Abonneer je gratis op Techzine!

De snelgroeiende virtuele leefomgeving Second Life loopt aanzienlijke beveiligingsrisico’s, zo concludeert internationaal beveiligingsbedrijf Comsec Consulting op basis van een eerste inventarisatie.

In het afgelopen jaar hebben zich al diverse beveiligingsincidenten voorgedaan in Second Life en hackers zijn meermaals in staat geweest om substantiële zwakke plekken te vinden in het systeem en het communicatieprotocol van Second Life.

De beveiligingsrisico’s hebben enerzijds te maken met de manier waarop Second Life is opgezet: het laagdrempelige en op onderlinge interactie gerichte model. Anderzijds met het feit dat de scripting language van Second Life-ontwikkelaar Linden Labs het erg makkelijk maakt kwaadaardige code te produceren. Henk van der Heijden, Managing Director Benelux van Comsec: “Het laten crashen van het hele systeem is niet eens moeilijk. Het is alleen niet toegestaan volgens de reglementen. Daarbij zorgen de nu al ruimschoots vertegenwoordigde porno- en goksectoren voor grote financiële belangen, temeer omdat de virtuele munteenheid in een vaste wisselkoers gekoppeld is aan de Amerikaanse dollar.”

De meeste nieuwkomers die zich in Second Life registreren via de website kiezen voor het ‘gratis’ basisaccount. Van der Heijden: “Om een eerste bedrag Linden dollars te krijgen moeten gebruikers wél hun credit card- of PayPal-gegevens geven. De bezoeker is hierdoor niet langer echt anoniem en zijn ‘second life’ is dan wel degelijk gekoppeld aan zijn ‘first life’.”

Hoewel de site claimt dat de informatie opgeslagen is in een virtuele kluis, betekent het structureel ontbreken van een diepgaand beveiligingsontwerp en het ‘open code protocol’ dat ook voor deze kluis kwetsbaarheden bekend gaan worden.

"En de beveiligings-issues houden niet op bij de grens van Second Life. Met het verlangen naar meer virtuele bezittingen en macht worden bezoekers ook gevoelig voor phishing-aanvallen. De website waarschuwt dan ook dat bezoekers niet moeten ingaan op aanbiedingen van ‘gratis’ virtueel geld, die bedoeld zijn om privé gegevens te bemachtigen. Als Second Life inderdaad zoveel wil blijven groeien als gepland is, dan zal het zijn beveiliging drastisch moeten gaan verscherpen", zegt Van der Heijden.