Monday, November 20, 2006

Security, A Human Problem

I don't play Second Life or any video games cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. If I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I would play Civ IV. Neverthless, virtual worlds like SL are becoming increasingly interesting, as demonstrated by today's attack of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 killer rings (pictured at left), also known as a "grey goo" attack.

This comment in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accompanying Slashdot post explains that it's possible for a rogue user to exploit vulnerabilities in Second Life and introduce code that peforms a sort of denial of service attack on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game. The attack occurs when game participants decide to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gold rings shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumbnail from this site. It's similar to human penetration testers leaving USB tokens or CD-ROMs at a physical world place of business and waiting for unsuspecting employees to see what's on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

This story illustrates two points. First, it demonstrates that client-side attacks remain a human problem and less of a technical problem. Second, I expect at some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se virtual worlds will need security consultants, just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world. I wonder if someone could write a countermeasure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual player level for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of attacks?

Update: Here's a YouTube video.

4 comments:

Unknown said...

Such cute little rings... :)

I don't play Second Life eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (I prefer less reality-immersive games) but my friends and I have been following, with keen attention, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of this game and community. People are falling into Second Life and being more in tough with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir virtual reality than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world. People make a living in SL, companies are being created inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, real companies are putting operations inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, holding meetings, conducting training (NETg deserves some pats on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back for quickly adopting online training in such an interesting space), and so on.

The implications of security issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is just wild. Picking up those rings may have done nothing had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game been more secure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code side? Is that technical cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n?

I totally suggest keeping an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goings-on in SL. It is quietly becoming a crazy next level for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and gaming and life in general. You made my morning by mentioning security consultants in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game! :) Don't you dare tempt some of us into getting lost in that game and taking away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 already understaffed real worlds!

Anonymous said...

There are a number of security firms already working for games companies. I have some friends doing code review for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se games now. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of money continues to surpass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie industry I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will continue to ramp up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security programs as well.

Richard Bejtlich said...

I mean inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, working for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players -- not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies.

Anonymous said...

Code exploits in games are not new though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may be amusing. What is more interesting to me is if companies are going to use SL as a venue for sharing internal information, how will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identity/trust and infosec issues which will arise? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to be shared is public, why not just post an intranet document, if it is at all sensitive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n any manager doing conferences in SL needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir head examined.