Thuật ngữ “Metaverse” lần đầu tiên được biết đến vào năm 1992 bởi tác giả Neal Stephenson trong cuốn tiểu thuyết khoa học viễn tưởng “Snow Crash” của ông, trong đó Metaverse là thuật ngữ để mô tả một thế giới ảo - nơi con người tương tác với nhau và sử dụng hình ảnh của chính họ để khám phá thế giới trực tuyến.
Khi Metaverse phát triển, nó sẽ mở ra không gian trực tuyến tương tác của người dùng đa chiều hơn so với các công nghệ hiện tại. Theo thống kê của hãng nghiên cứu Gartner, doanh thu toàn cầu của các công nghệ nền tảng đối với Metaverse là AR/VR dự báo sẽ tăng từ 12 tỷ USD năm 2020 lên tới 72,8 tỷ USD năm 2024. Cũng theo Gartner dự báo, hơn 25% dân số sẽ dành ít nhất 1 giờ/ngày để thực hiện giao dịch hoặc giao lưu trong Metaverse vào năm 2026.
Hiện nay, nhiều doanh nghiệp, công ty công nghệ lớn trên thế giới đã và đang ứng dụng Metaverse vào nhiều lĩnh vực khác nhau như thương mại, giải trí, chăm sóc sức khỏe, giáo dục đào tạo,… Metaverse đặc biệt được chú ý hơn từ sự kiện đổi tên thành Meta vào cuối năm 2021, với tham vọng chuyển toàn bộ định hướng hoạt động của mình sang Metaverse trong vòng 10 năm tới. Một mục tiêu mà họ đặt ra cho chính mình: “Có 1 tỷ người dùng hoạt động trong Metaverse vào năm 2030”. Facebook cho biết sẽ đầu tư khoảng 10 tỷ đô la mỗi năm vào việc phát triển công nghệ để hướng tới mục tiêu này. Tầm nhìn của Giám đốc điều hành Meta, Mark Zuckerberg là tạo một thế giới thực tế ảo có thể thay đổi cách chúng ta kết nối hoặc làm việc với mọi người.
Những lợi ích và tiềm năng của Metaverse là điều mà mọi người luôn nhắc tới và nhận thấy rõ, tuy nhiên, trong bối cảnh các hình thức đang trở nên nguy hiểm và tinh vi hơn, chúng ta cũng không nên đánh giá thấp những rủi ro và mối đe dọa bảo mật liên quan đến công nghệ mới này. Trong Metaverse, chuyển động của mọi người thực hiện đều là một điểm dữ liệu và nếu có thể truy cập vào nó vượt qua được sự bảo mật lỏng lẻo của hệ thống, thì đây chính là cơ hội lớn để tấn công đối với các tin tặc.
Mặc dù tấn công kỹ nghệ xã hội không phải là một kỹ thuật mới, nhưng nó cũng là một mối đe dọa cần phải chú ý trong thế giới Metaverse. Đây là một hình thức tấn công lừa đảo mà tin tặc tác động trực tiếp đến tâm lý người dùng để đánh lừa họ cung cấp các thông tin nhạy cảm. Ví dụ: tin tặc có thể xâm nhập vào Metaverse để mạo danh công ty, nhà cung cấp, quan chức,…
Lừa đảo qua email và tin nhắn là những hình thức tấn công phổ biến trên Internet ngày nay, trong đó là tấn công sử dụng kỹ nghệ xã hội để đánh cắp mật khẩu và dữ liệu thông tin cá nhân. Với Metaverse, điều đó có thể còn dễ dàng hơn, đặc biệt nếu mọi người nghĩ rằng đang nói chuyện và trao đổi với một người mà họ biết và tin tưởng, trong khi đó thực tế là một người hoàn toàn khác.
Một trong những khía cạnh quan trọng của Metaverse là người dùng được đại diện trong môi trường ảo bằng các hình ảnh đại diện tùy chỉnh. Tin tặc có thể tạo một hình đại diện giống một người dùng bất kỳ, sau đó sử dụng chính hình đại diện này để phục vụ cho các cuộc tấn công kỹ nghệ xã hội, hoặc như với bất kỳ tài khoản trực tuyến nào khác, chúng có thể đột nhập vào tài khoản thật. Trong một bài đăng vào cuối tháng 3/2022, Charlie Bell - Phó Chủ tịch điều hành Microsoft đã thảo luận về những thách thức đối với Metaverse, trong đó đề cập đến việc người dùng có thể bị lừa đảo trên Metaverse dựa trên những thông tin định danh, đó có thể là hình đại diện của một giao dịch viên, người thân, bạn bè, hay là hành vi mạo danh lãnh đạo của người dùng mời họ tham gia vào một phòng họp ảo chứa những payload độc hại.
Andrew Newman, người sáng lập và CTO tại công ty an ninh mạng ReasonLabs chia sẻ: “Một tỷ lệ lớn tài khoản người dùng luôn bị xâm phạm. Đó là điều chắc chắn sẽ mở rộng sang thế giới ảo Metaverse”. Việc sử dụng hình đại diện ảo cũng mang đến một vấn đề khác, đó là làm cách nào để xác minh rằng bạn đang nói chuyện với con người? Các bot trò chuyện dựa trên văn bản đã phổ biến để giúp cung cấp cho mọi người các dịch vụ khách hàng. Sự phát triển của trí tuệ nhân tạo có nghĩa là bot sẽ chỉ tương tác và phản hồi với mọi người tốt hơn. Lewis Duke, kỹ sư của công ty an ninh mạng Trend Micro cho biết: “Bạn có thể đang tương tác với ai đó và không biết đó là người hay bot hay AI”.
Trên thực tế, bề mặt tấn công của Metaverse khá rộng, có thể mở rộng phạm vi với các phần mềm dựa trên web, API và các cổng thanh toán trực tuyến.
Các nhà nghiên cứu bảo mật từ Đại học Rutgers cho biết vào đầu năm nay, họ đã kiểm tra cách các tính năng ra lệnh bằng giọng nói trên tai nghe thực tế ảo có thể dẫn đến vi phạm quyền riêng tư nghiêm trọng, được gọi là “tấn công nghe trộm”. Mối đe dọa này cho thấy tin tặc có khả năng sử dụng một số tai nghe thực tế ảo (AR/VR) có cảm biến chuyển động tích hợp để ghi lại cử chỉ khuôn mặt liên quan đến lời nói, dẫn đến khả năng đánh cắp thông tin nhạy cảm được truyền thông qua điều khiển kích hoạt bằng giọng nói, bao gồm thông tin thẻ tín dụng và mật khẩu. Nguyên nhân cốt lõi của vấn đề dường như là do thiếu xác thực người dùng.
Bên cạnh đó, tai nghe thực tế ảo chỉ là một loại thiết bị và việc cài đặt phần mềm độc hại trên đó sẽ cho phép tin tặc có quyền truy cập vào hệ thống, đánh cắp thông tin cá nhân. Trong thế giới Metaverse, có các lớp bổ sung để phần mềm độc hại có thể tương tác. “Rõ ràng là nó có quyền truy cập vào toàn bộ hệ thống tệp thiết bị của bạn. Nhưng điều đáng sợ hơn nữa là nó có quyền truy cập vào một số tính năng như chụp màn hình, xem màn hình và tất cả những thông tin rất nhạy cảm về quyền riêng tư”, Newman cảnh báo.
Các nhà nghiên cứu an ninh mạng tại ReasonLabs đã xác định một cuộc tấn công nhằm vào người dùng Metaverse. Còn được gọi là “Big Brother”, nó dựa trên việc tải xuống phần mềm độc hại khai thác chế độ nhà phát triển (Developer Mode) và có thể được sử dụng để ghi lại màn hình, cũng như tải các tệp độc hại hoặc giả mạo những gì người dùng có thể nhìn thấy trong giới hạn của tai nghe. Điều đó có nghĩa là các cuộc tấn công có thể không chỉ bị hạn chế thực hiện các hoạt động độc hại trong chính Metaverse – nếu tin tặc có thể kiểm soát hoàn toàn tai nghe thì chúng có thể gây tổn hại về thể chất của người dùng.
Ngoài ra, khi đặt vấn đề rủi ro về quyền riêng tư trong Metaverse, chúng ta cũng cần quan tâm lượng dữ liệu nhạy cảm được thu thập. Nhà cung cấp Metaverse sẽ kiểm soát tất cả các khía cạnh của không gian ảo của họ, thu thập lượng lớn dữ liệu người dùng và kiếm tiền từ dữ liệu được thu thập.
Các chuyên gia bảo mật nhận định các nhóm tin tặc sẽ bị thu hút vào Metaverse vì khối lượng giao dịch thương mại điện tử khổng lồ diễn ra trong thế giới này. Chúng sẽ cố gắng lợi dụng người dùng để đánh cắp tiền và chiếm đoạt tài sản số của họ.
Giống như nhiều loại tiền tệ đã tồn tại trong thế giới thực, Metaverse sẽ sử dụng loại tiền tệ hoặc tiền điện tử của riêng nó. Cần chú ý rằng, tiền điện tử cũng có thể dẫn đến sự gia tăng đáng kể các hoạt động rửa tiền trong nền kinh tế ảo của không gian số Metaverse. Khi các loại tiền số này được thiết lập để phát triển, việc thiếu các quy định về trao đổi an toàn giữa người mua và người bán có thể dẫn đến những mối đe dọa liên quan đến trao đổi tiền tệ.
NFT có thể gặp vấn đề về tính toàn vẹn. NFT quy định quyền sở hữu những khối tài sản nhưng lại không cung cấp lưu trữ cho các tài sản. Điều này có thể dẫn đến tấn công mã độc tống tiền hoặc các cuộc tấn công khác. Nếu các tệp dữ liệu NFT bị mã hóa trong các cuộc tấn công bằng mã độc tống tiền thì người dùng sẽ vẫn giữ được quyền sở hữu, nhưng họ có thể bị chặn truy cập vào tài sản nếu họ không trả tiền chuộc.
Trong bản báo cáo về Metaverse vào tháng 8/2022, hãng bảo mật Trend Micro đã đưa ra một số nguy cơ và mối đe dọa bảo mật khác. Trong đó có một số rủi ro có thể bao gồm: Các tác động môi trường của Metaverse, ví dụ khai thác bitcoin sử dụng lượng điện rất lớn; Các vấn đề về thực thi các chính sách và vi phạm bản quyển; Kiểm duyệt lời nói và các hoạt động trong Metaverse như tin tức giả, thù địch, chủ nghĩa cực đoan, bắt nạt, quấy rối, phân biệt chủng tộc; Các sự cố ngắt mạng do đường truyền uplink (kết nối có dây hoặc không dây từ mạng cục bộ đến mạng diện rộng) hoặc mất điện cần được xử lý an toàn.
Mặc dù là một công nghệ với những tiềm năng lớn và được dự báo một tương lai đầy hứa hẹn, tuy nhiên những rủi ro bảo mật của Metaverse đã hiện hữu và chúng ta cần phải nhận thức rõ ràng trước những mối đe dọa như vậy. Bài báo đã chỉ ra những thách thức bảo mật liên quan đến Metaverse, từ thực tế đó cho thấy sự cấp thiết đối với các tổ chức, doanh nghiệp trong giai đoạn bắt đầu triển khai các mô hình bảo mật mới nhằm bảo vệ những ứng dụng được thiết kế cho Metaverse. Để hạn chế các mối đe dọa tiềm tàng trong thế giới Metaverse, các tổ chức, doanh nghiệp nên áp dụng chiến lược phòng thủ chuyên sâu, với nhiều lớp kiểm soát bảo mật trong toàn bộ hệ thống công nghệ thông tin.
Hồng Đạt
23:00 | 02/09/2022
08:45 | 28/12/2015
08:00 | 07/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
13:00 | 09/10/2023
Field-programmable gate array (FPGA) là công nghệ vi mạch tích hợp khả trình có tính ưu việt và mức độ ứng dụng phổ biến nhất trong vòng vài chục năm trở lại đây. Ngoài khả năng tái cấu trúc vi mạch toàn cục, một số FPGA hiện đại còn hỗ trợ tái cấu trúc từng bộ phận riêng lẻ (partial configuration) trong khi vẫn đảm bảo hoạt động bình thường cho các bộ phận khác. Đây là chức năng cho phép ứng dụng có thể tái cấu trúc một phần thiết kế theo yêu cầu mà không cần phải ngừng hệ thống để lập trình lại toàn bộ. Bài viết sẽ giới thiệu một hệ thống tái cấu trúc từng phần được xây dựng trên board phát triển Z-turn Xynq-7020 của Xilinx, từ đó đề xuất một phương pháp tái cấu trúc từng phần trong bài toán an toàn thiết kế phần cứng trên nền công nghệ FPGA.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
10:00 | 17/05/2024