Wirtualny świat - realni złodzieje
Utrata prawdziwych pieniędzy i danych osobistych to rzeczywistość w wirtualnych światach. Agencja European Network and Information Security Agency (ENISA) opublikowała właśnie studiumPDF, w którym ostrzega przed różnorodnym ryzykiem czyhającym na uczestników wirtualnych światów oraz tak zwanych gier Massive Multiplayer Online Games (MMO), np. World of Warcraft.
Agencja bezpieczeństwa sieciowego zauważa poważny wzrost przypadków oszustw w wirtualnych światach. Ankieta przeprowadzona przez agencję wśród 1500 użytkowników pokazała, że prawie jedna trzecia z nich w ostatnim czasie została pozbawiona wirtualnego majątku.
Według agencji ENISA skalę problemu ilustruje poziom dochodów ze sprzedaży wirtualnych przedmiotów, który w roku 2007 osiągnął 2 miliardów dolarów, a także obserwowany przez Kaspersky Labs wzrost liczby szkodliwego oprogramowania. "Zlekceważenie znaczenia mechanizmów ochrony dla wartości pieniężnych w tej szarej strefie gospodarki spowodowało, że rok 2007 był rokiem oszustw w wirtualnych światach" - ostrzega agencja.
Jej raport opisuje 14 scenariuszy potencjalnych zagrożeń. Na najwyższym miejscu znajduje się kradzież tożsamości w celu przechwycenia wirtualnej własności lub prawdziwych pieniędzy gracza. W wirtualnych światach także własności niematerialne nie są bezpieczne - uważa ENISA.
Kradzież osobistych danych stała się w wirtualnych światach szczególnie łatwa dla napastników. "Awatary nie różnią się od innych tożsamości online. Użytkownicy są nawet skłonni ujawniać więcej swoich danych osobistych, jako że w wirtualnych światach są otoczeni fałszywym poczuciem bezpieczeństwa". Już teraz istnieje trend podsłuchiwania awatarów w celach marketingowych. Raport ostrzega także przed zjawiskami stalkingu i prześladowania w wirtualnych światach.
Kolejne ryzyko jest związane z klasycznymi technicznymi scenariuszami ataków takimi jak Denial of Service, które ze względu na scentralizowaną infrastrukturę przeprowadza się bez trudu. Automatyzacja pewnych funkcji może być przez napastników wykorzystana do uzyskiwania (często finansowych) korzyści. Wywołania XML, HTTP lub RPC mogą być wykorzystywane do skanowania portów lub spamowania. Skryptowanie z komendami takimi jak LlGetLandOwnerAt pozwala napastnikom na masowe lub precyzyjne zbieranie danych ważnych z punktu widzenia prywatności lub biznesu.
Autorzy studium zamykają swoją analizę zaleceniami co do postępowania skierowanymi do rządów i regulatorów, a także do samych firm. Zgodnie z tymi zaleceniami rządy powinny utworzyć forum dla operatorów, za pośrednictwem którego mogliby oni wymieniać się swoimi doświadczeniami. ENISA proponuje umożliwienie konkurującym ze sobą na co dzień firmom wymianę opinii na neutralnym gruncie.
Rządy powinny jednocześnie zająć się wyjaśnieniem istotnych kwestii prawnych, takich jak status danych o charakterze osobistym czy też dobra niematerialne w światach wirtualnych. Poza tym należy wprowadzić niezależne procedury arbitrażowe dla uczestników gier.
Same firmy muszą najpierw zminimalizować istniejące techniczne zagrożenia i zatroszczyć się o więcej bezpieczeństwa w transakcjach dokonywanych między użytkownikami. Poza tym należy zwalczać ukierunkowane ataki typu DDoS. Nierzadko silne środki zaradcze podejmowane w razie poważnych problemów dają lepsze perspektywy powodzenia niż typowe środki profilaktyczne - uważają specjaliści z ENISA.
Tym niemniej wszelkie działania na rzecz lepszego uwierzytelniania użytkowników będą witane jako krok godny pochwały. Krytyczne operacje, takie jak np. transakcje finansowe, mogłyby być lepiej zabezpieczone przy użyciu oddzielnych środowisk (takich jak Boot CD).
Zasady ochrony danych osobowych powinny jasno informować użytkowników, gdzie i jakie ich dane są zbierane, a także co może być w łatwy sposób wyśledzone przez innych użytkowników. Wszystkie one powinny być czytelnie przedstawione w jednym miejscu.
