a tecnologia estÁ se tornando cada vez mais … · e empresas, e conceitos gerais, como...

A TECNOLOGIA ESTAacute SE TORNANDO CADA VEZ MAIS INTELIGENTE ESTAMOS PREPARADOS

2wwwwelivesecuritycombr

IacuteNDICE

1

4

2

5

3

2020 A neblina se adensa5 mdash 9

De dispositivos IoT a edifiacutecios e cidades inteligentes ldquoSmart is the new sexyrdquo18 mdash 22

Machine Learning x Machine Learning Criando seguranccedila ou atacando10 mdash 13

Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas23 mdash 26

Conclusatildeo27 mdash 28

Introduccedilatildeo3 mdash 4

Mudanccedilas substanciais em termos de privacidade14 mdash 17


INTRODUCcedilAtildeOConsiderando que os dispositivos satildeo cada vez mais inteligentes eacute inevitaacutevel questionar se os usuaacuterios tambeacutem estatildeo adquirindo ldquointeligecircnciardquo suficiente para se beneficiar desses avanccedilos tecnoloacutegicos sem sofrer contratempos

Ano apoacutes ano especialistas em seguranccedila da ESET de todo o mundo se aventuram nos aspectos de seguranccedila dos uacuteltimos avanccedilos tecnoloacutegicos E considerando que eacute inegaacutevel que os dispositivos estatildeo se tornando cada vez mais inteligentes surge uma pergunta os usuaacuterios estatildeo acom-panhando os avanccedilos tecnoloacutegicos em termos de ldquointeligecircnciardquo necessaacuteria para aproveitaacute-los ao maacuteximo sem sofrer contratempos Ao longo dos cinco capiacutetulos deste relatoacuterio revisaremos dife-rentes aspectos relacionados agrave seguranccedila dife-rentes agentes sociais como usuaacuterios governos e empresas e conceitos gerais como privacidade democracia transformaccedilatildeo digital e muito mais

Tony Anscombe aborda o tema das eleiccedilotildees pre-sidenciais dos Estados Unidos e os ecos das re-percussotildees que as fakes news e as denuacutencias de interferecircncias estrangeiras tiveram em eleiccedilotildees anteriores Infelizmente os Estados Unidos natildeo tem sido o uacutenico lugar no mundo onde esse ce-naacuterio ocorreu e quase certamente ao longo de 2020 seraacute um tema que estaraacute na agenda puacuteblica e poliacutetica entatildeo vale a pena rever como as (des)informaccedilotildees e as fake news podem desempenhar um papel nos processos democraacuteticos que viratildeo

No capiacutetulo ldquoMachine Learning x Machine Le-arning Criando seguranccedila ou atacandordquo Jake Moore aborda este tema que eacute um dos mais co-mentados dos uacuteltimos tempos Esse termo tem sido usado para diferentes desenvolvimentos tec-noloacutegicos mas em 2019 uma de suas aplicaccedilotildees ganhou relevacircncia puacuteblica com a popularidade efecircmera do FaceApp e com a melhoria das teacutecni-cas de deepfake que foram vistas ao longo do ano Qual o impacto do Machine Learning na seguran-ccedila Poderia ser usado para atacar a seguranccedila e a privacidade de usuaacuterios e organizaccedilotildees

Todas estas questotildees estatildeo intimamente relacio-nadas com a privacidade dos usuaacuterios Lysa Myers em seu capiacutetulo analisa como estaacute a questatildeo da privacidade depois do que aconteceu com a Cam-bridge Analytica a implementaccedilatildeo da legislaccedilatildeo em diferentes niacuteveis e as implicaccedilotildees para empre-sas e governos que teratildeo o desencanto dos usuaacute-rios em relaccedilatildeo agrave privacidade de seus dados

A tendecircncia ldquoSmartrdquo natildeo soacute atingiu os objetos que os usuaacuterios usam todos os dias como jaacute estaacute to-mando uma escala maior e podemos ver diferen-tes exemplos de edifiacutecios inteligentes em todo o


mundo e com a promessa de que em breve as ci-dades seratildeo as proacuteximas a juntar-se a este cenaacuterio Seraacute que isto pode causar novos tipos de ataques que misturam o digital e o fiacutesico As condiccedilotildees de seguranccedila existentes para que estas implementa-ccedilotildees se realizem sem colocar em risco os usuaacuterioscidadatildeos e as organizaccedilotildees Cecilia Pastorino de-senvolve estas e outras questotildees em seu capiacutetulo

Essa mudanccedila de paradigma talvez seja mais evidente nos processos de transformaccedilatildeo digital que estatildeo sendo executados em muitas empre-sas em todo o mundo desafiando as equipes de TI a acompanhar o ritmo de todas as mudanccedilas tecnoloacutegicas Camilo Gutieacuterrez aprofunda esta questatildeo e quais seratildeo os desafios para o ambiente corporativo no futuro bem proacuteximo

Uma das ferramentas para poder estar preparado para o futuro eacute a informaccedilatildeo Por isso leia este re-latoacuterio de Tendecircncias 2020 e saiba o que estaacute por vir em 2020 e nos anos seguintes


2020 A NEBLINA SE ADENSA1bull Fake newsbull Desinformaccedilatildeo direcionada e propagandabull O processo de votaccedilatildeobull Des-mis-ti-fi-can-do tudo

AUTOR

Tony AnscombeGlobal Security Evangelist

2020 A neblina se adensa


O ano de 2020 pode ser outro ano confuso para o processo democraacutetico O que pode atrapalhar o nosso caminho na hora de tomar decisotildees baseadas em fatos

Conforme avanccedilamos rumo a 2020 haacute uma previsatildeo de todo esse relatoacuterio de Tendecircncias que eacute praticamente uma certeza haveraacute reivindicaccedilotildees de interferecircncia e manipulaccedilatildeo nos processos eleitorais durante o ano

Esses problemas satildeo complexos e ainda que seja faacutecil apontar o dedo para a suspeita de interferecircncia pode ser difiacutecil provar com uma certeza razoaacutevel A complexidade comeccedila devido a incidecircncia de vaacuterios tipos de interferecircn-cias que podem fazer com que os resultados eleitorais se-jam liderados para um certo resultado ou para natildeo repre-sentar realmente o voto emitido pelo eleitorado Ao olhar para problemas ciberneacuteticos ou on-line eles oscilam en-tre notiacutecias falsas e fraude nas urnas eleitorais chegando a ter como alvo a parcela da populaccedilatildeo influenciaacutevel por informaccedilotildees tendenciosas

As eleiccedilotildees presidenciais dos EUA de 2016 foram envoltas em controveacutersias poacutes-eleiccedilatildeo com reivindicaccedilotildees de no-tiacutecias falsas interferecircncias de outros estados-naccedilatildeo e o potencial ataque do proacuteprio processo de votaccedilatildeo Aleacutem disso haacute reivindicaccedilotildees de que o referendo do Brexit no Reino Unido foi tendencioso devido a interferecircncias e que na Ameacuterica do Sul a desinformaccedilatildeo se espalhou pelo WhatsApp afetando possivelmente o resultado das eleiccedilotildees brasileiras Como podemos esperar que os elei-tores confiem no processo democraacutetico quando tudo isso estaacute encobrindo o desfecho

Este capiacutetulo resume alguns dos meacutetodos que veremos ser usados indubitavelmente por indiviacuteduos grupos ati-vistas estados-naccedilatildeo e ateacute mesmo cibercriminosos em 2020 enquanto eles tentam interferir nos processos de-mocraacuteticos mundiais para seus proacuteprios ganhos quais-quer que sejam



7wwwwelivesecuritycombrBY

Fake news

O Collins Dictionary premiou esse termo como Palavra

do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias

Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news

Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar

Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel

Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada

Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim



Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis

O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo

Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas

A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um

novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam

Desinformaccedilatildeo direcionada e propaganda

O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook

A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-



cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-

te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse

O processo de votaccedilatildeo

Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo

Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-

torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA

Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-

tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados

Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design

Des-mis-ti-fi-can-do tudo

Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado

Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo

Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses


MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo

AUTOR

Jake MooreSecurity Specialist

Machine Learning x Machine Learning criando seguranccedila ou atacando


Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos

O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria

O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-

sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos

No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura

A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas




Enganando olhos desatentos

Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas

As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo

Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos

Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash

seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo

Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar

Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade



Enganando o algoritmo

O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo

Algumas cidades nos Estados Unidos baniram o reconheci-

mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML

No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos

Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada

Uma explosatildeo ou uma expulsatildeo

Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques


bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo

AUTORA

Lysa MyersESET Senior Security

Researcher

MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3

Mudanccedilas substanciais em termos de privacidade


A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude

Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees

Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado

Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados

Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade

E essa barreira continuou ndash somente em 2019 vimos al-

guns poucos paiacuteses e estados norte-americanos aprova-

rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes

A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros

paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela

Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas

Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila

Mudanccedilas substanciais emtermos de privacidade



Design para privacidade e seguranccedila

Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design

Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio

Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado

Melhoria da tecnologia de anuacutencios

Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor

Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida

Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores



Consequecircncias legislativas para violaccedilotildees da confianccedila

Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual

do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees

Melhoria da autenticaccedilatildeo e verificaccedilatildeo

Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade

Vamos mudar o rumo dessa embarcaccedilatildeo

Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000

Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado


bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas

AUTORA

Cecilia PastorinoSecurity Researcher

DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4

De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo


Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila

Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente

A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes

Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design

Edifiacutecios Inteligentes

Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros

As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras




Cidades inteligentes

Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia

O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o

mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja

sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade

Ataques a infraestruturas inteligentes

Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys

Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo



Malware

Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador

A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos

Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos

computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica

Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades

O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos

Roubo de identidade

O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos

Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques

Roubo de informaccedilotildees criacuteticas

Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem

Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores


privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-

tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores

Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos

As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila

Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-

-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia

Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade

A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes

serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes



bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila

bull Variedade de tecnologias como mecanismo de mudanccedila

bull O caminho da mobilidadebull Conceitos que devem ser mantidos na

transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas

AUTOR

Camilo GutieacuterrezESET Senior Security

Researcher

TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5

Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas


Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo

A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio

Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila

Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista

Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila

As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas

Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na

diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito

Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes

De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante

Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo




Variedade de tecnologias comomecanismo de mudanccedila

Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios

Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana

O caminho da mobilidade

Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar

Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas

Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas

Conceitos que devem ser mantidos na transformaccedilatildeo digital

Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados

Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem



Entatildeo o que fazer nas empresas

Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila

1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees

2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente

3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual

4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas

5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social

CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade

Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo

Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel

global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila

Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente

Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua



participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas

Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-

tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final

Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo

Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos


IacuteNDICE

1

4

2

5

3

2020 A neblina se adensa5 mdash 9

De dispositivos IoT a edifiacutecios e cidades inteligentes ldquoSmart is the new sexyrdquo18 mdash 22

Machine Learning x Machine Learning Criando seguranccedila ou atacando10 mdash 13

Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas23 mdash 26

Conclusatildeo27 mdash 28

Introduccedilatildeo3 mdash 4

Mudanccedilas substanciais em termos de privacidade14 mdash 17














AUTOR












Fake news



































AUTOR

































AUTORA


Researcher







































AUTORA

























Malware







Roubo de identidade






















AUTOR


Researcher































































AUTOR












Fake news



































AUTOR

































AUTORA


Researcher







































AUTORA

























Malware







Roubo de identidade






















AUTOR


Researcher




























































Fake news



































AUTOR

































AUTORA


Researcher







































AUTORA

























Malware







Roubo de identidade






















AUTOR


Researcher













































































AUTOR

































AUTORA


Researcher







































AUTORA

























Malware







Roubo de identidade






















AUTOR


Researcher

















































































AUTORA


Researcher







































AUTORA

























Malware







Roubo de identidade






















AUTOR


Researcher























































































AUTORA

























Malware







Roubo de identidade






















AUTOR


Researcher








































































Malware







Roubo de identidade






















AUTOR


Researcher


































































AUTOR


Researcher


















































a tecnologia estÁ se tornando cada vez mais … · e empresas, e conceitos gerais, como...

Documents