Nový typ kyberútoku umí nasadit špiona do virtuální schůzky. Odhalit ho pomohl Čech

Klára Čeperová
4. 3. 2019 11:37
Virtuální realita, ve které se mohou uživatelé pohybovat v libovolném virtuálním prostoru a spojit se tak s člověkem na druhém konci zeměkoule, je čím dál tím dostupnější. Využívají ji například firmy jako pokročilejší formu videokonference či na školení svých zaměstnanců. S technologií jsou však spojena i bezpečnostní rizika. Vědcům v connecticutském New Havenu se za pomoci českého studenta podařilo odposlouchávat mikrofon a sledovat obrazovku počítače napadených uživatelů bez jejich vědomí.
Ilustrační snímek.
Ilustrační snímek. | Foto: Shutterstock

Chyby v programech pro virtuální realitu hledají a zkoumají vědci z americké univerzity v connecticutském New Havenu. Zajímají se však nejen o napravování bezpečnostních chyb, ale také zjišťují, zda by byli schopní prokázat případnou kriminalitu ve virtuálním prostoru.

Foto: Bigscreen

Jednoho takovému výzkumu se účastnil i český student z brněnského Vysokého učení technického (VUT) Martin Vondráček. "Virtuální realita (VR) vypadá jako něco nového a hodně cool, ve skutečnosti je to ale pořád počítačový software a hledání bezpečnostních chyb vypadá velmi podobně jako u ostatních programů v počítači. Některé slabiny, které jsme objevili, nejsou pro virtuální realitu unikátní, ale objevují se v dalších programech už několik let," vysvětlil Vondráček Aktuálně.cz. Dodal, že když hackeři útočí například na internetové stránky, používají v poslední době často podobnou sadu útoků.

To samé platí i pro virtuální firemní porady. Sami šéfové společností pak mohou nevědomky sdělit citlivé informace kybernetickému vetřelci, aniž by si sami uvědomovali, že něco takového udělali.

Pomůže i prosté vytažení kabelu s internetem

"Prevencí před napadením je využívání bezpečnostních opatření. Například vhodné šifrování, správná segmentace sítě nebo monitoring komunikace uvnitř sítě, dále instalace antivirového systému a jeho aktualizace a testování bezpečnosti," vysvětluje Pavel Novák, spoluzakladatel prostoru pro virtuální realitu pod názvem Virtuplex.

Dodává, že ve chvíli, kdy je ve virtuální realitě potřeba chránit citlivá data klientů, pomůže odpojení zařízení od internetu.

Při testování programu postupují výzkumníci vlastně úplně stejně jako útočníci. Systematicky se snaží prolomit zabezpečení virtuální reality. Výsledky a získané informace však následně nezneužijí. Poskytnou je majitelům a provozovatelům programu, který pak může případně chyby napravit.

Vondráček se zapojil do hledání slabin v programu, který slouží návštěvníkům virtuální reality v podstatě jako obývací pokoj. Mohou si však vytvořit třeba virtuální kino nebo vytvořit prostor pro virtuální porady.

Šéf výzkumného týmu Ibrahim Baggilli navrhl českému informatikovi, aby se pokusil jako "tajný" účastník připojit do programu tak, aby on viděl, co si lidé připojení do virtuální reality povídají a co dělají. Na začátku ani vedoucí projektu nevěděl, zda by bylo v aplikaci Bigscreen něco takového možné.

Mohla být jednoduše příliš dobře zabezpečená na to, aby se českému studentovi něco takového povedlo. Nakonec však uspěl a i díky němu znají vědci nový typ kyberútoku, který se v překladu jmenuje Man-in-the-room, což v překladu znamená muž v místnosti.

Hackování jako detektivka

"Útočníci mohli odposlouchávat mikrofon a sledovat obrazovku počítače napadených uživatelů bez jejich vědomí. Pokud by uživatelé v uzavřené privátní místnosti sdíleli například nějaké choulostivé soukromé informace, fotky a videa nebo pokud by se na firemní VR poradě ukazovaly interní dokumenty, útočník se k takovým informacím dostane," vysvětluje Vondráček.

Mimo chyby, které obsahovala aplikace Bigscreen, však přišli vědci i na chybu v systému Unity, který je součástí mnoha počítačových her a programů.

Vědcům se mimo sledování uživatelů podařilo také ovládnout jejich počítač nebo do něj nainstalovat škodlivý software.

Při hledání řešení pomohly vědcům třeba i pracovní inzeráty společnosti Bigscreen. Díky nim zjistili, jaké technologie společnost pro vývoj a fungování aplikace používá. "Etický hacking je jako detektivka. Musíme poskládat všechny informace a znalosti a najít způsob, jak by útočník mohl překonat zabezpečení systému.," uzavírá Vondráček.

 

Právě se děje

Další zprávy