7 december 2007
Ook in Second Life kunnen de zakkenrollers toeslaan. Charles Miller en Dino Dai Zov zeggen dat ze een kwetsbaarheid hebben gevonden in de wijze waarop Second Life het geld van een avatar beschermt. Als het waar is is het een zorgelijke mededeling voor Second Life-gebruikers, aangezien de Linden dollars van het platform in principe kunnen worden ingewisseld voor harde Amerikaanse dollars. De risico's echter zijn niet zo heel groot voor Linden Labs, de ontwikkelaar van het platform, aangezien, zoals de onderzoekers zeggen, het probleem makkelijk en snel verholpen kan worden. Miller, een onderzoeker bij een beveiligingsbedrijf in Baltimore, kreeg bekendheid afgelopen zomer toen hij manier ontdekte om de Apple iPhone te hacken. Hij zei dat beide onderzoekers 'found the flaw by exploiting a known problem with Apple’s QuickTime movie playback software, which is used to play movies inside the virtual world'. De twee hackers waren al maanden bezig met zich af te vrezen hoe het zat met de beveiliging van het platform Second Life. 'It’s not kindergarten work, but this is pretty easy to do', zegt Dai Zovi, die grote ervaring heeft met het hacken van het Macintosh-platform.
'The exploit works because Second Life allows users to embed videos or pictures on their character’s or their virtual property. When someone comes nearby and is within view of the object, the Second Life software activates QuickTime so it can play the video or picture. In doing so, QuickTime directs the Second Life software to a web site. By exploiting the flaw in QuickTime, we can direct the Second Life software to a malicious web site that allows us to take over the Second Life avatar', zo zegt Miller. De manier waarop dat gebeurt is hier uitgebreider beschreven. In een video laat Miller zien hoe een avatar in de virtuele wereld langs de avatar van de hacker loop. er lijkt niets mis, maar dan verschijnt er een bericht dat de voorbijlopende avatar net twaalf Linden dollars aan de hacker's avatar heeft overgeboekt. Niets kan verhinderen dat het geld wordt omgezet in harde dollars via de verschillende wisseldiensten in Second Life. De hackers stellen dat zij volledige controle over de avatar van iedere gebruiker kunnen krijgen en die avatar vervolgens alle geld en eigendommen in de virtuele wereld kunnen afhandig maken. Dat is een ernstige inbreuk, want vele van de gebruikers van Second Life proberen het leven daar te betalen door goederen en diensten te verkopen. Daniel Terdiman, de auteur van het boek 'The Entrepreneur’s Guide to Second Life', zegt dat het kritisch is voor iedere virtuele wereld om veilig te zijn omdat anders het vertrouwen van de gebruikers verloren gaat. Hij zegt: 'For Second Life businesspeople, it is definitely important that they feel comfortable that their Linden dollars are not going to disappear. But Second Life does not have bank-like security, nor any guarantees that any inventory item, let alone Linden dollars, won’t disappear. There are glitches that take place from time to time in SL that do cause inventory items to disappear, and Linden Lab does not offer guarantees protecting such items, even Linden dollars. That said, the economy remains very stable and I haven’t heard of situations where people’s Linden dollar accounts have vanished, and I would say that the security around their in-world currency is pretty good, even if it’s not 'bank-like' now and unlikely to ever be. Still, as one business owner said to me when I was researching the book, you should always have a backup plan in case of a glitch that causes you to lose everything, because you never know what might happen. And in the case of Linden dollars, that likely means doing regular L$/US$ exchanges so as not to keep too many Lindens in your SL account. You can’t lose what’s not there'. Miller gelooft dat bedrijven meer aandacht moeten schenken aan beveiligingsvraagstukken en dat is ook de reden waarom hij als beroep verschillende technieken hackt. Miller heeft Linden Labs op de hoogte gebracht van het lek, voordat hij het in het nieuws bracht. Linden Labs reageerde uiteraard: 'We were alerted a short time ago by Internet security professionals that a QuickTime exploit has been discovered which may allow an attacker to crash or exploit any user of the QuickTime software from Apple. The Second Life viewer uses QT to play videos and therefore this exploit could potentially affect the Residents of Second Life. This exploit affects all platforms that use QuickTime and, to date, Apple has not released a fix for it. While we have no evidence that this vulnerability has been used to date within Second Life, we of course want to make sure our Residents are aware of the facts, and give them guidance on how they can protect themselves. We are notifying all of our Residents today about this issue. The Second Life viewer allows Residents to easily enable or disable streaming video, and we recommend that Residents employ caution when using QuickTime in Second Life, only enabling it in environments that they trust, and are familiar with'. Miller stelt dat Apple bezig is de QuickTime problemen op te lossen, maar dan betekent niet dat er dan geen risico's meer zijn. Miller stelt dat het lek gebruikt kan worden 'to create a virus that infects all of Second Life'. Het is duidelijk dat Miller en Dai Zovi een belangrij punt hebben: het wordt tijd dat ook de veiligheid van en in virtuele werelden wordt vergoot en duidelijk te krijgen wie wat bezit in cyberspace. 'If your money gets stolen through hacking in the real world, the bank will refund your money and take a loss', zegt Dai Zovi. 'The same thing may have to happen here'.