هل من الممكن كسر "الواقع الافتراضي"؟ وإذا كان الأمر كذلك ، فلماذا تفعل ذلك؟ الجواب على السؤال الأول هو نعم ، إنه ممكن. في السنوات الأخيرة ، أظهر خبراء أمن المعلومات نقاط ضعف خطيرة في تطورات الواقع الافتراضي الشائعة عدة مرات ، وأشاروا إلى أن المهاجمين يمكنهم استخدامها للتسبب في ضرر حقيقي. بالنسبة للإجابة على السؤال "لماذا" ، فإن ذلك يعتمد على نطاق "الواقع الافتراضي".لاحظ الآن ، بالمعنى النسبي ، "الموجة الثالثة" من الواقع الافتراضي. أصبح مفهوم "الواقع الافتراضي" في شكله الحديث شائعًا في الثمانينيات. ومع ذلك ، بحلول ذلك الوقت كان هناك بالفعل مشاريع مسلية ، مثل Sensorama أو "Sword of Damocles" (أول خوذة من الواقع الافتراضي ، بدائية في القدرات ومرهقة للغاية) ، والعديد من التطورات الواقعية المستخدمة في المجالات المهنية - الطب ، الطيران ، التصميم الهندسي ، إلخ. تم تطوير وتنفيذ المحاكاة العسكرية ، بما في ذلك الطيران ، بدرجات متفاوتة من الفعالية.
حدثت طفرة قصيرة الأجل في شعبية مشاريع الترفيه VR في التسعينيات: من المحتمل أن يتذكر سكان موسكو متجر كمبيوتر في أواخر التسعينيات في Book House في Novy Arbat ، حيث يمكنهم لعب دور Doom أو Heretic shooter في خوذة VR مقابل المال فورتي VFX1. هذه وحدة كبيرة وثقيلة تدعم الصور المجسمة في 256 لونًا وصوت استريو ، بالإضافة إلى أنها مجهزة بوسائل لتتبع موضع رأس المستخدم. لكن الموضة لمثل هذه الأجهزة ظهرت ومرت على حد سواء: وحدات VR كانت باهظة الثمن وليست وظيفية للغاية ، وبالتالي لم تسبب اهتمامًا كبيرًا.
نضجت التكنولوجيا فقط في النصف الثاني من عام 2010. في 2015-2016 ، ظهرت أنظمة VR مثل Oculus Rift (لأجهزة الكمبيوتر الشخصية) و HTC Vive (أيضًا لأجهزة الكمبيوتر الشخصية) و Sony PlayStation VR (لأجهزة الألعاب) و Samsung Gear VR (للأجهزة المحمولة) في السوق. كلهم غمروا بسرعة كبيرة بالعشرات ، أو حتى المئات من ألقاب اللعبة ؛ تم وضع اللمسات الأخيرة على العديد من الألعاب المعروفة وإعادة إصدارها خصيصًا لـ VR. كما هو متوقع ، لم تقتصر اللعبة على الألعاب. على سبيل المثال ، تم إنشاء تطبيقات خاصة لـ Rift لعرض مقاطع فيديو أو أفلام بانورامية على "شاشة كبيرة" افتراضية. توجد مجموعة متنوعة من "غرف المعيشة الافتراضية" - VR-chats - لجميع المنصات الحديثة.
الأمراض الوراثية
جذبت خوذات الواقع الافتراضي اهتمام القطاع الصناعي والعديد من المجالات المهنية الأخرى ، مثل التصميم الهندسي والتصور والإعلان والتعليم. لعبت دورا هاما أيضا من خلال النمو في سرعة الاتصال بالإنترنت. بفضل هذا ، فإن التواجد المتزامن لعدد غير محدود من المستخدمين في "مساحة افتراضية" واحدة أمر ممكن. وهذا هو المكان الذي يأخذ فيه التدخل غير المصرح به - "اختراق الواقع الافتراضي" - معاني وأهمية عملية.
في الوقت نفسه ، يتكون أساس حلول VR الحديثة من أكثر تقنيات الكمبيوتر شيوعًا: خوذات ونظارات VR تعمل فقط مع أجهزة الكمبيوتر الاستهلاكية أو الأجهزة المحمولة التي يتم تشغيل مكونات برامجها عليها - تطبيقات مكتوبة للبيئات القياسية بلغات البرمجة المعروفة. وهم ، كما تبين الممارسة ، عرضة للخطر.
في عام 2018 ، أظهر خبراء الأمن Alex Radocea و Philip Pettersson نقاط ضعف خطيرة في VRChat و Steam VR و High Fidelity (منصة VR مفتوحة المصدر مفتوحة المصدر).
تبين أن نقاط ضعف VRChat غير سارة بشكل خاص: لا يمكن للمهاجمين رؤية كل شيء على نفس المستخدِم الشرعي والاستماع إليه فحسب ، ولكن أيضًا تغيير المكونات المرئية والصوتية أثناء التنقل. هذا ، من بين أمور أخرى ، لإنتاج هجمات نفسية على الضحية. علاوة على ذلك ، يمكن للمهاجم إدخال عمليات استغلال في مساحة الواقع الافتراضي وبمساعدتهم في الحصول على تحكم كامل أو جزئي على أجهزة الكمبيوتر الشخصية التي من خلالها يقوم المستخدمون المتصلون بهذه الدردشة ، بما في ذلك التجسس والتنصت على الضحايا من خلال كاميرات الويب والميكروفونات المدمجة وما إلى ذلك. لإصابة مستخدم ، فقط قم بتسجيل الدخول إلى دردشة VR ؛ ترسل البرامج الضارة دعوات إلى الدردشة نفسها إلى جهات الاتصال الخاصة بها. من الناحية النظرية ، يمكن أن يغطي هذا الوباء جميع مستخدمي VRChat و Steam VR بشكل عام.
يوضح الفيديو أدناه ما يراه الشخص الذي تمت مهاجمته تطبيق VR:
في أوائل عام 2019 ، وصف خبراء من جامعة نيو هافن القرصنة على تطبيق VR آخر شهير ، Bigscreen ، تم إنشاؤه على محرك Unity. من خلال استغلال الثغرات الموجودة في التطبيق نفسه وفي المحرك ، يتمكن جهاز التكسير من إخفاء المستخدم لتشغيل الميكروفون المدمج في الكمبيوتر والتنصت على المحادثات الشخصية ؛ شاهد كل ما يتم عرضه على شاشة الضحية ، وقم بتنزيل وتشغيل البرامج التعسفية على جهاز الكمبيوتر الخاص بالمستخدم الهدف وإرسال رسائل نيابة عن الضحية. بالإضافة إلى ذلك ، يمكن للمهاجم الاتصال بأي غرف VR ، بما في ذلك غرف خاصة بحتة ، في حين تبقى غير مرئية للمستخدمين الآخرين ؛ إنشاء برامج ضارة ذاتية التكرار من شأنها أن تصيب كل من يتصل بنفس "الغرفة" التي يوجد فيها "المريض الفارغ" بالفعل. هذا يفتح فرصة للمهاجمين للتجسس عبر الإنترنت ونشر البرمجيات الخبيثة ، بما في ذلك البنوك أحصنة طروادة وفدية الفدية.
من البلهجة والعدوى إلى التجسس الإلكتروني والإرهاب السيبراني
في حالة استخدام تطبيقات VR للعمل الحقيقي في المشروعات التجارية (وليس للاتصالات أو الألعاب) ، يمكن أن تؤدي الهجمات على الواقع الافتراضي إلى عواقب وخيمة أكثر. سيتم تحديد حجم الكارثة أثناء اختراق ناجح حسب البيانات التي يمكن للمهاجم الوصول إليها ، وحلول الواقع الافتراضي المستخدمة عندما يتعلق الأمر بالاستخدام الاحترافي. هل يمكن للمهاجم الوصول إلى حسابات المستخدمين المصرفية من خلال نظام VR؟ يمكن أن تشل أنظمة المستخدم مع رانسومواري؟ هل يمكنه استخدام جهاز كمبيوتر مع نظام VR كنقطة وصول لغزو شبكة الشركة؟ لماذا لا ، إذا تم استخدام نفس الكمبيوتر المحمول ، على سبيل المثال ، للترفيه المنزلي وفي مكان العمل (
تحدثنا بالفعل عن مخاطر أخرى لـ BYOD سابقًا).
مع توسع مجال الواقع الافتراضي ، تزداد المخاطر. تستخدم الحلول المتعلقة بالواقع الافتراضي أو المعزز (VR / AR) بالفعل في الطب (انظر ، على سبيل المثال ،
مشاريع Luna VR Health و
XRHealth ). وتستخدم حلول VR / AR أيضا في الصناعة. على سبيل المثال ،
للتحكم في الروبوتات الصناعية (تستخدم فقط Oculus Rift). من السهل أن نتخيل عواقب أي هجوم على روبوت من خلال نظام VR أو حل طبي.
مرة أخرى ، وبغض النظر عن سيناريو الهجوم المحتمل ، يكمن جذر المشكلة في أخطاء برامج المطورين. في معظم الحالات ، يبحث المهاجمون عن طرق بسيطة: فكلما كان استغلال مشكلة عدم الحصانة أكثر بساطة وكلما زاد الضرر ، زاد احتمال حدوث هجوم. ومع ذلك ، فإن التهديد سينخفض بشكل كبير إذا كان المستخدمون أكثر دقة في حماية الأجهزة الطرفية ، ويستخدم مصنعو أنظمة الواقع الافتراضي مفهوم التطوير الآمن عند كتابة برامج الأصداف. وهذا يعني ، تطبيق حماية شاملة ضد التهديدات السيبرانية ، والتي ستكون في الطلب أكثر وأكثر في العام المقبل وما بعده. لا ينطبق هذا فقط على تطوير حلول VR ، ولكن أيضًا على التطوير الشامل لمنتجات البرمجيات والحلول الصناعية ، كما تقول Trend Micro
في توقعاتها . ولكن هذه قصة أخرى يمكن أن نتحدث عنها في أحد المنشورات التالية.