Capelle a/d IJssel, 15 februari 2007 – De snelgroeiende virtuele leefomgeving Second Life loopt aanzienlijke beveiligingsrisico’s, zo concludeert internationaal beveiligingsbedrijf Comsec Consulting op basis van een eerste inventarisatie. In het afgelopen jaar hebben zich al diverse beveiligingsincidenten voorgedaan in Second Life en hackers zijn meermaals in staat geweest om substantiële zwakke plekken te vinden in het systeem en het communicatieprotocol van Second Life.
De beveiligingsrisico’s hebben enerzijds te maken met de manier waarop Second Life is opgezet: het laagdrempelige en op onderlinge interactie gerichte model. Anderzijds met het feit dat de scripting language van Second Life-ontwikkelaar Linden Labs het erg makkelijk maakt kwaadaardige code te produceren. Henk van der Heijden, Managing Director Benelux van Comsec: “Het laten crashen van het hele systeem is niet eens moeilijk. Het is alleen niet toegestaan volgens de reglementen. Daarbij zorgen de nu al ruimschoots vertegenwoordigde porno- en goksectoren voor grote financiële belangen, temeer omdat de virtuele munteenheid in een vaste wisselkoers gekoppeld is aan de Amerikaanse dollar.”
Privacy
De meeste nieuwkomers die zich in Second Life registreren via de website kiezen voor het ‘gratis’ basisaccount. Van der Heijden: “Om een eerste bedrag Linden dollars te krijgen moeten gebruikers wél hun credit card- of PayPal-gegevens geven. De bezoeker is hierdoor niet langer echt anoniem en zijn ‘second life’ is dan wel degelijk gekoppeld aan zijn ‘first life’.”
Hoewel de site claimt dat de informatie opgeslagen is in een virtuele kluis, betekent het structureel ontbreken van een diepgaand beveiligingsontwerp en het ‘open code protocol’ dat ook voor deze kluis kwetsbaarheden bekend gaan worden.
“En de beveiligings-issues houden niet op bij de grens van Second Life. Met het verlangen naar meer virtuele bezittingen en macht worden bezoekers ook gevoelig voor phishing-aanvallen. De website waarschuwt dan ook dat bezoekers niet moeten ingaan op aanbiedingen van ‘gratis’ virtueel geld, die bedoeld zijn om privé gegevens te bemachtigen. Als Second Life inderdaad zoveel wil blijven groeien als gepland is, dan zal het zijn beveiliging drastisch moeten gaan verscherpen”, zegt Van der Heijden.
-----------------
Over Comsec
Comsec is in 1986 door de Israëlier CEO Nissim Bar-El opgericht en inmiddels wereldwijd actief op het gebied van risk assessments, penetratietesten, beveiligingsplanning en -design, ontwikkeling van beveiligingsbeleid en procedures en beveiligingsonderwijs en –training. In 2005 introduceerde Comsec zijn eigen keurmerk voor veilige internetapplicaties. e-Sure is een uitgebreidere certificering dan de BS7799/ISO27001-standaard en inmiddels wereldwijd aan diverse bedrijven uitgedeeld. Naast het hoofdkantoor in Tel Aviv heeft Comsec kantoren in Tokio, Singapore, Londen, Warschau, Istanbul en Rotterdam. Meer informatie over Comsec is te vinden op
www.comsecglobal.com.
Voor meer informatie:
Comsec
Henk van der Heijden
Tel. +31 (0)10 288 10 10
Henk(at)comsecglobal.com
Whizpr
Erik van de Nadort
Tel. +31 (0)317 410 483
comsec(at)whizpr.nl