深度长文:虚拟现实与增强现实带来全新的安全挑战

2017-06-09 13:20 智能硬件 来源:创头条 查看原文

编译/导读:张珂


试想,当医生正在对创伤应激综合症患者进行虚拟现实治疗时,患者头戴设备的屏幕上突然出现不知从何而来,异常恐怖的画面;


当你在家中兴致盎然、轻松惬意地对公司的新建筑模型进行远程3D虚拟调试时,有人已经悄悄修改了设计参数;


或者当你带着虚拟现实设备远程看房时,有人已经窃取了你的重要数据……没错,这正是与虚拟现实、增强现实时代如影随行的网络安全问题。


哪里有网络,哪里就有黑客。在虚拟现实与增强现实日益走进主流的同时,网络攻击手段同样在更新、升级,并借着这一新的计算平台大肆破坏。这是一个新的重要课题,让我们重新思考互联网、物联网与数据安全,同时也值得监管者、厂商、商业应用部门与消费者提升关注。


当然,任何的新问题,在创新者看来,都是新机会。众多公司就正在围绕这些新问题开发新产品,以保卫虚拟现实世界之安全。


注:本文由资本实验室编译,文章来自alleywatch.com,作者Samantha Donaldson。


过去几年中,尽管许多游戏与娱乐平台已经开发出了琳琅满目的虚拟现实(以下简称VR)内容,但VR的应用远不止单一的游戏行业。事实上,VR技术在IT领域的影响,足以证明该技术能够在商业和技术行业中得到有效而持续的应用。


尽管虚拟现实和增强现实涉及的专业公司名单堪称完美,但网络和数据安全问题仍然存在。据相关报告显示,2016年,数据泄露事件增加了40%,其中45%的泄密发生在商业部门。通常情况下,VR设备都缺少强大的安全系统,现代黑客可以从这些设备入手,黑入相关平台,从而对企业、政府部门甚至消费者造成严重损失。


虚拟现实与增强现实的安全挑战-1.png


然而,每发生一起新的数据入侵事件,就会有一家公司崛起,并给出相应的解决方案,以便使这种技术更为安全。此外,很多公司已经开始利用隐写术(Steganography)和SpatialOS等方式来防止而不是打击网络安全攻击,结果不仅是积极的,而且正在改变我们整体上看待互联网和技术的方式。


一、IT、设计与开发中的虚拟与混合现实


在过去几年中,随着第一个虚拟现实原型产品发布,科技公司和消费者就一直难掩其兴奋的情绪和对产品的需求。据研究公司SuperData的报告显示,2016年,全球VR头显设备销量达630万台;另据Digi-Capital报告,虚拟现实领域的投资已经超过二十亿美元。


虚拟现实在商业中的影响已经非常广泛,从3D建模、测试到3-DAT数据分析,公司可以使用3D虚拟技术来进行财务和业务数据评估。然而,虚拟现实和增强现实的未来前景,远远超出了其原有控制设备的设定。


例如,通过使用CAVE触感手套及沉浸式系统,如西班牙公司Neurodigital Technologies开发的虚拟现实手套Gloveone,以及HTC VIVE等动作捕捉设备,你不仅可以测试和操纵模型、产品和建筑设计,而且还具有真实的触感反馈,就像真实物体一样。


此外,英国华威大学物理研究员Richard Wellard创建了一家名为3-DAT的研究公司,致力于帮助企业减少趋势分析的时间,并使用三维数据找到改进其业务模式的方法。这种3D技术可用于跟踪IT组合管理和业务模式改进的数据,并可帮助企业的IT部门轻松审查大量数据。


作为华威大学研究团队的一部分,负责带电粒子在近地空间中三维路径分析项目,Wellard发现利用3D技术进行数据分析减少了编译和分析的时间,是非常有效的一种方法。


因此,他创建了虚拟现实3D数据建模公司,致力于基于虚拟平台的数据分析工作,使公司能够以更高效和更互动的方式实时查看其业务数据,并制定多项改进计划。 然而,即使集成了RESTful API的FileMaker、IBM的Watson Analytics、Linux的R或ROOT工具等软件,也可以将你的业务中正在使用的程序集成到虚拟平台中,从而更好地分析。


企业应用虚拟现实技术的另一种应用是将虚拟现实技术接入网页设计工具中,使网页设计过程的交互性更强、更加易用。一些人预测这可能意味着未来几十年对页面设计师的需求将下降。这个市场目前还很小,如果未来能够形成更有冲击力的设计形式,将它整合到公司的网页设计部门中,将会获得更大的优势。


通过使用JavaScript的API、WebVR等虚拟现实设计工具,并且在Mozilla的MozVR中查看虚拟现实设计的一些方法,你将可以开始在Oculus Rift、HTC Vive和Google Cardboard等多个平台上学习VR设计。


然而,只要与任何具有低安全标准的设备连接,身份窃取和数据泄露的威胁就仍然存在。随着630万VR头显设备连接到物联网,大规模恶意软件感染并渗透这些头显的个人数据的可能性是巨大的,这些VR和IT公司在未来十年所采取的行动将直接影响其消费者、企业和政府部门的安全。


二、虚拟现实、增强现实、物联网——它们安全吗?


随着对虚拟现实应用的需求日益增加,有些公司为了能够领先竞争对手,选择绕过那些隐私和安全标准,使VR设备在连接到物联网或其它程序时存在风险。


关于导致安全问题的供求问题,美国职业足球赛事VR内容提供方Laduma公司的CEO Ben Smith表示:“为了领先竞争对手,而将新技术快速推入市场,会存在一定的犯错风险。”在过去几年中,AR/VR在市场备受欢迎,面对2016年庞大的市场需求,公司要么被迫将存在一定安全风险的产品投入市场,要么放弃这块市场。


毫无疑问,通过多种不安全设备接入互联网,为黑客提供了一个获取各种数据的机会。黑客可以从VR平台获取用户自己提交的数据,也可以收集未经同意的用于商业营销的数据。事实上,Tata通讯公司的Srinivasan CR曾经说过,“连接到网络中的每个设备都存在潜在的漏洞,可以用来渗透网络本身和与其相连接的其它设备。”


当去年三月Oculus Rift发布时,他们的协议条款表示,他们不仅会获取用户的基本信息,还会搜集更多的个人信息,如用户的电子邮件、职业、出生日期和居住地点,根据其位置、人口和兴趣,针对这些人建立营销分析。 此外,Oculus Rift还会对用户的在线交易、网络和APP使用情况进行跟踪,以便公司进行定向性的营销活动,包括你想要购买的或需要的东西。


然而,虽然该公司声称已经部署了大量的安全措施,但是这些用户数据收集与连接到服务器的缺乏安全防范的设备大量向身份窃贼、数据操纵者、视觉恐怖主义和网络钓鱼等黑客敞开。


使用增强现实游戏(如Pokemon Go)或混合现实技术(如Dan Gottlieb)进行创作时,必须要对用户位置进行定位。当使用安全标准较低的VR设备时,会对个人用户构成威胁。黑客会从VR设备入手追踪你,对你进行攻击(如吸引Pokemon Go玩家进入小巷并实施抢劫),或者发现你经常访问的银行和其它位置,从而窃取你更多的个人信息。


最后,诸如OpenSimulator Metaverse的HyperGrid和内容分发网络(CDN)等应用程序是黑客已经开始攻击VR用户及其个人信息的另一种方式。 特别是通过超链接与各种VR设备连接,这些链接通常都是不安全的,黑客可以渗透这些设备并获取他们需要的数据。


自从E3游戏展会允许各公司使用基于地理位置的分布式服务器向消费者提供与VR兼容的视频内容,CDN就在VR世界中占据一席之地。然而,过去几年里,DDoS CDN攻击持续上升,黑客已经找到新方法渗透这些CDN的防火墙,进行不停的循环攻击。基于这种方法,利用VR中的CDN可能会导致无数设备被感染,并形成一个僵尸网络,导致无数消费者的个人数据遭到泄露和失窃。


三、视觉恐怖主义、僵尸网络、面部识别与网络钓鱼


VR方面的身份盗用是相对简单的,视觉恐怖主义、僵尸网络、面部识别和网络钓鱼都是稍微比较保守的方式,黑客们已经从VR中获取好处。尽管许多消费者不知道这些恶意的网络攻击形式及其运作方式,但是它们对全球的VR用户和公司仍然构成严重的威胁。


特别是视觉恐怖主义备受多个国家关注,因为它可以加剧一个人使用VR的负面影响,如头晕、恶心、肌肉抽搐、视力模糊、头痛和癫痫发作。黑客通过入侵没有安全保护的设备并传播恶意软件,可以产生响亮的闪烁、炫目的色彩或旋转的屏幕,从而对VR用户造成大量视觉攻击,甚至会导致消费者死亡。


此外,北卡罗来纳大学的一组研究人员最近发现了一种可以绕过现代人脸识别,在VR设备屏幕上合成人脸的新验证方式。过去,人脸识别系统在很多地方被使用,包括移动支付和大公司的重要数据安全防范措施,但这些识别软件可能很容易被屏幕上使用的图片所迷惑。当前,这些设备集中在人脸和皮肤纹理上的近80个不同的节点,以更复杂的方式分析人脸。


虚拟现实与增强现实的安全挑战-2.png


尽管如此,北卡罗来纳大学可以从每个被测试者的个人社交网络帐户中获取几张照片,并创建高精度的3D模型,然后将其显示在VR设备的屏幕上,并通过相机装置寻求实现面部识别。在测试时,所有被测试的五个应用程序都不知道真实的人脸和3D模型之间的区别,这为公司和消费者带来了另一个非常规的、非常可怕的安全威胁。


同样,网络钓鱼也是黑客进行恶意攻击的另一种方法。黑客通过创造虚假身份,以诱骗他人进行他们通常不会做的事情。例如,黑客进入VR设备并使用假的虚拟对象或伪装成系统更新,消费者可能会无意间将木马部署到网络中或者将其密码泄漏给黑客,导致黑客轻松入侵,从云端操纵数据。


另一个威胁是僵尸网络的恶意病毒,特别是去年发生的物联网病毒感染,如Mirai病毒通过物联网设备进行大量的DDoS攻击。该恶意软件使用一张近60个常见的出厂默认用户名和密码为目标的安全标准较低的设备列表,从而绕过反DOS软件,监视并控制服务器设备。


与BASHLITE恶意软件一样,去年9月,Mirai病毒攻击了安全研究机构Biran Krebs的网站,攻击强度创纪录的达到了665 G,但这远不及该病毒对物联网设备造成的攻击。在攻击安全研究机构Biran Krebs后的一个月,10月份,该病毒将其在Krebs攻击中感染的网络摄像头和一些新感染的设备接入到网络中,形成更多的设备感染,并对美国DNS服务提供商Dyn进行攻击,导致包括Github、Twitter、Spotify、Reddit、Netflix等多个大型网站无法访问。


这次攻击创造了一个新纪录,攻击强度高达1.2T。对此,英国半导体知识产权提供商ARM公司的CEO Simon Segars表示:“如果你是构建IoT产品的设备制造商,你真的应该担心固件的更新。”事实上,ARM已经开发出物联网设备管理解决方案Mbed Clou,以帮助企业更新设备芯片,并定制操作系统,以防止诸如针对Dyn和Krebs的DDoS攻击。


除此之外,其他多家公司已经开始防范僵尸网络安全问题,非常认真地部署了新的设备和程序,以防止数据入侵和DDoS攻击。特别是今年1月23日成立的Securifi公司致力于帮助IT专业人士利用VR技术或检索数据为公司创建专门针对僵尸网络的家用设备,以避免安全性较差的家用设备受到黑客的影响。


虚拟现实与增强现实的安全挑战-3.png


四、Mirai病毒对我们的启示


IT专业人士,以及Dyn和KrebsOnSecurity公司通过分析Mirai攻击,确定问题的关键在于:攻击主要来自安全性较差的网络摄像头和DVR。这表明,安全性较差的家用设备是Mirai病毒攻击的目标。也就是说,除了缺乏安全措施的VR设备之外,由于普通消费者一般不重视网络安全,经常使用弱密码或默认设置,极易引起恶意病毒的攻击,如Mirai病毒进行的DDoS攻击。


事实上,多家公司声称,这种攻击证明,在2017年,人工智能在安全性较差的电子设备(如VR设备和手机)中的使用无疑将成为下一个受到恶意软件和黑客攻击的系统。尽管像T-Mobile、Oculus和Sony等公司承诺在未来几年内提供更高的安全标准,T-Mobile也正在对他们的4G LTE网络采取措施,以确保云安全,这个问题现在仍然很普遍,其影响可能会导致严重的数据泄漏。


在这个问题上,Positive Technology公司的Alex Matthews甚至表示:“人工智能也许是最危险的VR网络攻击对象。人工智能的安全检查是一件非常艰巨的任务,因为其行为和反应的范围非常广泛。” 就此而言,无需多想,可以假设2017年将是VR数据泄露的一年,而与之斗争的公司将继续帮助企业利用虚拟现实系统,而不用担心在此过程中成为数据入侵的受害者,从而延续VR技术的扩展及其盈利能力。


同样,在网络安全机构Krebs遭到攻击后,Brian Krebs表示:“互联网将很快充斥着各种攻击。”尽管这是种看似相当悲观的看法,但是Krebs和无数其他IT专业人士所看到的:连接到安全性较差的设备对物联网的不利影响并不遥远。通过对这两次攻击的数据分析,并学会如何避免攻击,我们可以确保数百万VR用户,包括利用这种新技术进行数据分析的无数专业设备,不会成为黑客和僵尸网络的下一个目标。


五、使用SpatialOS、隐写术、云安全、僵尸网络、IoT安全以及负载平衡来促进数据安全


随着数据安全成为VR技术接入物联网的一个问题,很多公司都看到了VR技术对数据分析、3D建模造成的不可估量的影响。安全和不安全设备间的差距也是各公司都必须要正确选择和面对的。例如,当两名英国政府代表来到虚拟仿真公司Improbable,以使用SpatialOS软件创建一个网络3D模型,Improbable就获得了某种认可。


通过使用SpatialOS,能够大规模地展示边界网关协议(BGP)的动态模型,并研究各种弱点,以确定黑客可能会攻击或正在攻击的位置,并可以在问题出现之前,防止多种数据泄露。这种3D建模的形式是一种令人印象深刻且非常有用的工具,政府可以用来监管那些安全性较差的设备及其供应商。


此外,随着众多公司追赶VR潮流,在家中从虚拟模型中远程访问工作数据或使用3D技术对产品进行测试正在成为黑客攻击安全性较差的VR设备,并获取全球各地公司敏感信息的另一种方式。因此,在共享到VR的文件(如音频或视频)中使用隐写术,正在慢慢成为一种更常见的方式。


随着众多VR设备连接到云端,并成为物联网的一部分,很多企业已经试图针对云安全的弱点,以保护这些连接设备。然而,由于产生的数据量非常大,有些人则认为,使用PCI DSS安全标准和数据匿名化技术是应对数据安全问题的唯一希望。


例如,通过使用PCI DSS数据安全标准,他们倾向专注于构建云安全以及CDN安全性,同时通过负载平衡来增加并发用户和应用程序的可靠性。英国提塞德大学的Joao Ferreira是数据匿名化的坚定支持者,他甚至在过去表示:“需要新的数据匿名化技术,以便VR设备在收集新数据时不需要识别其原始生产者。”


防止僵尸网络的物联网安全技术也正在慢慢崛起。如F-Secure和诺顿这样的老牌杀毒软件厂商,已经开发出相关设备,用于防止你的家庭和办公室被黑客入侵,同时也支持物联网和云安全。通过在办公室的VR设备中使用这些防范措施,公司可以确保VR设备的安全性。


毫不奇怪,令人难以置信的虚拟现实和增强现实设备正在成为未来技术商业应用的铺路砖。然而,知道你要去哪里,并确保在此过程中保持安全,你就可以继续前进,而不会因为数据泄露对你的业务造成严重后果。


有种说法,未来即现在,虚拟现实终将成为现实。虚拟现实对互联网、对网络安全、对我们生活的影响,每一天都在扩大。


【本文来自投稿,文中观点不代表Xtecher立场。】

为您推荐: