Il lato oscuro del Metaverso. Quali rischi si corrono se non si sta attenti?

Il Metaverso è ancora un elemento indefinito in termini di definizione formale, ma se anche lo considerassimo come uno strato digitale multi-vendor, immersivo-interattivo costruito sopra l’internet esistente, cloud distribuito e accessibile da molteplici device, dovremmo comunque tenere conto che non sarà immune dalle minacce digitali. Quali potranno essere le maggiori aree di rischio e chi saranno gli attori principali delle azioni criminose è stato oggetto di una ricerca dal titolo Metaverse or MetaWorse? Cyber Security Threats Against the Internet of Experiences pubblicata da Trend Micro che si è posta l’obiettivo di una analisi prospettica della sicurezza informatica del Metaverso, ovvero di uno spazio che non esiste ancora del tutto, che potrebbe essere realizzato in modo diverso da come concettualizzato fino ad oggi e che potrebbe evolvere in modo inatteso. Tuttavia, da tutto quello che si è imparato nel campo della Cybersecurity, dall’attuale panorama dei criminali informatici, dalle loro tecniche, tattiche e procedure, dalle motivazioni scatenanti degli attacchi progressivamente crescenti in numero e intensità, i ricercatori hanno potuto almeno concettualizzare diverse minacce critiche all’interno del metaverso. Qualsiasi futuro navigatore di questi spazi digitali non può prescindere dal conoscerne i rischi e tenerne conto, esattamente come nella “vita analogica” si è approcciato alla società preventivamente educato dai genitori, durante la sua crescita, rispetto a tutto quello che avrebbe potuto inficiare la sua sicurezza fisica.

Lo studio sul lato oscuro del metaverso

Il documento vuole essere un mezzo di educazione preventiva a quello che presumibilmente sarà una evoluzione dello spazio digitale, oggi vissuto mediante accesso ai dati digitali, agli ipertesti e ai social e domani sperimentato in una logica immersiva e coinvolgente, vissuta attraverso dispositivi indossabili (wearable) che permetteranno un maggiore coinvolgimento diretto dei sensi umani in quella dimensione. Una dimensione virtuale ma reale in cui già oggi i giocatori di video games (gamers) sono utenti ordinari (es. Roblox, Minecraft, Fortnite, and Second Life), candidati secondo alcuni, ad essere i futuri e primi utilizzatori (“early adapters”) del metaverso perché già abituati ai giochi di ruolo online multigiocatore di massa (massively multiplayer online role-playing games-MMORPGs). Dall’annuncio dello scorso ottobre dato da Facebook per il cambio di nome in “META” finalizzato a concentrare gli sforzi di ricerca e sviluppo sulla costruzione del metaverso, questo mondo digitale non sembra più così lontano o così fantascientifico come percepito fin dalla sua ideazione a cura dell’autore Neal Stephenson per il suo romanzo cyberpunk del 1992 “snow Crash”. Lo studio sui rischi del metaverso è frutto di un brainstorming di idee per affinare la comprensione di questo spazio futuro e identificare le minacce che potrebbero dare un nuovo impulso alla criminalità informatica. Gli scenari sono divisi in nove macrocategorie:

• I Non Fungible Tokens (NFT) (asset digitali univoci oggi oggetto di commercio nel mercato dell’arte n.d.r.) saranno colpiti da phishing, richieste di riscatto, frodi o altri attacchi e saranno sempre più presi di mira man mano che diventeranno un importante asset del metaverso per la regolamentazione della proprietà
• La componente dark del metaverso ribattezzata “Darkverso” potrà diventare il luogo di riferimento per lo svolgimento di attività illegali/criminali perché sarà difficile per le Forze dell’Ordine infiltrarsi al suo interno, identificare, rintracciare, monitorare o investigare. Infatti, l’alto costo delle intercettazioni e la giurisdizione difficile da stabilire, richiederà tempo per costruire una esperienza nel metaverso, con il risultato che questo ambito potrebbe non essere sorvegliato per i primi anni.
• Il riciclaggio di denaro potrà trovare nuova linfa tramite l’utilizzo nel metaverso di immobili e NFT sovrastimati
• La privacy verrà ridefinita, poiché gli operatori nel metaverso controlleranno tutti gli aspetti digitali dei loro meta-spazi e potranno raccogliere grandi quantità di dati degli utenti monetizzando mediante logiche di marketing.
• L’integrazione di dispositivi IoT con lo spatial web (un ambiente informativo in 3D n.d.r.) potrebbe dare origine a minacce cyber-fisiche (attacco con malware alle tute degli utenti per causare danni fisici o per causare un “L’assalto agli avatar”)
• Scenari di rischio legati alla realtà aumentata, mixata, estesa, potrebbero consentire la creazione di doppie identità o di crimini legati a ricatti o frodi nel mondo virtuale in aperta e mutuata similitudine a come oggi si assiste a reati di sofisticazione di brand, frodi e truffe.
• L’ingegneria sociale, la propaganda e le fake news potranno avere un impatto profondo in un mondo cyber-fisico. Fatti di cronaca o narrazioni finalizzate ad influenzare le masse potrebbero essere impiegate da criminali o altre entità statuali.
• Attacchi IT alle infrastrutture abilitanti del metaverso per bloccarne o negare il servizio potrebbero abbattersi come oggi fanno gli attacchi di tipo DDOS.
• La categoria denominata Miscellanea è un mix di diversi fenomeni anche oggi presenti nel contesto digitale e che potranno presentarsi evoluti in un futuro spazio digitale immersivo.

Un ulteriore elemento di rischio nel metaverso è dato dalla esposizione di dati biometrici legati alle procedure di autenticazione. Il dato è contenuto nella ricercar  Trend Micro “Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect”. Una compromissione dei dati biometrici potrebbe avere un impatto significativo sugli utenti perché violare un profilo nel metaverso di un utente, potrebbe avere conseguenze simili all’accesso completo di un PC oggigiorno.  Enormi volumi di dettagli biometrici, come modelli di viso, voce, iride, palmo e impronte digitali, sono già stati esposti online attualmente con una qualità sufficientemente elevata da ingannare i sistemi di autenticazione. I cybercriminali in futuro potrebbero essere in grado di utilizzare dati biometrici rubati o trapelati per ingannare i dispositivi connessi come i visori VR/AR e renderli accessibili da qualcuno diverso dal lecito proprietario dei dati. Questo potrebbe dare il via a furti di dati, frodi, estorsioni.

L’intervista a Gastone Nencini

Abbiamo approfondito alcuni elementi dello studio con Gastone Nencini, Country Manager di Trend Micro Italia che spiega come il problema fondamentale della sicurezza e della prevenzione sia la mancanza di esperienza in questi ambiti. Poiché i contesti digitali del metaverso sono nuovi e ancora oggi accessibili a pochi dati gli alti costi, non ci sono dati di utenza e/o avversari ma sicuramente è possibile traslare le esperienze vissute nel web 1.0 e 2.0 anche al metaverso perché se i crimini si adattano al contesto tecnologico allora è appropriato prepararsi ad una trasposizione in questi ambiti digitali. non appena i costi diminuiranno e gli utenti si sposteranno nel metaverso, i criminali inizieranno i loro traffici per lucrare da attività di cybercrime cambiando le tecniche, gli strumenti.

Fra le minacce più probabili Gastone Nencini sottolinea la compromissione dei device abilitanti (occhiali di realtà aumentata o guanti con dei sensori) che essendo basati sulla tecnologia informatica potranno ospitare vulnerabilità del codice e potranno essere i primi oggetti di attacco finalizzato al ricatto. Con lo stesso criterio anche le piattaforme abilitante del metaverso saranno di interesse per ricatti ed estorsioni pena la negazione del servizio. In generale qualsiasi ambito digitale e spazio del metaverso dove gireranno soldi potrà essere una priorità per gli attaccanti. Sul fronte delle minacce alla privacy, conclude Gastone Nencini, il problema sarà ancora principalmente l’utente e la sua debolezza al social engineering. Anche nel metaverso è consigliabile evitare una diffusione e pubblicazione dei propri dati personali privati. È possibile regolamentare, ma è necessario informare ed educare ad un uso consapevole sia gli utenti di ogni fascia d’età, che le aziende. Ricordo che quando le aziende offrono prodotti e soluzioni gratuitamente, spesso il prodotto è l’utente stesso, con i suoi dati, i suoi gusti e le sue scelte che possono essere sfruttate per marketing aggressivo. Queste logiche devono essere spiegate perché la conoscenza abilita sempre la responsabilità e la prevenzione. In questo senso siamo impegnati nel programma Internet Safety for Kids and Families (ISKF) per informare bambini, famiglie e scuole a utilizzare la tecnologia in modo sicuro e responsabile.