虛擬世界是什麼?
隨著網絡技術及應用的快速發展,已經讓人們從工作、教育、人際關係的維護,到各項衣食住行生活技能,都能通過網絡來完成,並且越來越多的人在虛擬世界中找尋自我,在模擬真實的世界中,註冊成為其中的一個居民,在裡面居民可以互動、可以參加俱樂部,甚至可以結婚生子,虛擬世界是小型社會的縮影,玩家可以在這個虛擬世界盡情去做自己現實想做或不敢做的事,虛擬世界具有以下特性:
1、玩家在虛擬世界中唯一的人物、屬性、暱稱等。
2、玩家之間可以實時互動。
3、全世界各地玩家都可以參與其中。
4、虛擬世界中擁有真實世界中的一切,如移動的雲、流動的水、風等等。
目前流行的幾個虛擬世界如Second Life,IMVU,Twinity等等。
不僅僅限於虛擬世界,同時這幾個特性也存在於大型的在線遊戲裡面,比如一些多人在線角色扮演遊戲,如魔獸世界、指環王、最終幻想等等。如下圖:
虛擬世界影響:
隨著虛擬世界越來越接近現實的生活,很多公司的觸角都衍生到虛擬世界中,比如500強企業豐田、喜達屋、IBM就在虛擬世界中開闢了“第二人生”。IBM員工利用虛擬世界與客戶舉辦商務會議,喜達屋酒店在“第二人生”裡面創建了一個虛擬副本,讓潛在的客戶參觀和體驗他們的新產品,遊客可以使用酒店的功能和體驗可視化的內飾,以及整體的設計架構。
虛擬世界安全性:
網遊的普及和虛擬世界用戶快速增長,已經吸引了黑客與犯罪組織的注意了,網絡犯罪分在虛擬世界中進行他們的欺詐和其他非法活動,包括洗錢。
許多虛擬世界和在線遊戲(MMORPG遊戲)允許玩家進行真正的金錢交易,如使用信用卡等多種支付方式,在全球範圍內與其他玩家交換或購買虛擬信息用。下圖為趨勢科技總結了在過去幾年內虛擬世界和MMORPG遊戲攻擊的曲線:
現實世界的法庭已經被用來處理虛擬世界內的犯罪和反社會的活動,在荷蘭,一個十幾歲的用戶在RUNESCAPE虛擬世界中被判入獄,另在2009年,第二人生中的創業者凱文•阿爾德曼(Kevin Alderman)提起訴訟,指控另一名玩家侵犯了他的知識產權。阿爾德曼在《第二人生》中創建了一家名為“Eros LLC”的公司,主要業務是生產和銷售“虛擬性愛床”。他於週二提起訴訟,指控一位在遊戲中名為“沃爾科夫•卡頓尼奧”(Volkov Catteneo)的玩家侵犯了其知識產權。卡頓尼奧也在《第二人生》中銷售“SexGen床”,售價為1.2萬林登幣(約合45.11美元)。阿德爾曼要求《第二人生》的運營商林登實驗室披露卡頓尼奧的真實身份,並要求卡頓尼奧賠償損失。
儘管《第二人生》幾乎無所不包,但出現這類官司尚屬首次。斯坦福大學教授勞倫•格爾曼(Lauren Gelman)表示,從法律的角度來看,這場官司非常有趣。雖然可能涉及了虛擬財產所有權的概念,但這類官司以前沒有先例
由於在虛擬世界與現實世界的區別,以及監管的缺乏突出了安全事故的嚴重程度,比如針對不知情的用戶進行網絡攻擊,如計算機蠕蟲攻擊、釣魚攻擊和其他惡意的攻擊能夠直接影響到現實世界。在虛擬世界中的安全威脅可以分為以下2個不同類別:
1:虛擬世界內的威脅
2:外部的威脅
虛擬世界內的威脅
用戶在現實世界能夠感受到的威脅,同樣也可以在虛擬世界中經歷,跟現實世界的威脅比起來,虛擬世界中的可能略有不同,主要分為以下幾種:
1、 假冒身份
攻擊者可能會創建一個賬戶,而這個賬戶用戶名可能與你的好友名稱類似,筆者在早些年就遭遇到這種詐騙。筆者在遊戲中的好友名稱為範午夜,而詐騙者創建了一個賬戶名為範牛夜,而在行騙的時候,恰巧這位朋友就坐在我旁邊,所以很僥倖的被識破了。
2、釣魚攻擊
攻擊者可以通過網絡釣魚攻擊,獲取客戶的敏感信息,如用戶ID、密碼、信用卡資料等,他們通過聊天的方式發送惡意網址,用戶點擊該網頁可能會導致賬戶信息失竊。一旦用戶的賬戶被竊取,犯罪分子可以利用其帳號關聯的信用卡進行犯罪行為。
3:洗錢
由於在虛擬世界可以交易貨幣和購買商品等,所以犯罪分子可以通過該平臺進行洗錢等犯罪行為。
4:盜竊
犯罪份子可以盜取虛擬世界中的金幣轉換為現實世界中的貨幣,如盜取了用戶魔獸世界帳號中的金幣,通過各種在線平臺出售,從中獲利,這種犯罪行為在各種網絡遊戲中都存在。
5:虛擬強姦
在第二人生中,曾經有女性玩家就遭遇了虛擬強姦,犯罪分子通過黑客技術,趁著隔壁虛擬美女鄰居的幕後玩家不在線,偷偷潛入美女家中,對該虛擬女子實施了強姦。不過虛擬強姦到底是不是犯罪,專家們還沒有一個準確的定義。由於“虛擬人物並不具備人身權利。”所以網絡上的“強姦”不僅不能被認定為“強姦案”,更無從追究相關人員的法律責任,最多也只能從道德上對其進行譴責。
6:黑幫
在一些MMORPG遊戲中,玩家成幫結隊,殺害新手以獲取他們的資產,這點筆者深有體驗,在著名的網絡遊戲《傳奇》中,筆者就曾是全服公敵。
7:源碼開放導致的威脅
由於一些虛擬世界的編程語言是開放了,並提供了一些接口允許開發商和用戶進行編碼設計,並涉及了一些對象和虛擬景觀設計等,所以導致了虛擬世界容易遭受黑客攻擊。如下面的一個列子就是著名的“灰色粘質”病毒,該病毒能造成程序崩潰和賬戶產生問題,如盜取金幣等:
// =================================================
// Grey Goo Number Nine
// ====================
// (cc) 2006 Gazira Babeli - gazirababeli.com
// =================================================
// This work is licensed under a Creative Commons
// Attribution-NonCommercial-NoDerivs 2.5 License
// http://creativecommons.org/licenses/by-nc-nd/2.5/
// =================================================
//
// HOW TO: Drag/Copy/Add this/>//
list GG = ["abe4de67-77e8-2fe2-c20d-118e7549b7b8", // super mario
"6a32f6a0-c5f0-a7f6-1911-ca43e804dda6", // warhol banana
"33d2a02e-f5a4-a5fa-4b6e-93acbdae770b"]; // kaspar doubt
string greygoo;
integer randGG;
integer i;
default
{
state_entry()
{
llSetStatus(STATUS_PHANTOM, TRUE);
llSetPrimitiveParams([PRIM_SIZE, <.09>]);
llSetTexture("f54a0c32-3cd1-d49a-5b4f-7b792bebc204", ALL_SIDES);
llSleep(9);
for (i=0; i<99; i++)
{
randGG = llFloor(llFrand((float)llGetListLength(GG)));
greygoo = llList2String(GG, randGG);
llParticleSystem([
PSYS_PART_FLAGS , 0
| PSYS_PART_BOUNCE_MASK
| PSYS_PART_FOLLOW_VELOCITY_MASK
| PSYS_PART_EMISSIVE_MASK,
PSYS_SRC_PATTERN, PSYS_SRC_PATTERN_EXPLODE,
PSYS_SRC_TEXTURE, greygoo,
PSYS_SRC_MAX_AGE, llFrand(9),
PSYS_PART_MAX_AGE, 99.0,
PSYS_SRC_BURST_PART_COUNT, 9999,
PSYS_SRC_BURST_RADIUS, llFrand(9.9),
PSYS_SRC_BURST_SPEED_MIN, .09,
PSYS_SRC_BURST_SPEED_MAX, 9.9,
PSYS_SRC_ACCEL, <0,0,-llFrand(9)>,
PSYS_PART_START_SCALE, <9.99,9.99,9.99>,
PSYS_SRC_OMEGA, <llfrand>
]);
llSleep(.09);
llParticleSystem([]);
}
llDie();
}
}
/<llfrand>
外部的威脅:
1、鍵盤記錄和密碼盜取
在真實的網絡世界中,鍵盤記錄器的使用近幾年已逐漸減少,但在虛擬世界中並非如此,許多鍵盤記錄器、木馬和蠕蟲存在於虛擬世界中,主要針對在線遊戲和虛擬世界的用戶。攻擊者的目標是竊取用戶的信息。由於遊戲開發人員經常更新遊戲和虛擬世界,所以網絡釣魚者也經常通過網站或將文件附在郵件中發送給用戶,而這些網站或電子郵件中所謂的更新往往包含一個惡意軟件。
如TSPY_ONLINEGA.KB就是一個密碼竊取木馬,該木馬能夠收集用戶在網絡遊戲“征途”中的信息,它釋放一個dll文件在system32文件夾中,它的變種TSPY_ONLINEGA TSPY_LINEAGE能夠竊取天堂2中用戶的信息。
2、欺騙
黑客通常製作了和遊戲官網類似的網站,通過網絡釣魚的方式誘導用戶進入該網站,如www.world0fwarcraft.net www.wor1dofwarcraft.com(注意0和1),黑客在該網站中種植了網馬,當用戶點擊進入該網站後,使用的計算機很有可能就會中木馬隨後賬戶信息被盜竊。
3、擴展和插件
攻擊者利用社會工程學技術右偏用戶安裝惡意的擴展、插件等,比如聲稱可以提供MMORPG和虛擬世界的改進的功能等。
其他威脅:
1、網絡騷擾(Cyberstalker)
網絡騷擾是一種犯罪行為,攻擊者使用電子通信,比如E-mail或即時消息(IM),或在網站或討論組中張貼信息來掃描受害者。網絡騷擾依賴於Internet的匿名行止,它允許騷擾受害者時不被檢測出來。網絡騷擾信息與平常的垃圾信息不同,網絡騷擾的目標是特定的用戶,經常伴隨威脅信息,而垃圾郵件的目標是給儘量多的人發送匿名信息。
2、網絡欺凌(Cyberbullying)
網上欺凌是使用E-mail,即時消息,聊天室,網頁,手機,或者其它形式的信息技術故意騷擾、恐嚇和脅迫某人的行為。網上欺凌經常用來對待兒童,並且有愈演愈烈之勢。當然,這並不意味著網上欺凌只針對兒童。一個複雜的事實是,欺凌弱小者能夠躲在電子屏障之後,偽裝他或她的真實身份。這使找到網上欺凌的源頭變得很困難,當和欺凌弱小者的人面對面時,他們的舉止富有侵略性。
結論:
我們看到越來越多的虛擬世界中的糾紛衍生到現實世界中,比如2011年一位剛剛畢業不久的大學生長期沉迷網絡遊戲魔獸世界,由於發現價值30多元的遊戲裝備被盜後喪失理智,將網吧的網管殺害,被捕後面對鏡頭稱不後悔。在第二人生中,更有女子因在線的虛擬男友與其分手,憤而計劃綁票犯罪行動。因此,一個人一個現實世界,一臺電腦一個虛擬世界。人在現實世界中有安全危險,人在虛擬世界中也有安全威脅。網上的虛擬世界與我們的現實生活正在融為一體,這個世界也同樣需要安全和秩序。
注:
關於第二人生:
《第二人生:Second Life》是由美國舊金山的林登實驗室所開發,遊戲中注重於模擬現實人生角色的扮演以及和其它玩家的互動,鼓勵玩家在網絡上創造出自己另一個人生。在《第二人生Second Life》中,玩家不需要進行無謂的練等解任務,或闖各種遊戲關卡,一切模擬真實生活會發生的事情,隨你要開拓事業、進行交易買賣,或是遊走在各種社交活動中都可。當然你有錢(虛擬貨幣)的話,也可以做現實生活不太可能體驗到的事情,像是蓋博物館、買遊艇、收購企業、擁有自己的城堡等等。
本文作者:H3lvin 轉載自:https://www.freebuf.com/articles/others-articles/11693.html
閱讀更多 Exploit 的文章
