虚拟现实与增强现实带来全新的安全挑战!

2018年11月05日 公司新闻 61 views

【导读】试想,当医生正在对创伤应激综合症患者进行虚拟现实治疗时,患者头戴设备的屏幕上突然出现不知从何而来,异常恐怖的画面;

当你在家中兴致盎然、轻松惬意地对公司的新建筑模型进行远程3D虚拟调试时,有人已经悄悄修改了设计参数;

或者当你带着虚拟现实设备远程看房时,有人已经窃取了你的重要数据……没错,这正是与虚拟现实、增强现实时代如影随行的网络安全问题。

哪里有网络,哪里就有黑客。在虚拟现实与增强现实日益走进主流的同时,网络攻击手段同样在更新、升级,并借着这一新的计算平台大肆破坏。这是一个新的重要课题,让我们重新思考互联网、物联网与数据安全,同时也值得监管者、厂商、商业应用部门与消费者提升关注。

当然,任何的新问题,在创新者看来,都是新机会。众多公司就正在围绕这些新问题开发新产品,以保卫虚拟现实世界之安全。

过去几年中,尽管许多游戏与娱乐平台已经开发出了琳琅满目的虚拟现实(以下简称VR)内容,但VR的应用远不止单一的游戏行业。事实上,VR技术在IT领域的影响,足以证明该技术能够在商业和技术行业中得到有效而持续的应用。

尽管虚拟现实和增强现实涉及的专业公司名单堪称完美,但网络和数据安全问题仍然存在。据相关报告显示,2016年,数据泄露事件增加了40%,其中45%的泄密发生在商业部门。通常情况下,VR设备都缺少强大的安全系统,现代黑客可以从这些设备入手,黑入相关平台,从而对企业、政府部门甚至消费者造成严重损失。

然而,每发生一起新的数据入侵事件,就会有一家公司崛起,并给出相应的解决方案,以便使这种技术更为安全。此外,很多公司已经开始利用隐写术(Steganography)和SpatialOS等方式来防止而不是打击网络安全攻击,结果不仅是积极的,而且正在改变我们整体上看待互联网和技术的方式。

一、IT、设计与开发中的虚拟与混合现实

在过去几年中,随着第一个虚拟现实原型产品发布,科技公司和消费者就一直难掩其兴奋的情绪和对产品的需求。据研究公司SuperData的报告显示,2016年,全球VR头显设备销量达630万台;另据Digi-Capital报告,虚拟现实领域的投资已经超过二十亿美元。

虚拟现实在商业中的影响已经非常广泛,从3D建模、测试到3-DAT数据分析,公司可以使用3D虚拟技术来进行财务和业务数据评估。然而,虚拟现实和增强现实的未来前景,远远超出了其原有控制设备的设定。

例如,通过使用CAVE触感手套及沉浸式系统,如西班牙公司Neurodigital Technologies开发的虚拟现实手套Gloveone,以及HTC VIVE等动作捕捉设备,你不仅可以测试和操纵模型、产品和建筑设计,而且还具有真实的触感反馈,就像真实物体一样。

此外,英国华威大学物理研究员Richard Wellard创建了一家名为3-DAT的研究公司,致力于帮助企业减少趋势分析的时间,并使用三维数据找到改进其业务模式的方法。这种3D技术可用于跟踪IT组合管理和业务模式改进的数据,并可帮助企业的IT部门轻松审查大量数据。

作为华威大学研究团队的一部分,负责带电粒子在近地空间中三维路径分析项目,Wellard发现利用3D技术进行数据分析减少了编译和分析的时间,是非常有效的一种方法。

因此,他创建了虚拟现实3D数据建模公司,致力于基于虚拟平台的数据分析工作,使公司能够以更高效和更互动的方式实时查看其业务数据,并制定多项改进计划。 然而,即使集成了RESTful API的FileMaker、IBM的Watson Analytics、Linux的R或ROOT工具等软件,也可以将你的业务中正在使用的程序集成到虚拟平台中,从而更好地分析。

大道至简,是宇宙万物发展之规律,是中华文化之精髓,是中华道家哲学,是大道理极其简单,简单到一两句话就能说明白。所谓“真传一句话,假传万卷书”。 “万物之始,大道至简,衍化至繁”出自老子的《道德经》。大道至简,不仅被哲学流派道家、儒家等所重视,也是人生在世的生活境界。

大道至简,大道无形,大道无法,这是一种大道自然、返朴归真的高级功态。在这种清净无为、忘我无私、天人合一的状态中,不求长功,功力自然上长;不求治病,身心自然调整;不求功能,功能自然显现;你不求大小周天,百脉自然畅通,最深刻的真理是最简单最普通的真理。把最复杂的变成最简单的,才是最高明的。最伟大的人仅仅因为简单才显得崇高。

大道至简,人生亦简。开悟,深奥了就简单,简单了才深奥,从看山是山,到看山是山,境界不一样,从简单到复杂,再从复杂到简单,就是升华。生活的意义在于简单,人修炼到一定程度,会淡泊一些事,会简单,你可以理解别人,但别人不一定理解你,其实人不在理解,在认同。

精于心,简于形。拷问灵魂这是人的终极问题,简不仅是一种至美,也是一种能力、一种境界。看透了不说透,高境界; 朦胧地看,心透 ;透非透、 知未知 ,故意不看透,才是透彻;知道世事看不透,就是透,透彻后的不透彻,明白后的不明白,难得糊涂是真境界。

“大道至简”是做人的智慧,做人做事要将一件复杂的事情化为简单,那是需要智慧的。将繁杂的事情回归到简单,要有智慧、能力,也要有决心。有智慧的人都喜欢大道至简,因此,功和利,不可趋之若鹜;名和财,不可为之所累。淡泊以明志,宁静以致远。我们要简简单单的做人,踏踏实实的做事,用智慧化难为简。

为名利尽抛宠辱,清纯似儿时天真的童贞,朴实如父辈耕耘的沃土,只有心情平静的人方能视见“斜阳照墟落,穷巷牛羊归”的悠闲,听闻“荷风送秋气,竹露滴清响”的天籁,感受那“空山不见人,但闻人语响”的空旷。陶渊明就是这样的人,所以他能够吟出“采菊东篱下,悠然见南山”的绝句;欧阳修也是这样的一个人,所以他在谪居时仍能悠然自得的写出《醉翁亭记》。

大道至简,人生亦简。简不是物质的贫乏,而是精神的自在;简不是生命的空虚,而是心灵的单纯。大道至简是最高的道理往往是最简明的,人要学会简单、简朴生活、简捷行事,放下自己的私心杂念,当超出自我欲望的牢笼,当真正忘记自己的思想,忘记自己的意识,进入忘我忘物的状态。

人生的繁出于惑,以“仁”抗拒诱惑,以“智”解除困惑。不惑,才是人生由繁入简的标志。弱水三千,我只取一瓢饮;人生百态,须当从一而终。乐以忘忧,简以存真,才是人生的“大道至简”。

有个大道至简、平常心是道的故事:一个行者问老道长:“您得道前,做什么?”老道长:“砍柴担水做饭。”行者问:“那得道后呢?”老道长:“砍柴担水做饭。”行者又问:“那何谓得道?”老道长:“得道前,砍柴时惦记着挑水,挑水时惦记着做饭;得道后,砍柴即砍柴,担水即担水,做饭即做饭。”老道长和行者的对话让我们开悟,许多至高至深的道理都是含蕴在一些极其简单的思想中。

大道至简,人生易简。一千个人有一千种生存方式和生活道路,走过岁月、走过生活,心里有许多的感慨,一切放下,一切自在;当下放下,当下自在,生活中的很多问题并不需要放在心里,人生的很多负担并不需要挑在肩上。一念放下,才能感受到简单生活的乐趣,才能感受到心灵飞翔的快感。要想改变一些事情,首先得把自己给找回来。我们都有潜在的能量,只是很容易:被习惯所掩盖,被时间所迷离,被惰性所消磨。我们应该记住该记住的,忘记该忘记的,改变能改变的,接受不能改变的。我们要用最少的悔恨面对过去,用最少的浪费面对现在,用最多的梦面对未来。

天地之道,简易而已。 人生苦短,诸事不想太复杂,简单生活。人生这部大戏一旦拉开序幕,不管你如何怯场,都得演到戏的结尾。成长过程中最大的挑战在于有些路段,只能自己寂静地走,快乐工作、简单生活才是幸福生活,人要懂得知足常乐,所有的哀伤、痛楚,所有不能放弃的事情,不过是生命里的一个过渡,你跳过了就可以变得更精彩。

最好的生活就是简单生活,一盏茶,一张桌,一处清幽,日子平淡,心无杂念。可是简单的生活却需要百般的努力,这样才会无忧无虑欣然享受生活。生活总的来说是完美的,不完美的是心态,不懂得欣赏的人,就会用挑剔把一切变得有残缺。简单做人,率性而为,把握分寸,随遇而安,坦然接受现实;简单做事,不惹事、不生事、不怕事,不悔、不怨、不惜自己所做的事。

人生就是一场漫长对抗,有些人笑在开始,有些人却赢在最终。试着微笑,试着回眸,放松自己,不强求、不萎靡、不浮躁。简单生活,随心、随性、随缘,做最好的自己,知足、微笑、淡然,即使再苦再累,只要坚持往前走,属于自己的风景终会出现。

生活容不容易,关键看你怎么活。处境在于心境,心境改变了,处境也会改变。你向生活要得越多,你就会变得越紧张、越复杂,生活也就越不容易。反之,你对生活要求的越少,就越容易满足,越容易快乐。江山明月,本无常主,得闲便是主人;大道至简,活在当下,知足便能常乐。

悟入无怀之静境,一轮之心月独明,尽显心静之境界;心静自然从容洒脱,持心若水笑面人生,更现心静之魅力。人生在世,平淡才是最真,静默才是最美,生命里最持久的不是繁华,而是平淡,不是热闹而是清欢。保持一颗童心,不开心的时候,心无遮拦地向朋友倾诉烦恼,开心的时候,肆无忌惮地开怀大笑,也许所有的忧愁会在倾诉中流走,所有的紧张会在大笑中释放。像孩子一样,简单生活,快乐生活,保持心灵原生态,一切都是美好的。

生命里总有一个故事,想讲述却难以开口,就这样在心底,渐渐谱成了曲。人就是这样,得不到的永远向往,失去了的,才会觉到珍贵。所谓的,得失、情缘、风景、驿站,都在时光的尘烟中,慢慢淡散。虽然,有些事情放下很难,但是,不属于自己的东西,终究会走远。

人的一生,注定要经历很多。红尘路上,有朗朗的笑声,有委屈的泪水,懵懂的坚持着,有成功的自信,有失败的警醒,每一段经历注定珍贵。生命的丰盈缘于心的慈悲,生活的美好缘于拥有一颗平常心,生活简单让人轻松快乐,想法简单让人平和宁静。因为简单,才深悟生命之轻,因为简单,才洞悉心灵之静。

企业应用虚拟现实技术的另一种应用是将虚拟现实技术接入网页设计工具中,使网页设计过程的交互性更强、更加易用。一些人预测这可能意味着未来几十年对页面设计师的需求将下降。这个市场目前还很小,如果未来能够形成更有冲击力的设计形式,将它整合到公司的网页设计部门中,将会获得更大的优势。

通过使用JavaScript的API、WebVR等虚拟现实设计工具,并且在Mozilla的MozVR中查看虚拟现实设计的一些方法,你将可以开始在Oculus Rift、HTC Vive和Google Cardboard等多个平台上学习VR设计。

然而,只要与任何具有低安全标准的设备连接,身份窃取和数据泄露的威胁就仍然存在。随着630万VR头显设备连接到物联网,大规模恶意软件感染并渗透这些头显的个人数据的可能性是巨大的,这些VR和IT公司在未来十年所采取的行动将直接影响其消费者、企业和政府部门的安全。

二、虚拟现实、增强现实、物联网——它们安全吗?

随着对虚拟现实应用的需求日益增加,有些公司为了能够领先竞争对手,选择绕过那些隐私和安全标准,使VR设备在连接到物联网或其它程序时存在风险。

关于导致安全问题的供求问题,美国职业足球赛事VR内容提供方Laduma公司的CEO Ben Smith表示:“为了领先竞争对手,而将新技术快速推入市场,会存在一定的犯错风险。”在过去几年中,AR/VR在市场备受欢迎,面对2016年庞大的市场需求,公司要么被迫将存在一定安全风险的产品投入市场,要么放弃这块市场。

毫无疑问,通过多种不安全设备接入互联网,为黑客提供了一个获取各种数据的机会。黑客可以从VR平台获取用户自己提交的数据,也可以收集未经同意的用于商业营销的数据。事实上,Tata通讯公司的Srinivasan CR曾经说过,“连接到网络中的每个设备都存在潜在的漏洞,可以用来渗透网络本身和与其相连接的其它设备。”

当去年三月Oculus Rift发布时,他们的协议条款表示,他们不仅会获取用户的基本信息,还会搜集更多的个人信息,如用户的电子邮件、职业、出生日期和居住地点,根据其位置、人口和兴趣,针对这些人建立营销分析。 此外,Oculus Rift还会对用户的在线交易、网络和APP使用情况进行跟踪,以便公司进行定向性的营销活动,包括你想要购买的或需要的东西。

然而,虽然该公司声称已经部署了大量的安全措施,但是这些用户数据收集与连接到服务器的缺乏安全防范的设备大量向身份窃贼、数据操纵者、视觉恐怖主义和网络钓鱼等黑客敞开。

使用增强现实游戏(如Pokemon Go)或混合现实技术(如Dan Gottlieb)进行创作时,必须要对用户位置进行定位。当使用安全标准较低的VR设备时,会对个人用户构成威胁。黑客会从VR设备入手追踪你,对你进行攻击(如吸引Pokemon Go玩家进入小巷并实施抢劫),或者发现你经常访问的银行和其它位置,从而窃取你更多的个人信息。

最后,诸如OpenSimulator Metaverse的HyperGrid和内容分发网络(CDN)等应用程序是黑客已经开始攻击VR用户及其个人信息的另一种方式。 特别是通过超链接与各种VR设备连接,这些链接通常都是不安全的,黑客可以渗透这些设备并获取他们需要的数据。

自从E3游戏展会允许各公司使用基于地理位置的分布式服务器向消费者提供与VR兼容的视频内容,CDN就在VR世界中占据一席之地。然而,过去几年里,DDoS CDN攻击持续上升,黑客已经找到新方法渗透这些CDN的防火墙,进行不停的循环攻击。基于这种方法,利用VR中的CDN可能会导致无数设备被感染,并形成一个僵尸网络,导致无数消费者的个人数据遭到泄露和失窃。

三、视觉恐怖主义、僵尸网络、面部识别与网络钓鱼

VR方面的身份盗用是相对简单的,视觉恐怖主义、僵尸网络、面部识别和网络钓鱼都是稍微比较保守的方式,黑客们已经从VR中获取好处。尽管许多消费者不知道这些恶意的网络攻击形式及其运作方式,但是它们对全球的VR用户和公司仍然构成严重的威胁。

特别是视觉恐怖主义备受多个国家关注,因为它可以加剧一个人使用VR的负面影响,如头晕、恶心、肌肉抽搐、视力模糊、头痛和癫痫发作。黑客通过入侵没有安全保护的设备并传播恶意软件,可以产生响亮的闪烁、炫目的色彩或旋转的屏幕,从而对VR用户造成大量视觉攻击,甚至会导致消费者死亡。

此外,北卡罗来纳大学的一组研究人员最近发现了一种可以绕过现代人脸识别,在VR设备屏幕上合成人脸的新验证方式。过去,人脸识别系统在很多地方被使用,包括移动支付和大公司的重要数据安全防范措施,但这些识别软件可能很容易被屏幕上使用的图片所迷惑。当前,这些设备集中在人脸和皮肤纹理上的近80个不同的节点,以更复杂的方式分析人脸。

尽管如此,北卡罗来纳大学可以从每个被测试者的个人社交网络帐户中获取几张照片,并创建高精度的3D模型,然后将其显示在VR设备的屏幕上,并通过相机装置寻求实现面部识别。在测试时,所有被测试的五个应用程序都不知道真实的人脸和3D模型之间的区别,这为公司和消费者带来了另一个非常规的、非常可怕的安全威胁。

同样,网络钓鱼也是黑客进行恶意攻击的另一种方法。黑客通过创造虚假身份,以诱骗他人进行他们通常不会做的事情。例如,黑客进入VR设备并使用假的虚拟对象或伪装成系统更新,消费者可能会无意间将木马部署到网络中或者将其密码泄漏给黑客,导致黑客轻松入侵,从云端操纵数据。

另一个威胁是僵尸网络的恶意病毒,特别是去年发生的物联网病毒感染,如Mirai病毒通过物联网设备进行大量的DDoS攻击。该恶意软件使用一张近60个常见的出厂默认用户名和密码为目标的安全标准较低的设备列表,从而绕过反DOS软件,监视并控制服务器设备。

与BASHLITE恶意软件一样,去年9月,Mirai病毒攻击了安全研究机构Biran Krebs的网站,攻击强度创纪录的达到了665 G,但这远不及该病毒对物联网设备造成的攻击。在攻击安全研究机构Biran Krebs后的一个月,10月份,该病毒将其在Krebs攻击中感染的网络摄像头和一些新感染的设备接入到网络中,形成更多的设备感染,并对美国DNS服务提供商Dyn进行攻击,导致包括Github、Twitter、Spotify、Reddit、Netflix等多个大型网站无法访问。

这次攻击创造了一个新纪录,攻击强度高达1.2T。对此,英国半导体知识产权提供商ARM公司的CEO Simon Segars表示:“如果你是构建IoT产品的设备制造商,你真的应该担心固件的更新。”事实上,ARM已经开发出物联网设备管理解决方案Mbed Clou,以帮助企业更新设备芯片,并定制操作系统,以防止诸如针对Dyn和Krebs的DDoS攻击。

除此之外,其他多家公司已经开始防范僵尸网络安全问题,非常认真地部署了新的设备和程序,以防止数据入侵和DDoS攻击。特别是今年1月23日成立的Securifi公司致力于帮助IT专业人士利用VR技术或检索数据为公司创建专门针对僵尸网络的家用设备,以避免安全性较差的家用设备受到黑客的影响。

四、Mirai病毒对我们的启示

IT专业人士,以及Dyn和KrebsOnSecurity公司通过分析Mirai攻击,确定问题的关键在于:攻击主要来自安全性较差的网络摄像头和DVR。这表明,安全性较差的家用设备是Mirai病毒攻击的目标。也就是说,除了缺乏安全措施的VR设备之外,由于普通消费者一般不重视网络安全,经常使用弱密码或默认设置,极易引起恶意病毒的攻击,如Mirai病毒进行的DDoS攻击。

事实上,多家公司声称,这种攻击证明,在2017年,人工智能在安全性较差的电子设备(如VR设备和手机)中的使用无疑将成为下一个受到恶意软件和黑客攻击的系统。尽管像T-Mobile、Oculus和Sony等公司承诺在未来几年内提供更高的安全标准,T-Mobile也正在对他们的4G LTE网络采取措施,以确保云安全,这个问题现在仍然很普遍,其影响可能会导致严重的数据泄漏。

在这个问题上,Positive Technology公司的Alex Matthews甚至表示:“人工智能也许是最危险的VR网络攻击对象。人工智能的安全检查是一件非常艰巨的任务,因为其行为和反应的范围非常广泛。” 就此而言,无需多想,可以假设2017年将是VR数据泄露的一年,而与之斗争的公司将继续帮助企业利用虚拟现实系统,而不用担心在此过程中成为数据入侵的受害者,从而延续VR技术的扩展及其盈利能力。

同样,在网络安全机构Krebs遭到攻击后,Brian Krebs表示:“互联网将很快充斥着各种攻击。”尽管这是种看似相当悲观的看法,但是Krebs和无数其他IT专业人士所看到的:连接到安全性较差的设备对物联网的不利影响并不遥远。通过对这两次攻击的数据分析,并学会如何避免攻击,我们可以确保数百万VR用户,包括利用这种新技术进行数据分析的无数专业设备,不会成为黑客和僵尸网络的下一个目标。

五、使用SpatialOS、隐写术、云安全、僵尸网络、IoT安全以及负载平衡来促进数据安全

随着数据安全成为VR技术接入物联网的一个问题,很多公司都看到了VR技术对数据分析、3D建模造成的不可估量的影响。安全和不安全设备间的差距也是各公司都必须要正确选择和面对的。例如,当两名英国政府代表来到虚拟仿真公司Improbable,以使用SpatialOS软件创建一个网络3D模型,Improbable就获得了某种认可。

通过使用SpatialOS,能够大规模地展示边界网关协议(BGP)的动态模型,并研究各种弱点,以确定黑客可能会攻击或正在攻击的位置,并可以在问题出现之前,防止多种数据泄露。这种3D建模的形式是一种令人印象深刻且非常有用的工具,政府可以用来监管那些安全性较差的设备及其供应商。

此外,随着众多公司追赶VR潮流,在家中从虚拟模型中远程访问工作数据或使用3D技术对产品进行测试正在成为黑客攻击安全性较差的VR设备,并获取全球各地公司敏感信息的另一种方式。因此,在共享到VR的文件(如音频或视频)中使用隐写术,正在慢慢成为一种更常见的方式。

随着众多VR设备连接到云端,并成为物联网的一部分,很多企业已经试图针对云安全的弱点,以保护这些连接设备。然而,由于产生的数据量非常大,有些人则认为,使用PCI DSS安全标准和数据匿名化技术是应对数据安全问题的唯一希望。

例如,通过使用PCI DSS数据安全标准,他们倾向专注于构建云安全以及CDN安全性,同时通过负载平衡来增加并发用户和应用程序的可靠性。英国提塞德大学的Joao Ferreira是数据匿名化的坚定支持者,他甚至在过去表示:“需要新的数据匿名化技术,以便VR设备在收集新数据时不需要识别其原始生产者。”

防止僵尸网络的物联网安全技术也正在慢慢崛起。如F-Secure和诺顿这样的老牌杀毒软件厂商,已经开发出相关设备,用于防止你的家庭和办公室被黑客入侵,同时也支持物联网和云安全。通过在办公室的VR设备中使用这些防范措施,公司可以确保VR设备的安全性。

毫不奇怪,令人难以置信的虚拟现实和增强现实设备正在成为未来技术商业应用的铺路砖。然而,知道你要去哪里,并确保在此过程中保持安全,你就可以继续前进,而不会因为数据泄露对你的业务造成严重后果。

有种说法,未来即现在,虚拟现实终将成为现实。虚拟现实对互联网、对网络安全、对我们生活的影响,每一天都在扩大。

发表评论

发表评论:

PHONE