La malveillance dans le métaverse : combattre les cybermenaces connues sur une nouvelle frontière
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
L'avènement du métaverse, le chouchou numérique du moment, ajoute une nouvelle surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale. Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu où règne la fumée et les miroirs.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée dans Magazine Infosecurity. Il a été mis à jour et diffusé ici.
UNE il y a quelques années, nous avons beaucoup parlé de la façon dont la cybersécurité est le Far West, et il était urgent que davantage de personnes s'y intéressent en général, sans parler du risque très réel pour la vie que de nombreuses cyberattaques peuvent représenter pour la vie.
En 2023, il est agréable de constater que certains progrès ont été réalisés, en particulier au niveau gouvernemental de nombreux pays influents. Pour nous, cependant, le chemin vers un code véritablement sécurisé et des logiciels plus sûrs est sans fin. L'avènement du métaverse, le chouchou numérique du moment, ajoute une vaste surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale.
Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu qui ne fait que de la fumée et des miroirs.
La réalité mixte s'accompagne d'un risque accru
Malgré son statut actuel de Saveur du mois, le concept de métaverse existe depuis longtemps. La plateforme en ligne Second Life existe depuis 2003 et dessert un créneau fidèle avec un univers en ligne entièrement personnalisable dans lequel les avatars des utilisateurs interagissent via des chats vocaux et textuels, où des jeux peuvent être joués et des entreprises comme Adidas proposent des boutiques virtuelles officielles. Du point de vue purement ludique, les jeux en ligne massivement multijoueurs (MMO) tels que Fortnite et World of Warcraft proposent des mondes étendus à leurs joueurs et dépendent de plus en plus des microtransactions ou de l'argent réel pour des objets virtuels. Fortnite a été créé seul 4,3 milliards de dollars de revenus de microtransactions au cours de ses deux premières années d'existence sur le marché.
Il est très clair que non seulement le concept de métaverse est là pour durer, mais qu'il est également sur le point de devenir un objet de la taille de Mark Zuckerberg intégrer le courant dominant. Il s'agit d'une évolution passionnante de l'Internet, ou du moins des réseaux sociaux et d'une partie du commerce électronique, tel que nous le connaissons, mais les opportunités de cyberattaques et d'exploits dommageables sont époustouflantes.
La surface d'attaque du métaverse est vaste et s'étend bien au-delà des logiciels Web, des API et des passerelles de paiement. Les éléments périphériques des casques et accessoires de réalité virtuelle constituent également une menace pour les données de base. Le logiciel intégré à ces appareils constitue un tapis rouge très pratique pour les personnes vulnérables.
Des chercheurs en sécurité de l'université Rutgers ont révélé »Micro facial» plus tôt cette année, la première étude de ce type examinant comment les fonctionnalités de commande vocale des casques de réalité virtuelle peuvent entraîner de graves atteintes à la vie privée, connues sous le nom d' « attaques d'écoute ». Les travaux sont fascinants, car ils montrent que les acteurs de la menace pourraient utiliser certains casques de réalité virtuelle (AR/VR) dotés de détecteurs de mouvement intégrés pour enregistrer les gestes faciaux associés à la parole, ce qui pourrait entraîner le vol d'informations sensibles communiquées via des commandes vocales, notamment des informations de carte de crédit et des mots de passe. La cause première du problème semble être un manque d'authentification des utilisateurs. L'accès à l'accéléromètre et au gyroscope ne nécessitant aucune autorisation, les mouvements complexes du visage, les vibrations osseuses et les vibrations aériennes pouvaient être enregistrés et utilisés pour déduire tout, des codes PIN bancaires aux dossiers médicaux très restreints, en fonction des habitudes de l'utilisateur.
Dans le métaverse, chaque mouvement que vous effectuez est un point de données, et si l'accès à celui-ci est possible grâce à une sécurité logicielle laxiste, les attaquants sont fortement incités à tenter leur chance.
Les contrats intelligents font face à des adversaires plus intelligents
La méta-économie exige la décentralisation, la dématérialisation, la flexibilité et, bien sûr, la sécurité sans compromis. À l'heure actuelle, il existe des microéconomies de métavers en pleine croissance dans diverses communautés de crypto-monnaies, comme Shiba Inu. Afin d'acheter de l'immobilier virtuel et d'autres produits immatériels, contrats intelligents stockées sur la blockchain sont utilisées.
Mentionnez « blockchain », et la plupart des gens moyens (un peu férus de technologie) la considèrent comme un système sécurisé et anonyme pour ce qui est considéré comme l'avenir de la monnaie numérique. Cela pose toutefois un petit problème : aucune forteresse en ligne n'est impénétrable, et ces contrats intelligents ne font pas exception. Ce sont essentiellement de petits programmes qui peuvent être piratés.
Les contrats intelligents sont susceptibles d'être exploités en raison de quelques vulnérabilités assez courantes, à savoir le débordement et le sous-débit d'entiers, les attaques par replay et le bogue (très dommageable) centré sur la blockchain qui entraîne des attaques de réentrée, ces dernières pouvant entraîner la vidange d'un utilisateur de son solde cryptographique stocké. Toutes ces attaques sont rendues possibles par de mauvais modèles de codage qui entraînent des vulnérabilités exploitables et par des principes de conception peu sûrs.
Cette technologie ne fera que devenir plus largement utilisée, mais, dans l'état actuel des choses, nous aurons du mal à trouver suffisamment de développeurs soucieux de la sécurité pour garantir un métaverse sécurisé et infaillible. Les organisations doivent comprendre l'ampleur de leur participation au métaverse, en particulier si les données et les devises sont en jeu... et il est difficile d'imaginer un scénario où ce ne serait pas le cas.
Il s'agit d'un environnement non réglementé, et vous êtes (toujours) le produit
Comme nous l'avons vu au cinéma, à la télévision, Second Life, et les jeux vidéo, un environnement métavers nous permet d'être qui nous voulons. Dans un monde virtuel, les possibilités ne sont limitées que par votre imagination, et cette flexibilité constitue un atout majeur pour les utilisateurs. Cependant, l'inconvénient est qu'à l'échelle planifiée de quelque chose comme Meta, il est tout simplement trop vaste et décentralisé pour être surveillé de manière à le rendre étanche du point de vue de la sécurité. Les escroqueries seront inévitables, et les criminels expérimentés auront encore plus de mal à affronter du point de vue de l'ingénierie sociale.
Les données sensibles des utilisateurs sont le nouvel or, et le métaverse a le potentiel d'être la source de données la plus riche et la plus complète que nous ayons vue à ce jour, fournissant adoption prévue se déroule comme prévu. Bien que l'on puisse supposer que les versions de logiciels liées au métaverse respecteront les normes réglementaires et les mesures de conformité en vigueur, celles-ci nécessiteront des mises à jour adaptées à un univers numérique en pleine expansion et à son économie. À cet égard, les organisations assumeront la responsabilité de la sécurité de leurs contributions au métaverse, avec un niveau de maturité en matière de sécurité interne qui garantit que chaque personne travaillant sur le logiciel réfléchit à la sécurité et la met en œuvre à chaque étape de son processus, en particulier pour la cohorte de développement.
Pourquoi le codage sécurisé sera crucial pour le succès du métaverse
Aussi amusant que cela puisse être de parcourir une dimension numérique anarchique, représentée par un avatar qui représente tout ce que vous aimeriez être dans le monde réel, nous ne devons jamais oublier qu'un être humain se cache derrière chaque « personnage ». Et lorsque les données et les finances de personnes réelles sont en jeu, c'est très loin d'être un jeu.
Dans le domaine de la cybersécurité, nous sommes bien conscients que les erreurs ont des conséquences qui peuvent être vraiment dévastatrices, et l'intégrité de chaque composant du métaverse ne peut pas être négligée si l'on veut que l'adoption généralisée et la confiance des consommateurs se concrétisent.
Les entreprises peuvent commencer à planifier dès maintenant en procédant à une évaluation réaliste de leur maturité en matière de sécurité, en mettant l'accent sur le renforcement des compétences en matière de sécurité des développeurs travaillant activement sur les logiciels. Comme le montre l'étude de l'université Rutgers, le contrôle d'accès n'est qu'une vulnérabilité puissante qui peut entraîner une fuite de données généralisée, et les développeurs soucieux de la sécurité seraient bien mieux placés pour résoudre ces problèmes au fur et à mesure de l'écriture du code, et bien avant qu'ils ne saisissent du code validé.
Prétexter la pénurie de compétences en cybersécurité ne suffira pas après une violation majeure des données du métaverse, et nous avons les outils devant nous pour non seulement faire de notre mieux, mais aussi pour améliorer activement les normes de sécurité logicielle pour de bon. Le moment est venu d'investir dans la formation des architectes du métaverse et de récolter les avantages d'une réimagination virtuelle des produits et services tels que nous les connaissons.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
