¿Es posible descifrar la "realidad virtual"? Y si es así, ¿por qué hacerlo? La respuesta a la primera pregunta es sí, es posible. En los últimos años, los expertos en seguridad de la información han demostrado serias vulnerabilidades en desarrollos populares de realidad virtual varias veces, señalando que los atacantes pueden usarlos para causar un daño real. En cuanto a la respuesta a la pregunta "por qué", depende del alcance de la "realidad virtual".Ahora se observa, relativamente hablando, la "tercera ola" de la realidad virtual. El concepto mismo de "realidad virtual" en su forma moderna se hizo popular en la década de 1980. Sin embargo, para ese momento ya había proyectos entretenidos, como Sensorama o "The Sword of Damocles" (el primer casco de la realidad virtual, primitivo en capacidades y deprimentemente engorroso), y numerosos desarrollos de realidad virtual utilizados en áreas profesionales: medicina, aviación, diseño de ingeniería, etc. Los simuladores militares, incluidos los de aviación, se desarrollaron e implementaron con diversos grados de efectividad.
Un aumento a corto plazo en la popularidad de los proyectos de entretenimiento de realidad virtual tuvo lugar en la década de 1990: los residentes de Moscú probablemente recordarán una tienda de computadoras a fines de la década de 1990 en Book House en Novy Arbat, donde podrían jugar viejos tiradores Doom o Heretic en un casco de realidad virtual por dinero Forte VFX1. Esta es una unidad grande y pesada que admite imágenes estereoscópicas en 256 colores, sonido estéreo y, además, estaba equipada con medios para rastrear la posición de la cabeza del usuario. Pero la moda de tales dispositivos apareció y pasó: las unidades de realidad virtual eran caras y no muy funcionales, y por lo tanto no causaban un interés masivo.
La tecnología maduró solo en la segunda mitad de la década de 2010. En 2015-2016, aparecieron en el mercado sistemas VR como Oculus Rift (para computadoras personales), HTC Vive (también para computadoras personales), Sony PlayStation VR (para consolas de juegos) y Samsung Gear VR (para dispositivos móviles). Todos ellos muy rápidamente cubiertos de docenas, o incluso cientos de títulos de juegos; Muchos juegos conocidos se han finalizado y relanzado específicamente para VR. Como se esperaba, el juego no se limitó a los juegos. Por ejemplo, se han creado aplicaciones especiales para Rift para ver videos o películas panorámicas en una "pantalla grande" virtual. Existe una variedad de "salas de estar virtuales" (VR-chats) para todas las plataformas modernas.
Enfermedades hereditarias
Los cascos de realidad virtual han atraído el interés del sector industrial y varias otras áreas profesionales, como el diseño de ingeniería, visualización, publicidad, educación. El crecimiento de la velocidad de conexión a Internet también jugó un papel importante. Gracias a esto, es posible la presencia simultánea de un número ilimitado de usuarios en un "espacio virtual". Y aquí es donde la interferencia no autorizada, "piratear la realidad virtual", adquiere un significado y significado prácticos.
Al mismo tiempo, la base de las soluciones modernas de realidad virtual se compone de las tecnologías informáticas más comunes: los cascos y gafas de realidad virtual solo funcionan en conjunto con computadoras de consumo o dispositivos móviles en los que se lanzan sus componentes de software, aplicaciones escritas para entornos estándar en lenguajes de programación conocidos. Y ellos, como muestra la práctica, son vulnerables.
En 2018, los expertos en seguridad Alex Radocea y Philip Pettersson
demostraron serias vulnerabilidades en VRChat, Steam VR y High Fidelity (una plataforma VR de código abierto independiente).
Las vulnerabilidades de VRC que resultaron ser especialmente desagradables: un atacante no solo puede ver y escuchar todo lo mismo que un usuario legítimo, sino también cambiar los componentes visuales y acústicos sobre la marcha. Es decir, entre otras cosas, producir ataques psicológicos a la víctima. Además de esto, un atacante podría introducir exploits en el espacio de realidad virtual y, con su ayuda, capturar el control total o parcial sobre las computadoras personales a través de las cuales los usuarios se conectan a este chat, incluido el espionaje y el espionaje de las víctimas a través de cámaras web, micrófonos incorporados, etc. Para infectar a un usuario, simplemente inicie sesión en el chat VR; el malware luego envía invitaciones al mismo chat a sus contactos. Teóricamente, tal epidemia podría haber cubierto a todos los usuarios de VRChat y Steam VR en general.
El siguiente video muestra lo que ve la persona cuya aplicación de realidad virtual es atacada:
A principios de 2019, expertos de la Universidad de New Haven
describieron el hackeo de otra popular aplicación de realidad virtual, Bigscreen, creada en el motor Unity. Al explotar las vulnerabilidades en la aplicación misma y en el motor, el cracker puede invisiblemente que el usuario encienda el micrófono integrado en la computadora y escuche conversaciones personales; vea todo lo que se muestra en la pantalla de la víctima, descargue y ejecute programas arbitrarios en la computadora del usuario objetivo y envíe mensajes en nombre de la víctima. Además, un atacante puede conectarse a cualquier sala de realidad virtual, incluidas las privadas, mientras permanece invisible para otros usuarios; crear un malware autorreplicante que infecte a todos los que se conectan a la misma "habitación" en la que ya se encuentra el "paciente nulo". Esto abre una oportunidad para que un atacante realice ciberespionaje y propague malware, incluidos troyanos bancarios y ransomware ransomware.
Del voyeurismo y la infección al ciberespionaje y el ciber terrorismo
En una situación en la que las aplicaciones de realidad virtual se utilizan para el trabajo real en proyectos comerciales (y no para comunicaciones o juegos), los ataques a la realidad virtual pueden tener consecuencias aún más graves. La escala del desastre durante un pirateo exitoso estará determinada por los datos a los que el atacante puede acceder y para qué soluciones de realidad virtual se utilizan cuando se trata de un uso profesional. ¿Puede un atacante obtener acceso a las cuentas bancarias de los usuarios a través de un sistema de realidad virtual? ¿Puede paralizar los sistemas de usuario con ransomware? ¿Puede usar una computadora con un sistema VR como punto de acceso para invadir la red corporativa? Por qué no, si la misma computadora portátil, por ejemplo, se usa tanto para entretenimiento en el hogar como en el lugar de trabajo (ya
hablamos sobre otros peligros de BYOD anteriormente).
A medida que se amplía el alcance de la realidad virtual, también lo hacen los riesgos. Las soluciones relacionadas con la realidad virtual o aumentada (VR / AR) ya se utilizan en medicina (ver, por ejemplo, los proyectos
Luna VR Health y
XRHealth ). Las soluciones VR / AR también se utilizan en la industria; por ejemplo,
para controlar robots industriales (solo usé Oculus Rift). Es fácil imaginar cuáles son las consecuencias de un ataque a un robot a través de un sistema de realidad virtual o solución médica.
Una vez más, independientemente del escenario del posible ataque, la raíz del problema radica en los errores de software de los desarrolladores. En la mayoría de los casos, los atacantes buscan formas simples: cuanto más simple es la explotación de la vulnerabilidad y cuanto más daño se puede hacer, mayor es la probabilidad de un ataque. Sin embargo, la amenaza disminuirá drásticamente si los usuarios son más escrupulosos sobre la protección de dispositivos finales, y los fabricantes de sistemas de realidad virtual utilizan el concepto de desarrollo seguro al escribir shells de software. Es decir, aplicar una protección integral contra las amenazas cibernéticas, que serán cada vez más demandadas en el próximo año y más allá. Esto se aplica no solo al desarrollo de soluciones de realidad virtual, sino también al desarrollo general de productos de software y soluciones industriales, como dice Trend Micro
en su pronóstico . Pero esta es otra historia de la que podemos hablar en una de las siguientes publicaciones.