Apakah mungkin untuk memecahkan "realitas virtual"? Dan jika demikian, lalu mengapa melakukannya? Jawaban untuk pertanyaan pertama adalah ya, itu mungkin. Dalam beberapa tahun terakhir, para ahli keamanan informasi telah menunjukkan kerentanan serius dalam pengembangan VR populer beberapa kali, mencatat bahwa penyerang dapat menggunakannya untuk menyebabkan kerusakan nyata. Adapun jawaban untuk pertanyaan "mengapa," itu tergantung pada ruang lingkup "realitas virtual".Sekarang diamati, secara relatif, "gelombang ketiga" VR. Konsep "realitas virtual" dalam bentuknya yang modern menjadi populer pada 1980-an. Namun, pada saat itu sudah ada proyek menghibur, seperti Sensorama atau "The Sword of Damocles" (helm pertama dari realitas virtual, primitif dalam kemampuan dan sangat merepotkan), dan banyak perkembangan VR yang digunakan di bidang profesional - kedokteran, penerbangan, desain teknik, dll. Simulator militer, termasuk penerbangan, dikembangkan dan diimplementasikan dengan berbagai tingkat efektivitas.
Sebuah lonjakan jangka pendek dalam popularitas proyek-proyek hiburan VR terjadi pada 1990-an: penduduk Moskow mungkin akan mengingat sebuah toko komputer pada akhir 1990-an di Book House di Novy Arbat, di mana mereka dapat memainkan penembak Doom atau bidat tua di helm VR untuk mendapatkan uang Forte VFX1. Ini adalah unit besar dan kelas berat yang mendukung gambar stereoscopic dalam 256 warna, suara stereo dan, di samping itu, dilengkapi dengan alat untuk melacak posisi kepala pengguna. Tetapi mode untuk perangkat semacam itu muncul dan berlalu: unit VR mahal dan tidak terlalu fungsional, dan karenanya tidak menimbulkan minat massa.
Teknologi baru matang pada paruh kedua tahun 2010-an. Pada 2015-2016, sistem VR seperti Oculus Rift (untuk komputer pribadi), HTC Vive (juga untuk komputer pribadi), Sony PlayStation VR (untuk konsol game) dan Samsung Gear VR (untuk perangkat seluler) muncul di pasar. Semuanya sangat cepat ditumbuhi puluhan, atau bahkan ratusan judul game; banyak game terkenal telah diselesaikan dan dirilis ulang khusus untuk VR. Seperti yang diharapkan, game itu tidak terbatas pada game. Misalnya, aplikasi khusus telah dibuat untuk Rift untuk melihat video panorama atau film pada "layar lebar" virtual. Berbagai "ruang keluarga virtual" - obrolan VR - ada untuk semua platform modern.
Penyakit keturunan
Helm realitas virtual telah menarik minat dari sektor industri dan beberapa bidang profesional lainnya, seperti desain teknik, visualisasi, iklan, pendidikan. Peran penting juga dimainkan oleh pertumbuhan kecepatan koneksi Internet. Berkat ini, kehadiran simultan dari jumlah pengguna yang tidak terbatas dalam satu "ruang virtual" dimungkinkan. Dan di sinilah gangguan yang tidak sah - "peretasan realitas virtual" - mengambil makna dan makna praktis.
Pada saat yang sama, dasar dari solusi VR modern terdiri dari teknologi komputer yang paling umum: helm dan kacamata VR hanya bekerja bersama dengan komputer konsumen atau perangkat seluler tempat komponen perangkat lunak mereka diluncurkan - aplikasi yang ditulis untuk lingkungan standar dalam bahasa pemrograman terkenal. Dan mereka, seperti yang ditunjukkan oleh latihan, rentan.
Pada tahun 2018, pakar keamanan Alex Radocea dan Philip Pettersson
mengungkapkan kerentanan serius dalam VRChat, Steam VR dan High Fidelity (platform VR sumber terbuka independen).
Kerentanan VRChat ternyata sangat tidak menyenangkan: penyerang tidak hanya dapat melihat dan mendengar semuanya sama seperti pengguna yang sah, tetapi juga mengubah komponen visual dan akustik saat bepergian. Yakni, antara lain, menghasilkan serangan psikologis pada korban. Di atas ini, penyerang dapat memperkenalkan eksploitasi ke ruang VR dan dengan bantuan mereka menangkap kontrol penuh atau sebagian atas komputer pribadi di mana pengguna terhubung ke obrolan ini, termasuk memata-matai dan menguping korban melalui webcam, mikrofon built-in, dll. Untuk menginfeksi pengguna, cukup masuk ke obrolan VR; malware kemudian mengirim undangan ke obrolan yang sama ke kontaknya. Secara teoritis, epidemi semacam itu bisa mencakup semua pengguna VRChat dan Steam VR secara umum.
Video di bawah ini menunjukkan apa yang dilihat orang yang aplikasi VR-nya diserang:
Pada awal 2019, para ahli dari University of New Haven
menggambarkan peretasan aplikasi VR populer lainnya, Bigscreen, yang dibuat pada mesin Unity. Dengan mengeksploitasi kelemahan dalam aplikasi itu sendiri dan di dalam mesin, cracker dapat secara kasat mata untuk pengguna menyalakan mikrofon yang dibangun ke dalam komputer dan menguping pembicaraan pribadi; lihat semua yang ditampilkan di layar korban, unduh, dan jalankan program sewenang-wenang di komputer pengguna target dan kirim pesan atas nama korban. Plus, penyerang dapat terhubung ke ruang VR mana pun, termasuk ruang pribadi, namun tetap tidak terlihat oleh pengguna lain; buat malware yang mereplikasi sendiri yang akan menginfeksi semua orang yang terhubung ke "kamar" yang sama di mana "pasien nol" sudah berada. Ini membuka peluang bagi penyerang spionase dunia maya dan menyebarkan malware, termasuk Trojan perbankan dan ransomware ransomware.
Dari voyeurisme dan infeksi hingga spionase cyber dan terorisme cyber
Dalam situasi di mana aplikasi VR digunakan untuk pekerjaan nyata pada proyek komersial (dan bukan untuk komunikasi atau game), serangan terhadap realitas virtual dapat menyebabkan konsekuensi yang bahkan lebih mengerikan. Skala bencana selama peretasan yang berhasil akan ditentukan oleh data apa yang dapat diperoleh penyerang, dan solusi VR apa yang digunakan untuk penggunaan profesional. Bisakah penyerang mendapatkan akses ke rekening bank pengguna melalui sistem VR? Bisakah itu melumpuhkan sistem pengguna dengan ransomware? Bisakah dia menggunakan komputer dengan sistem VR sebagai titik akses untuk menyerang jaringan perusahaan? Mengapa tidak, jika laptop yang sama, misalnya, digunakan baik untuk hiburan di rumah maupun di tempat kerja (kita sudah
membicarakan tentang bahaya BYOD lainnya sebelumnya).
Saat ruang lingkup VR mengembang, demikian pula risikonya. Solusi yang terkait dengan virtual atau augmented reality (VR / AR) sudah digunakan dalam kedokteran (lihat, misalnya,
proyek-proyek Luna VR Health dan
XRHealth ). Solusi VR / AR juga digunakan dalam industri; misalnya,
untuk mengontrol robot industri (baru saja menggunakan Oculus Rift). Sangat mudah untuk membayangkan apa konsekuensi dari serangan pada robot melalui sistem VR atau solusi medis.
Sekali lagi, terlepas dari skenario serangan potensial, akar masalahnya terletak pada kesalahan perangkat lunak pengembang. Dalam kebanyakan kasus, penyerang mencari cara-cara sederhana: semakin sederhana eksploitasi kerentanan dan semakin banyak kerusakan yang bisa dilakukan, semakin tinggi kemungkinan serangan. Namun, ancaman akan berkurang secara dramatis jika pengguna lebih berhati-hati dalam melindungi perangkat akhir, dan produsen sistem VR menggunakan konsep pengembangan yang aman saat menulis kerangka perangkat lunak. Artinya, untuk menerapkan perlindungan komprehensif terhadap ancaman dunia maya, yang akan semakin banyak diminati di tahun mendatang dan seterusnya. Ini berlaku tidak hanya untuk pengembangan solusi VR, tetapi juga untuk pengembangan keseluruhan produk perangkat lunak dan solusi industri, seperti yang dikatakan Trend Micro
dalam perkiraannya . Tapi ini adalah cerita lain yang bisa kita bicarakan di salah satu posting berikut.