Metaverse và những thách thức bảo mật
GIỚI THIỆU
Thuật ngữ “Metaverse” lần đầu tiên được biết đến vào năm 1992 bởi tác giả Neal Stephenson trong cuốn tiểu thuyết khoa học viễn tưởng “Snow Crash” của ông, trong đó Metaverse là thuật ngữ để mô tả một thế giới ảo - nơi con người tương tác với nhau và sử dụng hình ảnh số hóa của chính họ để khám phá thế giới trực tuyến.
Khi Metaverse phát triển, nó sẽ mở ra không gian trực tuyến tương tác của người dùng đa chiều hơn so với các công nghệ hiện tại. Theo thống kê của hãng nghiên cứu Gartner, doanh thu toàn cầu của các công nghệ nền tảng đối với Metaverse là AR/VR dự báo sẽ tăng từ 12 tỷ USD năm 2020 lên tới 72,8 tỷ USD năm 2024. Cũng theo Gartner dự báo, hơn 25% dân số sẽ dành ít nhất 1 giờ/ngày để thực hiện giao dịch hoặc giao lưu trong Metaverse vào năm 2026.
Hiện nay, nhiều doanh nghiệp, công ty công nghệ lớn trên thế giới đã và đang ứng dụng Metaverse vào nhiều lĩnh vực khác nhau như thương mại, giải trí, chăm sóc sức khỏe, giáo dục đào tạo,… Metaverse đặc biệt được chú ý hơn từ sự kiện đổi tên Facebook thành Meta vào cuối năm 2021, với tham vọng chuyển toàn bộ định hướng hoạt động của mình sang Metaverse trong vòng 10 năm tới. Một mục tiêu mà họ đặt ra cho chính mình: “Có 1 tỷ người dùng hoạt động trong Metaverse vào năm 2030”. Facebook cho biết sẽ đầu tư khoảng 10 tỷ đô la mỗi năm vào việc phát triển công nghệ để hướng tới mục tiêu này. Tầm nhìn của Giám đốc điều hành Meta, Mark Zuckerberg là tạo một thế giới thực tế ảo có thể thay đổi cách chúng ta kết nối hoặc làm việc với mọi người.
NHỮNG THÁCH THỨC BẢO MẬT
Những lợi ích và tiềm năng của Metaverse là điều mà mọi người luôn nhắc tới và nhận thấy rõ, tuy nhiên, trong bối cảnh các hình thức tấn công mạng đang trở nên nguy hiểm và tinh vi hơn, chúng ta cũng không nên đánh giá thấp những rủi ro và mối đe dọa bảo mật liên quan đến công nghệ mới này. Trong Metaverse, chuyển động của mọi người thực hiện đều là một điểm dữ liệu và nếu có thể truy cập vào nó vượt qua được sự bảo mật lỏng lẻo của hệ thống, thì đây chính là cơ hội lớn để tấn công đối với các tin tặc.
Kỹ nghệ xã hội
Mặc dù tấn công kỹ nghệ xã hội không phải là một kỹ thuật mới, nhưng nó cũng là một mối đe dọa cần phải chú ý trong thế giới Metaverse. Đây là một hình thức tấn công lừa đảo mà tin tặc tác động trực tiếp đến tâm lý người dùng để đánh lừa họ cung cấp các thông tin nhạy cảm. Ví dụ: tin tặc có thể xâm nhập vào Metaverse để mạo danh công ty, nhà cung cấp, quan chức,…
Lừa đảo qua email và tin nhắn là những hình thức tấn công phổ biến trên Internet ngày nay, trong đó là tấn công sử dụng kỹ nghệ xã hội để đánh cắp mật khẩu và dữ liệu thông tin cá nhân. Với Metaverse, điều đó có thể còn dễ dàng hơn, đặc biệt nếu mọi người nghĩ rằng đang nói chuyện và trao đổi với một người mà họ biết và tin tưởng, trong khi đó thực tế là một người hoàn toàn khác.
Một trong những khía cạnh quan trọng của Metaverse là người dùng được đại diện trong môi trường ảo bằng các hình ảnh đại diện tùy chỉnh. Tin tặc có thể tạo một hình đại diện giống một người dùng bất kỳ, sau đó sử dụng chính hình đại diện này để phục vụ cho các cuộc tấn công kỹ nghệ xã hội, hoặc như với bất kỳ tài khoản trực tuyến nào khác, chúng có thể đột nhập vào tài khoản thật. Trong một bài đăng vào cuối tháng 3/2022, Charlie Bell - Phó Chủ tịch điều hành Microsoft đã thảo luận về những thách thức đối với Metaverse, trong đó đề cập đến việc người dùng có thể bị lừa đảo trên Metaverse dựa trên những thông tin định danh, đó có thể là hình đại diện của một giao dịch viên, người thân, bạn bè, hay là hành vi mạo danh lãnh đạo của người dùng mời họ tham gia vào một phòng họp ảo chứa những payload độc hại.
Andrew Newman, người sáng lập và CTO tại công ty an ninh mạng ReasonLabs chia sẻ: “Một tỷ lệ lớn tài khoản người dùng luôn bị xâm phạm. Đó là điều chắc chắn sẽ mở rộng sang thế giới ảo Metaverse”. Việc sử dụng hình đại diện ảo cũng mang đến một vấn đề khác, đó là làm cách nào để xác minh rằng bạn đang nói chuyện với con người? Các bot trò chuyện dựa trên văn bản đã phổ biến để giúp cung cấp cho mọi người các dịch vụ khách hàng. Sự phát triển của trí tuệ nhân tạo có nghĩa là bot sẽ chỉ tương tác và phản hồi với mọi người tốt hơn. Lewis Duke, kỹ sư của công ty an ninh mạng Trend Micro cho biết: “Bạn có thể đang tương tác với ai đó và không biết đó là người hay bot hay AI”.
Mối đe dọa thực tế ảo và quyền riêng tư
Trên thực tế, bề mặt tấn công của Metaverse khá rộng, có thể mở rộng phạm vi với các phần mềm dựa trên web, API và các cổng thanh toán trực tuyến.
Các nhà nghiên cứu bảo mật từ Đại học Rutgers cho biết vào đầu năm nay, họ đã kiểm tra cách các tính năng ra lệnh bằng giọng nói trên tai nghe thực tế ảo có thể dẫn đến vi phạm quyền riêng tư nghiêm trọng, được gọi là “tấn công nghe trộm”. Mối đe dọa này cho thấy tin tặc có khả năng sử dụng một số tai nghe thực tế ảo (AR/VR) có cảm biến chuyển động tích hợp để ghi lại cử chỉ khuôn mặt liên quan đến lời nói, dẫn đến khả năng đánh cắp thông tin nhạy cảm được truyền thông qua điều khiển kích hoạt bằng giọng nói, bao gồm thông tin thẻ tín dụng và mật khẩu. Nguyên nhân cốt lõi của vấn đề dường như là do thiếu xác thực người dùng.
Bên cạnh đó, tai nghe thực tế ảo chỉ là một loại thiết bị và việc cài đặt phần mềm độc hại trên đó sẽ cho phép tin tặc có quyền truy cập vào hệ thống, đánh cắp thông tin cá nhân. Trong thế giới Metaverse, có các lớp bổ sung để phần mềm độc hại có thể tương tác. “Rõ ràng là nó có quyền truy cập vào toàn bộ hệ thống tệp thiết bị của bạn. Nhưng điều đáng sợ hơn nữa là nó có quyền truy cập vào một số tính năng như chụp màn hình, xem màn hình và tất cả những thông tin rất nhạy cảm về quyền riêng tư”, Newman cảnh báo.
Các nhà nghiên cứu an ninh mạng tại ReasonLabs đã xác định một cuộc tấn công nhằm vào người dùng Metaverse. Còn được gọi là “Big Brother”, nó dựa trên việc tải xuống phần mềm độc hại khai thác chế độ nhà phát triển (Developer Mode) và có thể được sử dụng để ghi lại màn hình, cũng như tải các tệp độc hại hoặc giả mạo những gì người dùng có thể nhìn thấy trong giới hạn của tai nghe. Điều đó có nghĩa là các cuộc tấn công có thể không chỉ bị hạn chế thực hiện các hoạt động độc hại trong chính Metaverse – nếu tin tặc có thể kiểm soát hoàn toàn tai nghe thì chúng có thể gây tổn hại về thể chất của người dùng.
Ngoài ra, khi đặt vấn đề rủi ro về quyền riêng tư trong Metaverse, chúng ta cũng cần quan tâm lượng dữ liệu nhạy cảm được thu thập. Nhà cung cấp Metaverse sẽ kiểm soát tất cả các khía cạnh của không gian ảo của họ, thu thập lượng lớn dữ liệu người dùng và kiếm tiền từ dữ liệu được thu thập.
Thách thức liên quan đến trao đổi tiền tệ và NFT
Các chuyên gia bảo mật nhận định các nhóm tin tặc sẽ bị thu hút vào Metaverse vì khối lượng giao dịch thương mại điện tử khổng lồ diễn ra trong thế giới này. Chúng sẽ cố gắng lợi dụng người dùng để đánh cắp tiền và chiếm đoạt tài sản số của họ.
Giống như nhiều loại tiền tệ đã tồn tại trong thế giới thực, Metaverse sẽ sử dụng loại tiền tệ hoặc tiền điện tử của riêng nó. Cần chú ý rằng, tiền điện tử cũng có thể dẫn đến sự gia tăng đáng kể các hoạt động rửa tiền trong nền kinh tế ảo của không gian số Metaverse. Khi các loại tiền số này được thiết lập để phát triển, việc thiếu các quy định về trao đổi an toàn giữa người mua và người bán có thể dẫn đến những mối đe dọa liên quan đến trao đổi tiền tệ.
NFT có thể gặp vấn đề về tính toàn vẹn. NFT quy định quyền sở hữu những khối tài sản nhưng lại không cung cấp lưu trữ cho các tài sản. Điều này có thể dẫn đến tấn công mã độc tống tiền hoặc các cuộc tấn công khác. Nếu các tệp dữ liệu NFT bị mã hóa trong các cuộc tấn công bằng mã độc tống tiền thì người dùng sẽ vẫn giữ được quyền sở hữu, nhưng họ có thể bị chặn truy cập vào tài sản nếu họ không trả tiền chuộc.
Những mối đe dọa và các vấn đề khác
Trong bản báo cáo về Metaverse vào tháng 8/2022, hãng bảo mật Trend Micro đã đưa ra một số nguy cơ và mối đe dọa bảo mật khác. Trong đó có một số rủi ro có thể bao gồm: Các tác động môi trường của Metaverse, ví dụ khai thác bitcoin sử dụng lượng điện rất lớn; Các vấn đề về thực thi các chính sách và vi phạm bản quyển; Kiểm duyệt lời nói và các hoạt động trong Metaverse như tin tức giả, thù địch, chủ nghĩa cực đoan, bắt nạt, quấy rối, phân biệt chủng tộc; Các sự cố ngắt mạng do đường truyền uplink (kết nối có dây hoặc không dây từ mạng cục bộ đến mạng diện rộng) hoặc mất điện cần được xử lý an toàn.
KẾT LUẬN
Mặc dù là một công nghệ với những tiềm năng lớn và được dự báo một tương lai đầy hứa hẹn, tuy nhiên những rủi ro bảo mật của Metaverse đã hiện hữu và chúng ta cần phải nhận thức rõ ràng trước những mối đe dọa như vậy. Bài báo đã chỉ ra những thách thức bảo mật liên quan đến Metaverse, từ thực tế đó cho thấy sự cấp thiết đối với các tổ chức, doanh nghiệp trong giai đoạn bắt đầu triển khai các mô hình bảo mật mới nhằm bảo vệ những ứng dụng được thiết kế cho Metaverse. Để hạn chế các mối đe dọa tiềm tàng trong thế giới Metaverse, các tổ chức, doanh nghiệp nên áp dụng chiến lược phòng thủ chuyên sâu, với nhiều lớp kiểm soát bảo mật trong toàn bộ hệ thống công nghệ thông tin.
Hồng Đạt