Beveiliging Second Life laat te wensen over

vrijdag 23 februari 2007

Capelle a/d IJssel, 15 februari 2007 – De snelgroeiende virtuele
leefomgeving Second Life loopt aanzienlijke beveiligingsrisico’s, zo
concludeert internationaal beveiligingsbedrijf Comsec Consulting op basis
van een eerste inventarisatie. In het afgelopen jaar hebben zich al diverse
beveiligingsincidenten voorgedaan in Second Life en hackers zijn meermaals
in staat geweest om substantiële zwakke plekken te vinden in het systeem en
het communicatieprotocol van Second Life.

De beveiligingsrisico’s hebben enerzijds te maken met de manier waarop
Second Life is opgezet: het laagdrempelige en op onderlinge interactie
gerichte model. Anderzijds met het feit dat de scripting language van Second
Life-ontwikkelaar Linden Labs het erg makkelijk maakt kwaadaardige code te
produceren. Henk van der Heijden, Managing Director Benelux van Comsec: “Het
laten crashen van het hele systeem is niet eens moeilijk. Het is alleen niet
toegestaan volgens de reglementen. Daarbij zorgen de nu al ruimschoots
vertegenwoordigde porno- en goksectoren voor grote financiële belangen,
temeer omdat de virtuele munteenheid in een vaste wisselkoers gekoppeld is
aan de Amerikaanse dollar.”

Privacy
De meeste nieuwkomers die zich in Second Life registreren via de website
kiezen voor het ‘gratis’ basisaccount. Van der Heijden: “Om een eerste
bedrag Linden dollars te krijgen moeten gebruikers wél hun credit card- of
PayPal-gegevens geven. De bezoeker is hierdoor niet langer echt anoniem en
zijn ‘second life’ is dan wel degelijk gekoppeld aan zijn ‘first life’.”

Hoewel de site claimt dat de informatie opgeslagen is in een virtuele kluis,
betekent het structureel ontbreken van een diepgaand beveiligingsontwerp en
het ‘open code protocol’ dat ook voor deze kluis kwetsbaarheden bekend gaan
worden.

“En de beveiligings-issues houden niet op bij de grens van Second Life. Met
het verlangen naar meer virtuele bezittingen en macht worden bezoekers ook
gevoelig voor phishing-aanvallen. De website waarschuwt dan ook dat
bezoekers niet moeten ingaan op aanbiedingen van ‘gratis’ virtueel geld, die
bedoeld zijn om privé gegevens te bemachtigen. Als Second Life inderdaad
zoveel wil blijven groeien als gepland is, dan zal het zijn beveiliging
drastisch moeten gaan verscherpen”, zegt Van der Heijden.

posted by Ward @ 16:51