Thuật ngữ “Metaverse” lần đầu tiên được biết đến vào năm 1992 bởi tác giả Neal Stephenson trong cuốn tiểu thuyết khoa học viễn tưởng “Snow Crash” của ông, trong đó Metaverse là thuật ngữ để mô tả một thế giới ảo - nơi con người tương tác với nhau và sử dụng hình ảnh số hóa của chính họ để khám phá thế giới trực tuyến.
Khi Metaverse phát triển, nó sẽ mở ra không gian trực tuyến tương tác của người dùng đa chiều hơn so với các công nghệ hiện tại. Theo thống kê của hãng nghiên cứu Gartner, doanh thu toàn cầu của các công nghệ nền tảng đối với Metaverse là AR/VR dự báo sẽ tăng từ 12 tỷ USD năm 2020 lên tới 72,8 tỷ USD năm 2024. Cũng theo Gartner dự báo, hơn 25% dân số sẽ dành ít nhất 1 giờ/ngày để thực hiện giao dịch hoặc giao lưu trong Metaverse vào năm 2026.
Hiện nay, nhiều doanh nghiệp, công ty công nghệ lớn trên thế giới đã và đang ứng dụng Metaverse vào nhiều lĩnh vực khác nhau như thương mại, giải trí, chăm sóc sức khỏe, giáo dục đào tạo,… Metaverse đặc biệt được chú ý hơn từ sự kiện đổi tên Facebook thành Meta vào cuối năm 2021, với tham vọng chuyển toàn bộ định hướng hoạt động của mình sang Metaverse trong vòng 10 năm tới. Một mục tiêu mà họ đặt ra cho chính mình: “Có 1 tỷ người dùng hoạt động trong Metaverse vào năm 2030”. Facebook cho biết sẽ đầu tư khoảng 10 tỷ đô la mỗi năm vào việc phát triển công nghệ để hướng tới mục tiêu này. Tầm nhìn của Giám đốc điều hành Meta, Mark Zuckerberg là tạo một thế giới thực tế ảo có thể thay đổi cách chúng ta kết nối hoặc làm việc với mọi người.
Những lợi ích và tiềm năng của Metaverse là điều mà mọi người luôn nhắc tới và nhận thấy rõ, tuy nhiên, trong bối cảnh các hình thức tấn công mạng đang trở nên nguy hiểm và tinh vi hơn, chúng ta cũng không nên đánh giá thấp những rủi ro và mối đe dọa bảo mật liên quan đến công nghệ mới này. Trong Metaverse, chuyển động của mọi người thực hiện đều là một điểm dữ liệu và nếu có thể truy cập vào nó vượt qua được sự bảo mật lỏng lẻo của hệ thống, thì đây chính là cơ hội lớn để tấn công đối với các tin tặc.
Mặc dù tấn công kỹ nghệ xã hội không phải là một kỹ thuật mới, nhưng nó cũng là một mối đe dọa cần phải chú ý trong thế giới Metaverse. Đây là một hình thức tấn công lừa đảo mà tin tặc tác động trực tiếp đến tâm lý người dùng để đánh lừa họ cung cấp các thông tin nhạy cảm. Ví dụ: tin tặc có thể xâm nhập vào Metaverse để mạo danh công ty, nhà cung cấp, quan chức,…
Lừa đảo qua email và tin nhắn là những hình thức tấn công phổ biến trên Internet ngày nay, trong đó là tấn công sử dụng kỹ nghệ xã hội để đánh cắp mật khẩu và dữ liệu thông tin cá nhân. Với Metaverse, điều đó có thể còn dễ dàng hơn, đặc biệt nếu mọi người nghĩ rằng đang nói chuyện và trao đổi với một người mà họ biết và tin tưởng, trong khi đó thực tế là một người hoàn toàn khác.
Một trong những khía cạnh quan trọng của Metaverse là người dùng được đại diện trong môi trường ảo bằng các hình ảnh đại diện tùy chỉnh. Tin tặc có thể tạo một hình đại diện giống một người dùng bất kỳ, sau đó sử dụng chính hình đại diện này để phục vụ cho các cuộc tấn công kỹ nghệ xã hội, hoặc như với bất kỳ tài khoản trực tuyến nào khác, chúng có thể đột nhập vào tài khoản thật. Trong một bài đăng vào cuối tháng 3/2022, Charlie Bell - Phó Chủ tịch điều hành Microsoft đã thảo luận về những thách thức đối với Metaverse, trong đó đề cập đến việc người dùng có thể bị lừa đảo trên Metaverse dựa trên những thông tin định danh, đó có thể là hình đại diện của một giao dịch viên, người thân, bạn bè, hay là hành vi mạo danh lãnh đạo của người dùng mời họ tham gia vào một phòng họp ảo chứa những payload độc hại.
Andrew Newman, người sáng lập và CTO tại công ty an ninh mạng ReasonLabs chia sẻ: “Một tỷ lệ lớn tài khoản người dùng luôn bị xâm phạm. Đó là điều chắc chắn sẽ mở rộng sang thế giới ảo Metaverse”. Việc sử dụng hình đại diện ảo cũng mang đến một vấn đề khác, đó là làm cách nào để xác minh rằng bạn đang nói chuyện với con người? Các bot trò chuyện dựa trên văn bản đã phổ biến để giúp cung cấp cho mọi người các dịch vụ khách hàng. Sự phát triển của trí tuệ nhân tạo có nghĩa là bot sẽ chỉ tương tác và phản hồi với mọi người tốt hơn. Lewis Duke, kỹ sư của công ty an ninh mạng Trend Micro cho biết: “Bạn có thể đang tương tác với ai đó và không biết đó là người hay bot hay AI”.
Trên thực tế, bề mặt tấn công của Metaverse khá rộng, có thể mở rộng phạm vi với các phần mềm dựa trên web, API và các cổng thanh toán trực tuyến.
Các nhà nghiên cứu bảo mật từ Đại học Rutgers cho biết vào đầu năm nay, họ đã kiểm tra cách các tính năng ra lệnh bằng giọng nói trên tai nghe thực tế ảo có thể dẫn đến vi phạm quyền riêng tư nghiêm trọng, được gọi là “tấn công nghe trộm”. Mối đe dọa này cho thấy tin tặc có khả năng sử dụng một số tai nghe thực tế ảo (AR/VR) có cảm biến chuyển động tích hợp để ghi lại cử chỉ khuôn mặt liên quan đến lời nói, dẫn đến khả năng đánh cắp thông tin nhạy cảm được truyền thông qua điều khiển kích hoạt bằng giọng nói, bao gồm thông tin thẻ tín dụng và mật khẩu. Nguyên nhân cốt lõi của vấn đề dường như là do thiếu xác thực người dùng.
Bên cạnh đó, tai nghe thực tế ảo chỉ là một loại thiết bị và việc cài đặt phần mềm độc hại trên đó sẽ cho phép tin tặc có quyền truy cập vào hệ thống, đánh cắp thông tin cá nhân. Trong thế giới Metaverse, có các lớp bổ sung để phần mềm độc hại có thể tương tác. “Rõ ràng là nó có quyền truy cập vào toàn bộ hệ thống tệp thiết bị của bạn. Nhưng điều đáng sợ hơn nữa là nó có quyền truy cập vào một số tính năng như chụp màn hình, xem màn hình và tất cả những thông tin rất nhạy cảm về quyền riêng tư”, Newman cảnh báo.
Các nhà nghiên cứu an ninh mạng tại ReasonLabs đã xác định một cuộc tấn công nhằm vào người dùng Metaverse. Còn được gọi là “Big Brother”, nó dựa trên việc tải xuống phần mềm độc hại khai thác chế độ nhà phát triển (Developer Mode) và có thể được sử dụng để ghi lại màn hình, cũng như tải các tệp độc hại hoặc giả mạo những gì người dùng có thể nhìn thấy trong giới hạn của tai nghe. Điều đó có nghĩa là các cuộc tấn công có thể không chỉ bị hạn chế thực hiện các hoạt động độc hại trong chính Metaverse – nếu tin tặc có thể kiểm soát hoàn toàn tai nghe thì chúng có thể gây tổn hại về thể chất của người dùng.
Ngoài ra, khi đặt vấn đề rủi ro về quyền riêng tư trong Metaverse, chúng ta cũng cần quan tâm lượng dữ liệu nhạy cảm được thu thập. Nhà cung cấp Metaverse sẽ kiểm soát tất cả các khía cạnh của không gian ảo của họ, thu thập lượng lớn dữ liệu người dùng và kiếm tiền từ dữ liệu được thu thập.
Các chuyên gia bảo mật nhận định các nhóm tin tặc sẽ bị thu hút vào Metaverse vì khối lượng giao dịch thương mại điện tử khổng lồ diễn ra trong thế giới này. Chúng sẽ cố gắng lợi dụng người dùng để đánh cắp tiền và chiếm đoạt tài sản số của họ.
Giống như nhiều loại tiền tệ đã tồn tại trong thế giới thực, Metaverse sẽ sử dụng loại tiền tệ hoặc tiền điện tử của riêng nó. Cần chú ý rằng, tiền điện tử cũng có thể dẫn đến sự gia tăng đáng kể các hoạt động rửa tiền trong nền kinh tế ảo của không gian số Metaverse. Khi các loại tiền số này được thiết lập để phát triển, việc thiếu các quy định về trao đổi an toàn giữa người mua và người bán có thể dẫn đến những mối đe dọa liên quan đến trao đổi tiền tệ.
NFT có thể gặp vấn đề về tính toàn vẹn. NFT quy định quyền sở hữu những khối tài sản nhưng lại không cung cấp lưu trữ cho các tài sản. Điều này có thể dẫn đến tấn công mã độc tống tiền hoặc các cuộc tấn công khác. Nếu các tệp dữ liệu NFT bị mã hóa trong các cuộc tấn công bằng mã độc tống tiền thì người dùng sẽ vẫn giữ được quyền sở hữu, nhưng họ có thể bị chặn truy cập vào tài sản nếu họ không trả tiền chuộc.
Trong bản báo cáo về Metaverse vào tháng 8/2022, hãng bảo mật Trend Micro đã đưa ra một số nguy cơ và mối đe dọa bảo mật khác. Trong đó có một số rủi ro có thể bao gồm: Các tác động môi trường của Metaverse, ví dụ khai thác bitcoin sử dụng lượng điện rất lớn; Các vấn đề về thực thi các chính sách và vi phạm bản quyển; Kiểm duyệt lời nói và các hoạt động trong Metaverse như tin tức giả, thù địch, chủ nghĩa cực đoan, bắt nạt, quấy rối, phân biệt chủng tộc; Các sự cố ngắt mạng do đường truyền uplink (kết nối có dây hoặc không dây từ mạng cục bộ đến mạng diện rộng) hoặc mất điện cần được xử lý an toàn.
Mặc dù là một công nghệ với những tiềm năng lớn và được dự báo một tương lai đầy hứa hẹn, tuy nhiên những rủi ro bảo mật của Metaverse đã hiện hữu và chúng ta cần phải nhận thức rõ ràng trước những mối đe dọa như vậy. Bài báo đã chỉ ra những thách thức bảo mật liên quan đến Metaverse, từ thực tế đó cho thấy sự cấp thiết đối với các tổ chức, doanh nghiệp trong giai đoạn bắt đầu triển khai các mô hình bảo mật mới nhằm bảo vệ những ứng dụng được thiết kế cho Metaverse. Để hạn chế các mối đe dọa tiềm tàng trong thế giới Metaverse, các tổ chức, doanh nghiệp nên áp dụng chiến lược phòng thủ chuyên sâu, với nhiều lớp kiểm soát bảo mật trong toàn bộ hệ thống công nghệ thông tin.
Hồng Đạt
23:00 | 02/09/2022
08:45 | 28/12/2015
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
10:00 | 21/04/2023
Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024