insbesondere auf Regierungsebene in vielen einflussreichen Ländern. Für uns ist der Weg zu wirklich sicherem Code und sicherer Software jedoch noch lange nicht zu Ende. Das Aufkommen des aktuellen digitalen Lieblingsthemas - des Metaversums - bietet eine riesige neue Angriffsfläche für Schwachstellen auf Code-Ebene und Social Engineering.
Und wir sind einfach nicht auf den Kampf auf diesem neuen Spielfeld vorbereitet, das von Rauch und Spiegeln lebt.
Die gemischte Realität birgt ein erhöhtes Risiko
Das Konzept des Metaversums gibt es schon seit langem, auch wenn es derzeit als "Geschmack des Monats" gilt. Die Online-Plattform Second Life gibt es seit 2003 und bedient eine treue Nische mit einem vollständig anpassbaren Online-Universum, in dem die Avatare der Nutzer über Sprach- und Text-Chat interagieren, Spiele gespielt werden können und Unternehmen wie Adidas offizielle virtuelle Geschäfte anbieten. Auf der reinen Spieleseite bieten Massively Multiplayer Online (MMO)-Spiele wie Fortnite und World of Warcraft ihren Spielern ausgedehnte Welten und sind zunehmend von Mikrotransaktionen abhängig, d. h. davon, echtes Geld für virtuelle Gegenstände zu bezahlen. Allein Fortnite hat in den ersten zwei Jahren seiner Marktpräsenz 4,3 Milliarden Dollar an Mikrotransaktionseinnahmen erzielt.
Es ist ganz klar, dass das Metaversum-Konzept nicht nur von Dauer ist, sondern auch kurz davor steht, einen Mark Zuckerberg-großen Schub in den Mainstream zu bekommen. Dies ist eine aufregende Entwicklung des Internets - oder zumindest der sozialen Medien und eines Teils des elektronischen Handels - wie wir es kennen, aber die Möglichkeiten für Cyberangriffe und schädliche Exploits sind verblüffend.
Die Angriffsfläche des Metaverse ist weitreichend und geht weit über webbasierte Software, APIs und Zahlungsgateways hinaus. Die Peripherieelemente von VR-Headsets und -Zubehör stellen ebenfalls eine Bedrohung für die Kerndaten dar, wobei die integrierte Software in diesen Geräten ein sehr bequemer roter Teppich ist, um an die Daten zu gelangen, wenn sie anfällig sind.
Sicherheitsforscher der Rutgers University haben Anfang des Jahres mit "Face-Mic" die erste Studie dieser Art veröffentlicht, in der untersucht wurde, wie Sprachbefehlsfunktionen von Virtual-Reality-Headsets zu schwerwiegenden Datenschutzverletzungen, den sogenannten "Lauschangriffen", führen könnten. Die Arbeit ist faszinierend und zeigt, dass Bedrohungsakteure potenziell einige Virtual-Reality-Headsets (AR/VR) mit eingebauten Bewegungssensoren nutzen könnten, um sprachassoziierte Gesichtsgesten aufzuzeichnen, was zum potenziellen Diebstahl sensibler Informationen führen könnte, die über sprachaktivierte Steuerelemente übermittelt werden, einschließlich Kreditkarteninformationen und Passwörter. Die Hauptursache für dieses Problem scheint die fehlende Benutzerauthentifizierung zu sein. Da für den Zugriff auf Beschleunigungsmesser und Gyroskop keine Genehmigung erforderlich ist, könnten komplizierte Gesichtsbewegungen, Vibrationen in den Knochen und Vibrationen in der Luft aufgezeichnet und je nach Verhaltensmuster des Nutzers dazu verwendet werden, Bank-PINs oder streng vertrauliche Gesundheitsdaten abzuleiten.
Im Metaverse ist jede Bewegung, die Sie machen, ein Datenpunkt, und wenn der Zugriff darauf durch laxe Softwaresicherheit möglich ist, ist der Anreiz für Angreifer, ihr Glück zu versuchen, enorm.
Intelligente Verträge stehen intelligenten Gegnern gegenüber
Die Metaökonomie erfordert Dezentralisierung, Dematerialisierung, Flexibilität und natürlich Sicherheit ohne Kompromisse. Derzeit gibt es in verschiedenen Kryptowährungsgemeinschaften, wie Shiba Inu, wachsende Metawirtschaften. Um virtuelle Immobilien und andere immaterielle Produkte zu kaufen, werden auf der Blockchain gespeicherte Smart Contracts verwendet.
Wenn man "Blockchain" erwähnt, verstehen die meisten Durchschnittsmenschen (mit ein wenig technischem Verständnis) darunter ein sicheres und anonymes System für das, was als die Zukunft der digitalen Währung angesehen wird. Dabei gibt es jedoch ein kleines Problem: Keine Online-Festung ist uneinnehmbar, und diese intelligenten Verträge sind da keine Ausnahme. Sie sind im Wesentlichen kleine Programme, und sie können gehackt werden.
Smart Contracts sind anfällig für Angriffe, da sie einige recht häufige Schwachstellen aufweisen, nämlich Integer-Überlauf und -Unterlauf, Replay-Angriffe und den (sehr schädlichen) Blockchain-zentrierten Fehler, der zu Reentrancy-Angriffen führt, wobei letzterer dazu führen kann, dass ein Nutzer sein gespeichertes Kryptoguthaben verliert. All diese Angriffe werden durch schlechte Codierungsmuster, die zu ausnutzbaren Schwachstellen führen, und unsichere Designgrundlagen ermöglicht.
Diese Technologie wird sich immer weiter verbreiten, doch so wie es heute aussieht, werden wir Schwierigkeiten haben, genügend sicherheitsbewusste Entwickler zu finden, um ein sicheres, ausfallsicheres Metaversum zu gewährleisten. Unternehmen müssen sich über die Tragweite ihrer Metaverse-Beteiligung im Klaren sein, insbesondere wenn Daten und Währungen auf dem Spiel stehen... und es ist schwer, sich ein Szenario vorzustellen, in dem dies nicht der Fall wäre.
Es ist ein unreguliertes Umfeld, und Sie sind (noch) das Produkt
Wie wir es aus Filmen, dem Fernsehen, Second Life und Videospielen kennen, können wir in einer metaversen Umgebung sein, wer wir wollen. In einer virtuellen Welt sind die Möglichkeiten nur durch die eigene Vorstellungskraft begrenzt, und diese Flexibilität ist ein großer Anreiz für die Nutzer. Die Kehrseite der Medaille ist jedoch, dass das geplante Ausmaß von Meta einfach zu groß und zu dezentral ist, um es in einer Weise zu überwachen, die es aus der Sicht der Sicherheit sicher machen würde. Betrügereien werden unvermeidlich sein, und geschickte Kriminelle werden aus der Perspektive des Social Engineering noch mehr Möglichkeiten haben, damit zu arbeiten.
Sensible Nutzerdaten sind das neue Gold, und das Metaverse hat das Potenzial, die reichhaltigste und vollständigste Datenquelle zu sein, die wir bisher gesehen haben, vorausgesetzt, die geplante Einführung verläuft wie geplant. Es kann zwar davon ausgegangen werden, dass die mit dem Metaverse verbundenen Softwareentwicklungen den aktuellen Regulierungsstandards und Compliance-Maßnahmen entsprechen werden, doch diese müssen aktualisiert werden, um ein schnell wachsendes digitales Universum und seine Wirtschaft zu unterstützen. Der Schlüssel dazu ist, dass Unternehmen die Verantwortung für die Sicherheit ihrer Beiträge zum Metaverse übernehmen, mit einem internen Sicherheitsniveau, das sicherstellt, dass jede Person, die an der Software arbeitet, bei jedem Schritt ihres Prozesses an die Sicherheit denkt und sie umsetzt, insbesondere die Entwicklungskohorte.
Warum sichere Kodierung für den Erfolg des Metaversums entscheidend sein wird
So viel Spaß es auch machen mag, durch eine gesetzlose digitale Dimension zu galoppieren, repräsentiert durch einen Avatar, der all das ist, was man in der realen Welt sein möchte, dürfen wir nie vergessen, dass hinter jedem "Charakter" ein Mensch steht. Und wenn die Daten und Finanzen echter Menschen auf dem Spiel stehen, ist das weit entfernt von einem Spiel.
Im Bereich der Cybersicherheit sind wir uns sehr wohl bewusst, dass Fehler verheerende Folgen haben können, und die Integrität jeder Komponente des Metaversums darf nicht auf die lange Bank geschoben werden, wenn eine breite Akzeptanz und das Vertrauen der Verbraucher erreicht werden sollen.
Unternehmen können jetzt mit der Planung beginnen, indem sie eine realistische assessment ihrer Sicherheitsreife durchführen und dabei den Schwerpunkt auf die Verbesserung der Sicherheitsfähigkeiten der Entwickler legen, die aktiv an der Software arbeiten. Wie aus der Studie der Rutgers University hervorgeht, ist die Zugangskontrolle nur eine der Schwachstellen, die zu einem weit verbreiteten Datenleck führen können, und sicherheitsbewusste Entwickler wären weitaus besser in der Lage, diese Probleme bereits beim Schreiben des Codes und lange vor der Eingabe in den verbindlichen Code zu bewältigen.
Sich auf der Ausrede des Mangels an Cybersecurity-Fachkräften auszuruhen, wird nach einer großen Datenpanne im Metaversum nicht mehr helfen, und wir haben die Mittel in der Hand, um nicht nur unser Bestes zu geben, sondern die Standards für die Softwaresicherheit aktiv und nachhaltig zu verbessern. Jetzt ist es an der Zeit, in die Ausbildung der Architekten des Metaversums zu investieren und die Vorteile einer virtuellen Neuplanung von Produkten und Dienstleistungen, wie wir sie kennen, zu nutzen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Infosecurity Magazin. Er wurde aktualisiert und hier syndiziert.
Vor ein paar Jahren haben wir viel darüber gesprochen, dass Cybersicherheit der Wilde Westen ist und dass es dringend notwendig ist, dass sich mehr Menschen mit diesem Thema befassen, ganz zu schweigen von der sehr realen Lebensgefahr, die viele Cyberangriffe darstellen können.
Spulen wir ins Jahr 2023 vor, und es ist erfreulich zu sehen, dass einige Fortschritte gemacht wurden, insbesondere auf Regierungsebene in vielen einflussreichen Ländern. Für uns ist der Weg zu wirklich sicherem Code und sicherer Software jedoch noch lange nicht zu Ende. Das Aufkommen des aktuellen digitalen Lieblingsthemas - des Metaversums - bietet eine riesige neue Angriffsfläche für Schwachstellen auf Code-Ebene und Social Engineering.
Und wir sind einfach nicht auf den Kampf auf diesem neuen Spielfeld vorbereitet, das von Rauch und Spiegeln lebt.
Die gemischte Realität birgt ein erhöhtes Risiko
Das Konzept des Metaversums gibt es schon seit langem, auch wenn es derzeit als "Geschmack des Monats" gilt. Die Online-Plattform Second Life gibt es seit 2003 und bedient eine treue Nische mit einem vollständig anpassbaren Online-Universum, in dem die Avatare der Nutzer über Sprach- und Text-Chat interagieren, Spiele gespielt werden können und Unternehmen wie Adidas offizielle virtuelle Geschäfte anbieten. Auf der reinen Spieleseite bieten Massively Multiplayer Online (MMO)-Spiele wie Fortnite und World of Warcraft ihren Spielern ausgedehnte Welten und sind zunehmend von Mikrotransaktionen abhängig, d. h. davon, echtes Geld für virtuelle Gegenstände zu bezahlen. Allein Fortnite hat in den ersten zwei Jahren seiner Marktpräsenz 4,3 Milliarden Dollar an Mikrotransaktionseinnahmen erzielt.
Es ist ganz klar, dass das Metaversum-Konzept nicht nur von Dauer ist, sondern auch kurz davor steht, einen Mark Zuckerberg-großen Schub in den Mainstream zu bekommen. Dies ist eine aufregende Entwicklung des Internets - oder zumindest der sozialen Medien und eines Teils des elektronischen Handels - wie wir es kennen, aber die Möglichkeiten für Cyberangriffe und schädliche Exploits sind verblüffend.
Die Angriffsfläche des Metaverse ist weitreichend und geht weit über webbasierte Software, APIs und Zahlungsgateways hinaus. Die Peripherieelemente von VR-Headsets und -Zubehör stellen ebenfalls eine Bedrohung für die Kerndaten dar, wobei die integrierte Software in diesen Geräten ein sehr bequemer roter Teppich ist, um an die Daten zu gelangen, wenn sie anfällig sind.
Sicherheitsforscher der Rutgers University haben Anfang des Jahres mit "Face-Mic" die erste Studie dieser Art veröffentlicht, in der untersucht wurde, wie Sprachbefehlsfunktionen von Virtual-Reality-Headsets zu schwerwiegenden Datenschutzverletzungen, den sogenannten "Lauschangriffen", führen könnten. Die Arbeit ist faszinierend und zeigt, dass Bedrohungsakteure potenziell einige Virtual-Reality-Headsets (AR/VR) mit eingebauten Bewegungssensoren nutzen könnten, um sprachassoziierte Gesichtsgesten aufzuzeichnen, was zum potenziellen Diebstahl sensibler Informationen führen könnte, die über sprachaktivierte Steuerelemente übermittelt werden, einschließlich Kreditkarteninformationen und Passwörter. Die Hauptursache für dieses Problem scheint die fehlende Benutzerauthentifizierung zu sein. Da für den Zugriff auf Beschleunigungsmesser und Gyroskop keine Genehmigung erforderlich ist, könnten komplizierte Gesichtsbewegungen, Vibrationen in den Knochen und Vibrationen in der Luft aufgezeichnet und je nach Verhaltensmuster des Nutzers dazu verwendet werden, Bank-PINs oder streng vertrauliche Gesundheitsdaten abzuleiten.
Im Metaverse ist jede Bewegung, die Sie machen, ein Datenpunkt, und wenn der Zugriff darauf durch laxe Softwaresicherheit möglich ist, ist der Anreiz für Angreifer, ihr Glück zu versuchen, enorm.
Intelligente Verträge stehen intelligenten Gegnern gegenüber
Die Metaökonomie erfordert Dezentralisierung, Dematerialisierung, Flexibilität und natürlich Sicherheit ohne Kompromisse. Derzeit gibt es in verschiedenen Kryptowährungsgemeinschaften, wie Shiba Inu, wachsende Metawirtschaften. Um virtuelle Immobilien und andere immaterielle Produkte zu kaufen, werden auf der Blockchain gespeicherte Smart Contracts verwendet.
Wenn man "Blockchain" erwähnt, verstehen die meisten Durchschnittsmenschen (mit ein wenig technischem Verständnis) darunter ein sicheres und anonymes System für das, was als die Zukunft der digitalen Währung angesehen wird. Dabei gibt es jedoch ein kleines Problem: Keine Online-Festung ist uneinnehmbar, und diese intelligenten Verträge sind da keine Ausnahme. Sie sind im Wesentlichen kleine Programme, und sie können gehackt werden.
Smart Contracts sind anfällig für Angriffe, da sie einige recht häufige Schwachstellen aufweisen, nämlich Integer-Überlauf und -Unterlauf, Replay-Angriffe und den (sehr schädlichen) Blockchain-zentrierten Fehler, der zu Reentrancy-Angriffen führt, wobei letzterer dazu führen kann, dass ein Nutzer sein gespeichertes Kryptoguthaben verliert. All diese Angriffe werden durch schlechte Codierungsmuster, die zu ausnutzbaren Schwachstellen führen, und unsichere Designgrundlagen ermöglicht.
Diese Technologie wird sich immer weiter verbreiten, doch so wie es heute aussieht, werden wir Schwierigkeiten haben, genügend sicherheitsbewusste Entwickler zu finden, um ein sicheres, ausfallsicheres Metaversum zu gewährleisten. Unternehmen müssen sich über die Tragweite ihrer Metaverse-Beteiligung im Klaren sein, insbesondere wenn Daten und Währungen auf dem Spiel stehen... und es ist schwer, sich ein Szenario vorzustellen, in dem dies nicht der Fall wäre.
Es ist ein unreguliertes Umfeld, und Sie sind (noch) das Produkt
Wie wir es aus Filmen, dem Fernsehen, Second Life und Videospielen kennen, können wir in einer metaversen Umgebung sein, wer wir wollen. In einer virtuellen Welt sind die Möglichkeiten nur durch die eigene Vorstellungskraft begrenzt, und diese Flexibilität ist ein großer Anreiz für die Nutzer. Die Kehrseite der Medaille ist jedoch, dass das geplante Ausmaß von Meta einfach zu groß und zu dezentral ist, um es in einer Weise zu überwachen, die es aus der Sicht der Sicherheit sicher machen würde. Betrügereien werden unvermeidlich sein, und geschickte Kriminelle werden aus der Perspektive des Social Engineering noch mehr Möglichkeiten haben, damit zu arbeiten.
Sensible Nutzerdaten sind das neue Gold, und das Metaverse hat das Potenzial, die reichhaltigste und vollständigste Datenquelle zu sein, die wir bisher gesehen haben, vorausgesetzt, die geplante Einführung verläuft wie geplant. Es kann zwar davon ausgegangen werden, dass die mit dem Metaverse verbundenen Softwareentwicklungen den aktuellen Regulierungsstandards und Compliance-Maßnahmen entsprechen werden, doch diese müssen aktualisiert werden, um ein schnell wachsendes digitales Universum und seine Wirtschaft zu unterstützen. Der Schlüssel dazu ist, dass Unternehmen die Verantwortung für die Sicherheit ihrer Beiträge zum Metaverse übernehmen, mit einem internen Sicherheitsniveau, das sicherstellt, dass jede Person, die an der Software arbeitet, bei jedem Schritt ihres Prozesses an die Sicherheit denkt und sie umsetzt, insbesondere die Entwicklungskohorte.
Warum sichere Kodierung für den Erfolg des Metaversums entscheidend sein wird
So viel Spaß es auch machen mag, durch eine gesetzlose digitale Dimension zu galoppieren, repräsentiert durch einen Avatar, der all das ist, was man in der realen Welt sein möchte, dürfen wir nie vergessen, dass hinter jedem "Charakter" ein Mensch steht. Und wenn die Daten und Finanzen echter Menschen auf dem Spiel stehen, ist das weit entfernt von einem Spiel.
Im Bereich der Cybersicherheit sind wir uns sehr wohl bewusst, dass Fehler verheerende Folgen haben können, und die Integrität jeder Komponente des Metaversums darf nicht auf die lange Bank geschoben werden, wenn eine breite Akzeptanz und das Vertrauen der Verbraucher erreicht werden sollen.
Unternehmen können jetzt mit der Planung beginnen, indem sie eine realistische assessment ihrer Sicherheitsreife durchführen und dabei den Schwerpunkt auf die Verbesserung der Sicherheitsfähigkeiten der Entwickler legen, die aktiv an der Software arbeiten. Wie aus der Studie der Rutgers University hervorgeht, ist die Zugangskontrolle nur eine der Schwachstellen, die zu einem weit verbreiteten Datenleck führen können, und sicherheitsbewusste Entwickler wären weitaus besser in der Lage, diese Probleme bereits beim Schreiben des Codes und lange vor der Eingabe in den verbindlichen Code zu bewältigen.
Sich auf der Ausrede des Mangels an Cybersecurity-Fachkräften auszuruhen, wird nach einer großen Datenpanne im Metaversum nicht mehr helfen, und wir haben die Mittel in der Hand, um nicht nur unser Bestes zu geben, sondern die Standards für die Softwaresicherheit aktiv und nachhaltig zu verbessern. Jetzt ist es an der Zeit, in die Ausbildung der Architekten des Metaversums zu investieren und die Vorteile einer virtuellen Neuplanung von Produkten und Dienstleistungen, wie wir sie kennen, zu nutzen.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
