IoT
Bedrohungen im Metaverse: Wird es zum Metaworse?
Die nächste Stufe von Augmented, Mixed und Virtual Reality wird das Metaversum sein. Daher ist es an der Zeit, sich auch mit den Bedrohungen durch das „Darkverse“ und NFT oder über Social Engineering zu befassen.
Das moderne Metaverse-Konzept besteht aus mehreren unabhängigen und miteinander verbundenen virtuellen Räumen. Daher ist es für ein einzelnes Unternehmen unmöglich, das gesamte Metaversum allein aufzubauen. Optimistisch geschätzt ist das Metaversum noch fünf bis zehn Jahre von seiner vollständigen Einführung entfernt. Wir gehen jedoch davon aus, dass der Markt in den nächsten drei bis fünf Jahren mehr Metaverse-ähnliche Anwendungen hervorbringen wird. Einige, wie Decentraland und Crypto Voxels, sowie Spiele wie Minecraft und Second Life, existieren bereits. Die derzeitigen Metaverse-ähnlichen Anwendungen sind in erster Linie für Spieler und nicht für die breite Bevölkerung gedacht. Doch für die Zukunft ist zu erwarten, dass alltägliche Aufgaben wie Remote-Arbeit, Unterhaltung, Bildung und Einkaufen in Metaverse-ähnlichen Anwendungen der nächsten Generation erledigt werden. Viele dieser Anwendungen werden den Cyberspace gemeinsam nutzen, und dieser wird sich schließlich in ein einziges Metaversum verwandeln, wenn die zugrunde liegende Technologie (Hardware, Software, Netzwerkinfrastruktur und Allgegenwärtigkeit) ausgereift ist. In diesem gemeinsamen Raum werden die User mühelos zwischen Anwendungen hin und her wechseln können und mit einer Vielzahl von Geräten auf das Metaversum zugreifen können. Aber das Metaversum wird auch seine eigene Art von Kriminalität anziehen. Wir haben dies in einem Whitepaper untersucht.
Der Begriff „Metaverse“ wurde erstmals 1992 von Neal Stephenson in seinem Cyberpunk-Roman „Snow Crash“ verwendet. Darin beschreibt er eine virtuelle Welt, die mit Hilfe von Avataren erkundet werden kann und den Spielern eine völlig neuartige Erfahrung bietet. Heute finden wir ähnliche Welten in Massively Multiplayer Online Role-Playing Games (MMORPGs) wie Roblox, Minecraft, Fortnite, Second Life und anderen, aber diese Spiele reichen bei weitem nicht an die in Snow Crash beschriebene Erfahrung heran.
Es gibt viele unterschiedliche Meinungen darüber, was ein Metaverse ist und wie es ins Gesamtbild des Internets passt. Deshalb haben wir eine Arbeitsdefinition für das Metaversum erstellt, um unsere Forschung zu unterstützen:
Das Metaversum ist eine über die Cloud verteilte, herstellerübergreifende, immersiv-interaktive Betriebsumgebung, auf die die Nutzer über verschiedene Arten von vernetzten Geräten (sowohl statisch als auch mobil) zugreifen können. Es nutzt Web 2.0- und Web 3.0-Technologien, um eine interaktive Ebene oberhalb des bestehenden Internets zu schaffen. Es ist also eine offene Plattform zum Arbeiten und Spielen in einer virtuellen, erweiterten, gemischten oder erweiterten Umgebung. Diese ist vergleichbar mit bestehenden MMORPG-Plattformen, aber während jedes MMPORG eine eigene virtuelle Welt darstellt, wird das Metaverse den Spielern ermöglichen, sich zusammen mit ihren virtuellen Assets nahtlos zwischen virtuellen Räumen zu bewegen. Das Metaversum ist nicht nur eine Plattform für menschliche Nutzer, sondern auch eine Kommunikationsschicht für Smart City Geräte, über die Menschen und KI Informationen austauschen können.
Im Grunde genommen wird es das Internet of Experiences (IoX.) sein.
Bedrohungen für das Metaverse
Es ist schwierig, Cyberbedrohungen für einen Produktbereich vorherzusagen, den es noch nicht gibt und der möglicherweise nicht in der Form existieren wird, die wir uns vorstellen. Vor diesem Hintergrund haben wir über Brainstorming unser Verständnis des Metaverse zu verfeinern versucht und Bedrohungen für und innerhalb des Metaverse identifiziert.
NFTs
Es wurde viel über die Verwendung von sogenannten Non Fungible Tokens (NFTs) im Metaverse spekuliert. NFTs sind einzigartige, in der Blockchain gespeicherte Dateneinheiten, die verkauft und gehandelt werden können. NFT-Daten können Hashes oder Links zu digitalen Dateien wie Text, Fotos, Videos und Audiodateien enthalten, um das Eigentum an digitalen Assets zu verifizieren. Sie regeln den Besitz von Assets, speichern sie aber nicht, so dass die Nutzer anfällig für Lösegeldforderungen oder andere Bedrohungen sind. Wenn die Dateien durch Ransomware verschlüsselt werden, kann der Eigentümer der NFT nicht mehr auf die Dateien zugreifen. Schlimmer noch: Wenn die zugrunde liegende Blockchain anfällig für Sybil-Angriffe ist, kann das Asset gar gestohlen werden.
Betrüger können eine NFT auch klonen, indem sie ein paar Datenbits in der "geschützten" Datei subtil ändern und im Wesentlichen dasselbe digitale Asset verkaufen. Wie Moxie Marlinspike gezeigt hat, können auch die Asset-Server manipuliert werden, indem der Inhalt der in der NFT gespeicherten URL geändert wird.
Ein weiteres Sicherheitsproblem betrifft die Übertragung von Assets. Das Verschieben digitaler Assets zwischen Metaverse-Räumen kann Kosten verursachen, zum einen wegen der Verifizierung und zum anderen, weil inkompatible Assets für die Verwendung auf einer technologisch anderen Plattform „konvertiert“ werden müssen. Hierfür werden Asset-Broker eingesetzt, doch jemand, der sich als Asset-Broker ausgibt, kann Nutzer reinlegen.
Ohne Best Practices und Regeln könnten die virtuellen Handelswege chaotisch werden. Wenn sie stark auf der Blockchain-Technologie beruhen, geht es im Wesentlichen um einen nicht regulierten Markt, in dem keine definierte Regierung oder juristische Person im Falle eines Betrugs helfen könnte. Bestehende Angriffe wie Phishing, Drive-by-Downloads und andere könnten aufgrund des Vertrauens, das dieser interaktive Raum vermittelt, ebenfalls effektiver sein.
Das Darkverse
Das Darkverse, entsprechend dem Dark Web, wird ein anonymer Raum sein, in dem böswillige Nutzer interagieren können. Die pseudo-physische Präsenz ahmt reale Räume nach, die für geheime Treffen genutzt werden, so dass sie für Kriminelle geeignet sind, um ihre illegalen Aktivitäten zu erleichtern. Umgekehrt könnte es auch ein sicherer Raum für freie Meinungsäußerung gegen unterdrückerische Organisationen oder Regierungen sein.
Darkverse-Welten könnten so eingerichtet werden, dass sie nur zugänglich sind, wenn sich der Nutzer an einem bestimmten physischen Ort befindet - dies schützt geschlossene Metaverse-Gemeinschaften. Standortbezogene und ortsnahe Nachrichten werden es den Strafverfolgungsbehörden erschweren, Metaverse-Daten abzufangen.
Das Darkverse ist besonders problematisch, weil schwere Straftaten wie Kinderpornografie bereits ein großes Problem im Internet sind. Diese Straftaten sind rechtlich schlecht definiert und für die Strafverfolgungsbehörden in virtuellen Räumen äußerst schwierig zu verfolgen.
Finanzbetrug
Das hohe Aufkommen an E-Commerce-Transaktionen im Metaverse wird Kriminelle anziehen, die versuchen werden, Geld und digitale Vermögenswerte zu stehlen. Es wird eine neue digitale Wirtschaft (mit Bitcoin, Ethereum, echtem Geld, PayPal, elektronischen Überweisungen usw.) entstehen, deren Wechselkurse vom freien (und möglicherweise deregulierten) Markt kontrolliert werden. Dies wird ein Hauptziel für Marktmanipulatoren sein. Ein reines Metaverse-Unternehmen, das keiner Gerichtsbarkeit unterliegt, könnte Einkommenssteuern vermeiden. Ponzi-Schemata und Wertpapierbetrug können Metaverse-Investoren zum Opfer fallen. Die Verflechtung von digitaler Währung, digitalen Vermögenswerten und Papiergeldsystemen kann zu Zusammenbrüchen führen wie dem Terra/LUNA cryptocurrencies in 2022.
Digitale Währungen eignen sich hervorragend für den Geldbezug, aber wenn ein Nutzer betrogen wird oder es zu Transaktionsproblemen kommt, wird der Publisher komplexe finanzielle Probleme lösen müssen, möglicherweise auf regulatorischer Ebene. Betrogene oder bestohlene Nutzer können kaum Hilfe erhalten, Beschwerden einreichen oder rechtliche Schritte einleiten, wenn sie dezentrale digitale Währungen verwenden.
Im Metaverse ist zu erwarten, dass gefälschte Empfehlungen, Empfehlungen und Investitionen den Wert digitaler Vermögenswerte künstlich in die Höhe treiben. Der Wert von virtuellem „Land“ hängt zum Beispiel stark von der Wahrnehmung ab, die durch viele Faktoren manipuliert werden kann.
Social Engineering
Social-Engineering-Betrügereien haben mehr Erfolg, wenn böswillige Akteure über detaillierte Informationen über ihre Ziele verfügen. Im Metaverse können die Betreiber mit persönlichen Informationen wie Augen-, Körper-, Stimm- und Bewegungsverfolgung usw. eine präzise Stimmungsanalyse durchführen. Diese Daten werden alle gesammelt und können gestohlen oder missbraucht werden.
Kriminelle oder staatlich gesponserte Akteure suchen nach Personengruppen, die für bestimmte Themen empfänglich sind, und verbreiten dann gezielte Botschaften, um sie zu beeinflussen. Das Metaverse ist ideal für kriminelle Deep Fakes, da die Kombination von Sprache und Bildmaterial zu einer wirkungsvollen Meinungsäußerung (und einem Werkzeug zur Manipulation) wird.
Metaverse-Betreiber müssen sich auch vor Eindringlingen in Acht nehmen, die versuchen, sich als offizielle Avatare auszugeben, um Nutzer in die Irre zu führen. Deep Fakes sind möglicherweise nicht erforderlich, da die Daten eines Avatars leicht gesammelt und geklont werden können. Wenn sich jemand als offizieller Avatar ausgibt, kann er einen Metaverse-Raum betreten und Unheil anrichten, was ein schlechtes Licht auf das Unternehmen wirft, als das er auftritt.
Kriminelle können sich im Metaversum auch als Ärzte ausgeben und Patienten gegen Bezahlung falsche medizinische Ratschläge geben. Bei umfassenderen Betrügereien können gefälschte Nachrichtenwelten erstellt und als Virtual Reality-Honeypots zum Sammeln von Informationen verwendet werden, und böswillige Werbetreibende können trojanisierte digitale Produkte verkaufen.
Fazit
Die nächste Stufe von Augmented, Mixed und Virtual Reality wird das Metaversum sein. Mithilfe neuer Technologien wird es den Nutzern ein umfassendes Erlebnis bieten: das Internet der Erlebnisse. Der Benutzer wird den Eindruck haben, an realen Ereignissen teilnimmt.
Das Metaverse ist eine zusätzliche Internetschicht, die eine für alle Geräte transparente Verbindung herstellen soll. Die Entwickler scheinen jedoch die Ratschläge derjenigen nicht zu beherzigen, die über jahrzehntelange Erfahrung verfügen und bei der Entwicklung Sicherheit und Datenschutz im Auge haben. Es sollte alles getan werden, um zu verhindern, dass das Metaversum zu einem missbräuchlichen, gefährlichen Raum wird, der von Kriminellen beherrscht wird. Die Entwickler sollten von Anfang an technische und soziale Sicherheitsvorkehrungen einbeziehen. Ohne diese Sicherheitsvorkehrungen wird das Metaversum möglicherweise ein noch gefährlicherer Raum sein, als es das Internet bereits ist – ein „Metaworse“.