深度长文:虚拟现实与增强现实带来全新的安全挑战

收藏 admin 来源:众创梦工场 评论:
 
点击量:
 
2017-06-12

【导读】试想,当医师正在对创伤应激综合症病人进行虚拟实际医治时,病人头戴设备的屏幕上俄然呈现不知从何而来,异常恐惧的画面;当你在家中兴致盎然、轻松惬意地对公司的新建筑模型进行长途3D虚拟调试时,有人现已悄悄修改了规划参数;或许当你带着虚拟实际设备长

试想,当医师正在对创伤应激综合症病人进行虚拟实际医治时,病人头戴设备的屏幕上俄然呈现不知从何而来,异常恐惧的画面;

当你在家中兴致盎然、轻松惬意地对公司的新建筑模型进行长途3D虚拟调试时,有人现已悄悄修改了规划参数;

或许当你带着虚拟实际设备长途看房时,有人现已盗取了你的首要数据……没错,这正是与虚拟实际、增强实际年代如影随行的网络安全疑问。

哪里有网络,哪里就有黑客。在虚拟实际与增强实际日益走进干流的一起,网络进犯手法相同在更新、晋级,并借着这一新的核算渠道大举损坏。这是一个新的首要课题,让咱们从头思考互联网、物联网与数据安全,一起也值得监管者、厂商、商业运用部分与消费者提高注重。

当然,任何的新疑问,在立异者看来,都是新时机。许多公司就正在环绕这些新疑问开发新商品,以捍卫虚拟实际国际之安全。

曩昔几年中,虽然许多游戏与文娱渠道现已开宣布了琳琅满目的虚拟实际(以下简称VR)内容,但VR的运用远不止单一的游戏作业。事实上,VR技能在IT范畴的影响,足以证实该技能能够在商业和技能作业中得到有用而持续的运用。

虽然虚拟实际和增强实际涉及的专业公司名单可谓完美,但网络和数据安全疑问依然存在。据有关陈述显现,2016年,数据走漏事情添加了40%,其间45%的泄密发生在商业部分。通常情况下,VR设备都短少强壮的安全体系,现代黑客能够从这些设备下手,黑入有关渠道,然后对公司、政府部分乃至消费者构成严峻损失。

可是,每发生一起新的数据侵略事情,就会有一家公司兴起,并给出相应的解决方案,以便使这种技能更为安全。此外,许多公司现已开端运用隐写术(Steganography)和SpatialOS等办法来避免而不是冲击网络安全进犯,成果不只是积极的,并且正在改动咱们全体上看待互联网和技能的办法。

一、IT、规划与开发中的虚拟与混合实际

在曩昔几年中,跟着第一个虚拟实际原型商品发布,科技公司和消费者就一向难掩其振奋的心情和对商品的需求。据研讨公司SuperData的陈述显现,2016年,全球VR头显设备销量达630万台;另据Digi-Capital陈述,虚拟实际范畴的出资现已超越二十亿美元。

虚拟实际在商业中的影响现已十分广泛,从3D建模、测验到3-DAT数据剖析,公司能够运用3D虚拟技能来进行财政和事务数据评价。可是,虚拟实际和增强实际的将来远景,远远超出了其原有操控设备的设定。

例如,经过运用CAVE触感手套及沉溺式体系,如西班牙公司Neurodigital Technologies开发的虚拟实际手套Gloveone,以及HTC VIVE等动作捕捉设备,你不只能够测验和操作模型、商品和建筑规划,并且还具有实在的触感反响,就像实在物体相同。

此外,英国华威大学物理研讨员Richard Wellard创立了一家名为3-DAT的研讨公司,致力于协助公司削减趋势剖析的时刻,并运用三维数据找到改善其事务方法的办法。这种3D技能可用于盯梢IT组合办理和事务方法改善的数据,并可协助公司的IT部分轻松查看许多数据。

作为华威大学研讨团队的一部分,担任带电粒子在近地空间中三维路径剖析项目,Wellard发现运用3D技能进行数据剖析削减了编译和剖析的时刻,是十分有用的一种办法。

因而,他创立了虚拟实际3D数据建模公司,致力于依据虚拟渠道的数据剖析作业,使公司能够以更高效和更互动的办法实时查看其事务数据,并拟定多项改善方案。 可是,即便集成了RESTful API的FileMaker、IBM的Watson Analytics、Linux的R或ROOT东西等软件,也能够将你的事务中正在运用的程序集成到虚拟渠道中,然后更好地剖析。

公司运用虚拟实际技能的另一种运用是将虚拟实际技能接入页面规划东西中,使页面规划进程的交互性更强、更加易用。一些人猜测这也许意味着将来几十年对页面规划师的需求将下降。这个商场现在还很小,假如将来能够构成更有冲击力的规划方法,将它整合到公司的页面规划部分中,将会取得更大的优势。

经过运用JavaScript的API、WebVR等虚拟实际规划东西,并且在Mozilla的MozVR中查看虚拟实际规划的一些办法,你将能够开端在Oculus Rift、HTC Vive和Google Cardboard等多个渠道上学习VR规划。

可是,只要与任何具有低安全规范的设备衔接,身份盗取和数据走漏的要挟就依然存在。跟着630万VR头显设备衔接到物联网,大规模歹意软件传染并浸透这些头显的自个数据的也许性是无穷的,这些VR和IT公司在将来十年所采纳的行动将直接影响其消费者、公司和政府部分的安全。

二、虚拟实际、增强实际、物联网——它们安全吗?

跟着对虚拟实际运用的需求日益添加,有些公司为了能够抢先竞争对手,挑选绕过那些隐私和安全规范,使VR设备在衔接到物联网或其它程序时存在风险。

对于致使安全疑问的供求疑问,美国作业足球赛事VR内容供给方Laduma公司的CEO Ben Smith表明:“为了抢先竞争对手,而将新技能迅速推入商场,会存在必定的犯错风险。”在曩昔几年中,AR/VR在商场备受期待,面临2016年庞大的商场需求,公司要么被逼将存在必定安全风险的商品投入商场,要么放弃这块商场。

毫无疑问,经过多种不安全设备接入互联网,为黑客供给了一个获取各种数据的时机。黑客能够从VR渠道获取用户自个提交的数据,也能够搜集未经同意的用于商业推广的数据。事实上,Tata通讯公司的Srinivasan CR从前说过,“衔接到网络中的每个设备都存在潜在的缝隙,能够用来浸透网络自身和与其相衔接的其它设备。”

当上一年三月Oculus Rift发布时,他们的协议条款表明,他们不只会获取用户的基本信息,还会搜集更多的自个信息,如用户的电子邮件、作业、出生日期和寓居地点,依据其方位、人员和爱好,对于这些人树立推广剖析。 此外,Oculus Rift还会对用户的在线交易、网络和APP运用情况进行盯梢,以便公司进行定向性的推广活动,包含你想要采购的或需求的东西。

可是,虽然该公司宣称现已布置了许多的安全措施,可是这些用户数据搜集与衔接到效劳器的缺少安全防备的设备许多向身份窃贼、数据操作者、视觉恐惧主义和网络垂钓等黑客打开。

运用增强实际游戏(如Pokemon Go)或混合实际技能(如Dan Gottlieb)进行发明时,有必要要对用户方位进行定位。当运用安全规范较低的VR设备时,会对自个用户构成要挟。黑客会从VR设备下手追寻你,对你进行进犯(如吸引Pokemon Go玩家进入冷巷并实施掠夺),或许发现你常常拜访的银行和其它方位,然后盗取你更多的自个信息。

最终,比如OpenSimulator Metaverse的HyperGrid和内容分发网络(CDN)等运用程序是黑客现已开端进犯VR用户及其自个信息的另一种办法。 特别是经过超衔接与各种VR设备衔接,这些衔接通常都是不安全的,黑客能够浸透这些设备并获取他们需求的数据。

自从E3游戏展会允许各公司运用依据地理方位的分布式效劳器向消费者供给与VR兼容的视频内容,CDN就在VR国际中占有一席之地。可是,曩昔几年里,DDoS CDN进犯持续上升,黑客现已找到新办法浸透这些CDN的防火墙,进行不停的循环进犯。依据这种办法,运用VR中的CDN也许会致使许多设备被传染,并构成一个僵尸网络,致使许多消费者的自个数据遭到走漏和失窃。

三、视觉恐惧主义、僵尸网络、脸部辨认与网络垂钓

VR方面的身份盗用是相对简略的,视觉恐惧主义、僵尸网络、脸部辨认和网络垂钓都是略微对比保守的办法,黑客们现已从VR中获取优点。虽然许多消费者不知道这些歹意的网络进犯方法及其运作办法,可是它们对全球的VR用户和公司依然构成严峻的要挟。

特别是视觉恐惧主义备受多个国家注重,由于它能够加剧一自个运用VR的负面影响,如头晕、厌恶、肌肉抽搐、视力含糊、头痛和癫痫发生。黑客经过侵略没有安全保护的设备并传达歹意软件,能够发生响亮的闪耀、夺目的颜色或旋转的屏幕,然后对VR用户构成许多视觉进犯,乃至会致使消费者逝世。

此外,北卡罗来纳大学的一组研讨人员近来发现了一种能够绕过现代人脸辨认,在VR设备屏幕上组成人脸的新验证办法。曩昔,人脸辨认体系在许多地方被运用,包含移动付出和大公司的首要数据安全防备措施,但这些辨认软件也许很简单被屏幕上运用的图像所利诱。当前,这些设备集中在人脸和肌肤纹理上的近80个不相同的节点,以更杂乱的办法剖析人脸。

虽然如此,北卡罗来纳大学能够从每个被测验者的自个交际网络帐户中获取几张相片,并创立高精度的3D模型,然后将其显现在VR设备的屏幕上,并经过相机设备寻求完成脸部辨认。在测验时,一切被测验的五个运用程序都不知道实在的人脸和3D模型之间的区别,这为公司和消费者带来了另一个十分规的、十分可怕的安全要挟。

相同,网络垂钓也是黑客进行歹意进犯的另一种办法。黑客经过发明虚伪身份,以拐骗别人进行他们通常不会做的事情。例如,黑客进入VR设备并运用假的虚拟方针或伪装成体系更新,消费者也许会无意间将木马布置到网络中或许将其暗码走漏给黑客,致使黑客轻松侵略,从云端操作数据。

另一个要挟是僵尸网络的歹意病毒,特别是上一年发生的物联网病毒传染,如Mirai病毒经过物联网设备进行许多的DDoS进犯。该歹意软件运用一张近60个多见的出厂默许用户名和暗码为方针的安全规范较低的设备列表,然后绕过反DOS软件,监督并操控效劳器设备。

与BASHLITE歹意软件相同,上一年9月,Mirai病毒进犯了安全研讨组织Biran Krebs的网站,进犯强度创纪录的达到了665 G,但这远不及该病毒对物联网设备构成的进犯。在进犯安全研讨组织Biran Krebs后的一个月,10月份,该病毒将其在Krebs进犯中传染的网络摄像头和一些新传染的设备接入到网络中,构成更多的设备传染,并对美国DNS效劳供给商Dyn进行进犯,致使包含Github、Twitter、Spotify、Reddit、Netflix等多个大型网站无法拜访。

这次进犯发明了一个新纪录,进犯强度高达1.2T。对此,英国半导体知识产权供给商ARM公司的CEO Simon Segars表明:“假如你是构建IoT商品的设备制造商,你真的应当忧虑固件的更新。”事实上,ARM现已开宣布物联网设备办理解决方案Mbed Clou,以协助公司更新设备芯片,并定制操作体系,以避免比如对于Dyn和Krebs的DDoS进犯。

除此以外,别的多家公司现已开端防备僵尸网络安全疑问,十分认真地布置了新的设备和程序,以避免数据侵略和DDoS进犯。特别是本年1月23日建立的Securifi公司致力于协助IT专业人士运用VR技能或检索数据为公司创立专门对于僵尸网络的家用设备,以避免安全性较差的家用设备遭到黑客的影响。

四、Mirai病毒对咱们的启示

IT专业人士,以及Dyn和KrebsOnSecurity公司经过剖析Mirai进犯,断定疑问的关键在于:进犯首要来自安全性较差的网络摄像头和DVR。这表明,安全性较差的家用设备是Mirai病毒进犯的方针。也就是说,除了缺少安全措施的VR设备以外,由于通常消费者通常不注重网络安全,常常运用弱暗码或默许设置,很容易导致歹意病毒的进犯,如Mirai病毒进行的DDoS进犯。

事实上,多家公司宣称,这种进犯证实,在2017年,人工智能在安全性较差的电子设备(如VR设备和手机)中的运用无疑将变成下一个遭到歹意软件和黑客进犯的体系。虽然像T-Mobile、Oculus和Sony等公司承诺在将来几年内供给更高的安全规范,T-Mobile也正在对他们的4G LTE网络采纳措施,以保证云安全,这个疑问现在依然很遍及,其影响也许会致使严峻的数据走漏。

在这个疑问上,Positive Technology公司的Alex Matthews乃至表明:“人工智能也许是最风险的VR网络进犯方针。人工智能的安全查看是一件十分艰巨的使命,由于其做法和反响的规模十分广泛。” 就此而言,无需多想,能够假设2017年将是VR数据走漏的一年,而与之奋斗的公司将持续协助公司运用虚拟实际体系,而不用忧虑在此进程中变成数据侵略的受害者,然后连续VR技能的拓展及其盈余才能。

相同,在网络安全组织Krebs遭到进犯后,Brian Krebs表明:“互联网将很快充满着各种进犯。”虽然这是种看似相当失望的观点,可是Krebs和许多别的IT专业人士所看到的:衔接到安全性较差的设备对物联网的不利影响并不悠远。经过对这两次进犯的数据剖析,并学会怎么避免进犯,咱们能够保证数百万VR用户,包含运用这种新技能进行数据剖析的许多专业设备,不会变成黑客和僵尸网络的下一个方针。

五、运用SpatialOS、隐写术、云安全、僵尸网络、IoT安全以及负载平衡来推进数据安全

跟着数据安全变成VR技能接入物联网的一个疑问,许多公司都看到了VR技能对数据剖析、3D建模构成的不可估量的影响。安全和不安全设备间的距离也是各公司都有必要要正确挑选和面临的。例如,当两名英国政府代表来到虚拟仿真公司Improbable,以运用SpatialOS软件创立一个网络3D模型,Improbable就取得了某种认可。

经过运用SpatialOS,能够大规模地展现鸿沟网关协议(BGP)的动态模型,并研讨各种缺点,以断定黑客也许会进犯或正在进犯的方位,并能够在疑问呈现之前,避免多种数据走漏。这种3D建模的方法是一种令人形象深入且十分有用的东西,政府能够用来监管那些安全性较差的设备及其供货商。

此外,跟着许多公司追逐VR潮流,在家中从虚拟模型中长途拜访作业数据或运用3D技能对商品进行测验正在变成黑客进犯安全性较差的VR设备,并获取全球各地公司敏感信息的另一种办法。因而,在同享到VR的文件(如音频或视频)中运用隐写术,正在渐渐变成一种更多见的办法。

跟着许多VR设备衔接到云端,并变成物联网的一部分,许多公司现已企图对于云安全的缺点,以保护这些衔接设备。可是,由于发生的数据量十分大,有些人则以为,运用PCI DSS安全规范和数据匿名化技能是应对数据安全疑问的仅有期望。

例如,经过运用PCI DSS数据安全规范,他们倾向专注于构建云安全以及CDN安全性,一起经过负载平衡来添加并发用户和运用程序的可靠性。英国提塞德大学的Joao Ferreira是数据匿名化的坚定支持者,他乃至在曩昔表明:“需求新的数据匿名化技能,以便VR设备在搜集新数据时不需求辨认其初始生产者。”

避免僵尸网络的物联网安全技能也正在渐渐兴起。如F-Secure和诺顿这样的老牌杀毒软件厂商,现已开宣布有关设备,用于避免你的家庭和单位被黑客侵略,一起也支持物联网和云安全。经过在单位的VR设备中运用这些防备措施,公司能够保证VR设备的安全性。

毫不奇怪,令人难以置信的虚拟实际和增强实际设备正在变成将来技能商业运用的铺路砖。可是,知道你要去哪里,并保证在此进程中坚持安全,你就能够持续前进,而不会由于数据走漏对你的事务构成严峻后果。

有种说法,将来即现在,虚拟实际终将变成实际。虚拟实际对互联网、对网络安全、对咱们生活的影响,每一天都在扩展。


文章来源:VR头条

 
人已评论
网友参与评论
表情
最新评论
点击加载更多
热门专题
会员登陆
发布招标
  • 您的称呼
  • 联系电话
评论(0人) 顶部