a tecnologia estÁ se tornando cada vez mais … · e empresas, e conceitos gerais, como...
Post on 20-Aug-2020
1 Views
Preview:
TRANSCRIPT
A TECNOLOGIA ESTAacute SE TORNANDO CADA VEZ MAIS INTELIGENTE ESTAMOS PREPARADOS
2wwwwelivesecuritycombr
IacuteNDICE
1
4
2
5
3
2020 A neblina se adensa5 mdash 9
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquoSmart is the new sexyrdquo18 mdash 22
Machine Learning x Machine Learning Criando seguranccedila ou atacando10 mdash 13
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas23 mdash 26
Conclusatildeo27 mdash 28
Introduccedilatildeo3 mdash 4
Mudanccedilas substanciais em termos de privacidade14 mdash 17
3wwwwelivesecuritycombr
INTRODUCcedilAtildeOConsiderando que os dispositivos satildeo cada vez mais inteligentes eacute inevitaacutevel questionar se os usuaacuterios tambeacutem estatildeo adquirindo ldquointeligecircnciardquo suficiente para se beneficiar desses avanccedilos tecnoloacutegicos sem sofrer contratempos
Ano apoacutes ano especialistas em seguranccedila da ESET de todo o mundo se aventuram nos aspectos de seguranccedila dos uacuteltimos avanccedilos tecnoloacutegicos E considerando que eacute inegaacutevel que os dispositivos estatildeo se tornando cada vez mais inteligentes surge uma pergunta os usuaacuterios estatildeo acom-panhando os avanccedilos tecnoloacutegicos em termos de ldquointeligecircnciardquo necessaacuteria para aproveitaacute-los ao maacuteximo sem sofrer contratempos Ao longo dos cinco capiacutetulos deste relatoacuterio revisaremos dife-rentes aspectos relacionados agrave seguranccedila dife-rentes agentes sociais como usuaacuterios governos e empresas e conceitos gerais como privacidade democracia transformaccedilatildeo digital e muito mais
Tony Anscombe aborda o tema das eleiccedilotildees pre-sidenciais dos Estados Unidos e os ecos das re-percussotildees que as fakes news e as denuacutencias de interferecircncias estrangeiras tiveram em eleiccedilotildees anteriores Infelizmente os Estados Unidos natildeo tem sido o uacutenico lugar no mundo onde esse ce-naacuterio ocorreu e quase certamente ao longo de 2020 seraacute um tema que estaraacute na agenda puacuteblica e poliacutetica entatildeo vale a pena rever como as (des)informaccedilotildees e as fake news podem desempenhar um papel nos processos democraacuteticos que viratildeo
No capiacutetulo ldquoMachine Learning x Machine Le-arning Criando seguranccedila ou atacandordquo Jake Moore aborda este tema que eacute um dos mais co-mentados dos uacuteltimos tempos Esse termo tem sido usado para diferentes desenvolvimentos tec-noloacutegicos mas em 2019 uma de suas aplicaccedilotildees ganhou relevacircncia puacuteblica com a popularidade efecircmera do FaceApp e com a melhoria das teacutecni-cas de deepfake que foram vistas ao longo do ano Qual o impacto do Machine Learning na seguran-ccedila Poderia ser usado para atacar a seguranccedila e a privacidade de usuaacuterios e organizaccedilotildees
Todas estas questotildees estatildeo intimamente relacio-nadas com a privacidade dos usuaacuterios Lysa Myers em seu capiacutetulo analisa como estaacute a questatildeo da privacidade depois do que aconteceu com a Cam-bridge Analytica a implementaccedilatildeo da legislaccedilatildeo em diferentes niacuteveis e as implicaccedilotildees para empre-sas e governos que teratildeo o desencanto dos usuaacute-rios em relaccedilatildeo agrave privacidade de seus dados
A tendecircncia ldquoSmartrdquo natildeo soacute atingiu os objetos que os usuaacuterios usam todos os dias como jaacute estaacute to-mando uma escala maior e podemos ver diferen-tes exemplos de edifiacutecios inteligentes em todo o
4wwwwelivesecuritycombr
mundo e com a promessa de que em breve as ci-dades seratildeo as proacuteximas a juntar-se a este cenaacuterio Seraacute que isto pode causar novos tipos de ataques que misturam o digital e o fiacutesico As condiccedilotildees de seguranccedila existentes para que estas implementa-ccedilotildees se realizem sem colocar em risco os usuaacuterioscidadatildeos e as organizaccedilotildees Cecilia Pastorino de-senvolve estas e outras questotildees em seu capiacutetulo
Essa mudanccedila de paradigma talvez seja mais evidente nos processos de transformaccedilatildeo digital que estatildeo sendo executados em muitas empre-sas em todo o mundo desafiando as equipes de TI a acompanhar o ritmo de todas as mudanccedilas tecnoloacutegicas Camilo Gutieacuterrez aprofunda esta questatildeo e quais seratildeo os desafios para o ambiente corporativo no futuro bem proacuteximo
Uma das ferramentas para poder estar preparado para o futuro eacute a informaccedilatildeo Por isso leia este re-latoacuterio de Tendecircncias 2020 e saiba o que estaacute por vir em 2020 e nos anos seguintes
5wwwwelivesecuritycombr
2020 A NEBLINA SE ADENSA1bull Fake newsbull Desinformaccedilatildeo direcionada e propagandabull O processo de votaccedilatildeobull Des-mis-ti-fi-can-do tudo
AUTOR
Tony AnscombeGlobal Security Evangelist
2020 A neblina se adensa
6wwwwelivesecuritycombr
O ano de 2020 pode ser outro ano confuso para o processo democraacutetico O que pode atrapalhar o nosso caminho na hora de tomar decisotildees baseadas em fatos
Conforme avanccedilamos rumo a 2020 haacute uma previsatildeo de todo esse relatoacuterio de Tendecircncias que eacute praticamente uma certeza haveraacute reivindicaccedilotildees de interferecircncia e manipulaccedilatildeo nos processos eleitorais durante o ano
Esses problemas satildeo complexos e ainda que seja faacutecil apontar o dedo para a suspeita de interferecircncia pode ser difiacutecil provar com uma certeza razoaacutevel A complexidade comeccedila devido a incidecircncia de vaacuterios tipos de interferecircn-cias que podem fazer com que os resultados eleitorais se-jam liderados para um certo resultado ou para natildeo repre-sentar realmente o voto emitido pelo eleitorado Ao olhar para problemas ciberneacuteticos ou on-line eles oscilam en-tre notiacutecias falsas e fraude nas urnas eleitorais chegando a ter como alvo a parcela da populaccedilatildeo influenciaacutevel por informaccedilotildees tendenciosas
As eleiccedilotildees presidenciais dos EUA de 2016 foram envoltas em controveacutersias poacutes-eleiccedilatildeo com reivindicaccedilotildees de no-tiacutecias falsas interferecircncias de outros estados-naccedilatildeo e o potencial ataque do proacuteprio processo de votaccedilatildeo Aleacutem disso haacute reivindicaccedilotildees de que o referendo do Brexit no Reino Unido foi tendencioso devido a interferecircncias e que na Ameacuterica do Sul a desinformaccedilatildeo se espalhou pelo WhatsApp afetando possivelmente o resultado das eleiccedilotildees brasileiras Como podemos esperar que os elei-tores confiem no processo democraacutetico quando tudo isso estaacute encobrindo o desfecho
Este capiacutetulo resume alguns dos meacutetodos que veremos ser usados indubitavelmente por indiviacuteduos grupos ati-vistas estados-naccedilatildeo e ateacute mesmo cibercriminosos em 2020 enquanto eles tentam interferir nos processos de-mocraacuteticos mundiais para seus proacuteprios ganhos quais-quer que sejam
2020 A neblina se adensa
2020 A neblina se adensa
7wwwwelivesecuritycombrBY
Fake news
O Collins Dictionary premiou esse termo como Palavra
do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias
Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news
Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar
Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel
Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada
Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
2wwwwelivesecuritycombr
IacuteNDICE
1
4
2
5
3
2020 A neblina se adensa5 mdash 9
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquoSmart is the new sexyrdquo18 mdash 22
Machine Learning x Machine Learning Criando seguranccedila ou atacando10 mdash 13
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas23 mdash 26
Conclusatildeo27 mdash 28
Introduccedilatildeo3 mdash 4
Mudanccedilas substanciais em termos de privacidade14 mdash 17
3wwwwelivesecuritycombr
INTRODUCcedilAtildeOConsiderando que os dispositivos satildeo cada vez mais inteligentes eacute inevitaacutevel questionar se os usuaacuterios tambeacutem estatildeo adquirindo ldquointeligecircnciardquo suficiente para se beneficiar desses avanccedilos tecnoloacutegicos sem sofrer contratempos
Ano apoacutes ano especialistas em seguranccedila da ESET de todo o mundo se aventuram nos aspectos de seguranccedila dos uacuteltimos avanccedilos tecnoloacutegicos E considerando que eacute inegaacutevel que os dispositivos estatildeo se tornando cada vez mais inteligentes surge uma pergunta os usuaacuterios estatildeo acom-panhando os avanccedilos tecnoloacutegicos em termos de ldquointeligecircnciardquo necessaacuteria para aproveitaacute-los ao maacuteximo sem sofrer contratempos Ao longo dos cinco capiacutetulos deste relatoacuterio revisaremos dife-rentes aspectos relacionados agrave seguranccedila dife-rentes agentes sociais como usuaacuterios governos e empresas e conceitos gerais como privacidade democracia transformaccedilatildeo digital e muito mais
Tony Anscombe aborda o tema das eleiccedilotildees pre-sidenciais dos Estados Unidos e os ecos das re-percussotildees que as fakes news e as denuacutencias de interferecircncias estrangeiras tiveram em eleiccedilotildees anteriores Infelizmente os Estados Unidos natildeo tem sido o uacutenico lugar no mundo onde esse ce-naacuterio ocorreu e quase certamente ao longo de 2020 seraacute um tema que estaraacute na agenda puacuteblica e poliacutetica entatildeo vale a pena rever como as (des)informaccedilotildees e as fake news podem desempenhar um papel nos processos democraacuteticos que viratildeo
No capiacutetulo ldquoMachine Learning x Machine Le-arning Criando seguranccedila ou atacandordquo Jake Moore aborda este tema que eacute um dos mais co-mentados dos uacuteltimos tempos Esse termo tem sido usado para diferentes desenvolvimentos tec-noloacutegicos mas em 2019 uma de suas aplicaccedilotildees ganhou relevacircncia puacuteblica com a popularidade efecircmera do FaceApp e com a melhoria das teacutecni-cas de deepfake que foram vistas ao longo do ano Qual o impacto do Machine Learning na seguran-ccedila Poderia ser usado para atacar a seguranccedila e a privacidade de usuaacuterios e organizaccedilotildees
Todas estas questotildees estatildeo intimamente relacio-nadas com a privacidade dos usuaacuterios Lysa Myers em seu capiacutetulo analisa como estaacute a questatildeo da privacidade depois do que aconteceu com a Cam-bridge Analytica a implementaccedilatildeo da legislaccedilatildeo em diferentes niacuteveis e as implicaccedilotildees para empre-sas e governos que teratildeo o desencanto dos usuaacute-rios em relaccedilatildeo agrave privacidade de seus dados
A tendecircncia ldquoSmartrdquo natildeo soacute atingiu os objetos que os usuaacuterios usam todos os dias como jaacute estaacute to-mando uma escala maior e podemos ver diferen-tes exemplos de edifiacutecios inteligentes em todo o
4wwwwelivesecuritycombr
mundo e com a promessa de que em breve as ci-dades seratildeo as proacuteximas a juntar-se a este cenaacuterio Seraacute que isto pode causar novos tipos de ataques que misturam o digital e o fiacutesico As condiccedilotildees de seguranccedila existentes para que estas implementa-ccedilotildees se realizem sem colocar em risco os usuaacuterioscidadatildeos e as organizaccedilotildees Cecilia Pastorino de-senvolve estas e outras questotildees em seu capiacutetulo
Essa mudanccedila de paradigma talvez seja mais evidente nos processos de transformaccedilatildeo digital que estatildeo sendo executados em muitas empre-sas em todo o mundo desafiando as equipes de TI a acompanhar o ritmo de todas as mudanccedilas tecnoloacutegicas Camilo Gutieacuterrez aprofunda esta questatildeo e quais seratildeo os desafios para o ambiente corporativo no futuro bem proacuteximo
Uma das ferramentas para poder estar preparado para o futuro eacute a informaccedilatildeo Por isso leia este re-latoacuterio de Tendecircncias 2020 e saiba o que estaacute por vir em 2020 e nos anos seguintes
5wwwwelivesecuritycombr
2020 A NEBLINA SE ADENSA1bull Fake newsbull Desinformaccedilatildeo direcionada e propagandabull O processo de votaccedilatildeobull Des-mis-ti-fi-can-do tudo
AUTOR
Tony AnscombeGlobal Security Evangelist
2020 A neblina se adensa
6wwwwelivesecuritycombr
O ano de 2020 pode ser outro ano confuso para o processo democraacutetico O que pode atrapalhar o nosso caminho na hora de tomar decisotildees baseadas em fatos
Conforme avanccedilamos rumo a 2020 haacute uma previsatildeo de todo esse relatoacuterio de Tendecircncias que eacute praticamente uma certeza haveraacute reivindicaccedilotildees de interferecircncia e manipulaccedilatildeo nos processos eleitorais durante o ano
Esses problemas satildeo complexos e ainda que seja faacutecil apontar o dedo para a suspeita de interferecircncia pode ser difiacutecil provar com uma certeza razoaacutevel A complexidade comeccedila devido a incidecircncia de vaacuterios tipos de interferecircn-cias que podem fazer com que os resultados eleitorais se-jam liderados para um certo resultado ou para natildeo repre-sentar realmente o voto emitido pelo eleitorado Ao olhar para problemas ciberneacuteticos ou on-line eles oscilam en-tre notiacutecias falsas e fraude nas urnas eleitorais chegando a ter como alvo a parcela da populaccedilatildeo influenciaacutevel por informaccedilotildees tendenciosas
As eleiccedilotildees presidenciais dos EUA de 2016 foram envoltas em controveacutersias poacutes-eleiccedilatildeo com reivindicaccedilotildees de no-tiacutecias falsas interferecircncias de outros estados-naccedilatildeo e o potencial ataque do proacuteprio processo de votaccedilatildeo Aleacutem disso haacute reivindicaccedilotildees de que o referendo do Brexit no Reino Unido foi tendencioso devido a interferecircncias e que na Ameacuterica do Sul a desinformaccedilatildeo se espalhou pelo WhatsApp afetando possivelmente o resultado das eleiccedilotildees brasileiras Como podemos esperar que os elei-tores confiem no processo democraacutetico quando tudo isso estaacute encobrindo o desfecho
Este capiacutetulo resume alguns dos meacutetodos que veremos ser usados indubitavelmente por indiviacuteduos grupos ati-vistas estados-naccedilatildeo e ateacute mesmo cibercriminosos em 2020 enquanto eles tentam interferir nos processos de-mocraacuteticos mundiais para seus proacuteprios ganhos quais-quer que sejam
2020 A neblina se adensa
2020 A neblina se adensa
7wwwwelivesecuritycombrBY
Fake news
O Collins Dictionary premiou esse termo como Palavra
do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias
Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news
Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar
Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel
Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada
Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
3wwwwelivesecuritycombr
INTRODUCcedilAtildeOConsiderando que os dispositivos satildeo cada vez mais inteligentes eacute inevitaacutevel questionar se os usuaacuterios tambeacutem estatildeo adquirindo ldquointeligecircnciardquo suficiente para se beneficiar desses avanccedilos tecnoloacutegicos sem sofrer contratempos
Ano apoacutes ano especialistas em seguranccedila da ESET de todo o mundo se aventuram nos aspectos de seguranccedila dos uacuteltimos avanccedilos tecnoloacutegicos E considerando que eacute inegaacutevel que os dispositivos estatildeo se tornando cada vez mais inteligentes surge uma pergunta os usuaacuterios estatildeo acom-panhando os avanccedilos tecnoloacutegicos em termos de ldquointeligecircnciardquo necessaacuteria para aproveitaacute-los ao maacuteximo sem sofrer contratempos Ao longo dos cinco capiacutetulos deste relatoacuterio revisaremos dife-rentes aspectos relacionados agrave seguranccedila dife-rentes agentes sociais como usuaacuterios governos e empresas e conceitos gerais como privacidade democracia transformaccedilatildeo digital e muito mais
Tony Anscombe aborda o tema das eleiccedilotildees pre-sidenciais dos Estados Unidos e os ecos das re-percussotildees que as fakes news e as denuacutencias de interferecircncias estrangeiras tiveram em eleiccedilotildees anteriores Infelizmente os Estados Unidos natildeo tem sido o uacutenico lugar no mundo onde esse ce-naacuterio ocorreu e quase certamente ao longo de 2020 seraacute um tema que estaraacute na agenda puacuteblica e poliacutetica entatildeo vale a pena rever como as (des)informaccedilotildees e as fake news podem desempenhar um papel nos processos democraacuteticos que viratildeo
No capiacutetulo ldquoMachine Learning x Machine Le-arning Criando seguranccedila ou atacandordquo Jake Moore aborda este tema que eacute um dos mais co-mentados dos uacuteltimos tempos Esse termo tem sido usado para diferentes desenvolvimentos tec-noloacutegicos mas em 2019 uma de suas aplicaccedilotildees ganhou relevacircncia puacuteblica com a popularidade efecircmera do FaceApp e com a melhoria das teacutecni-cas de deepfake que foram vistas ao longo do ano Qual o impacto do Machine Learning na seguran-ccedila Poderia ser usado para atacar a seguranccedila e a privacidade de usuaacuterios e organizaccedilotildees
Todas estas questotildees estatildeo intimamente relacio-nadas com a privacidade dos usuaacuterios Lysa Myers em seu capiacutetulo analisa como estaacute a questatildeo da privacidade depois do que aconteceu com a Cam-bridge Analytica a implementaccedilatildeo da legislaccedilatildeo em diferentes niacuteveis e as implicaccedilotildees para empre-sas e governos que teratildeo o desencanto dos usuaacute-rios em relaccedilatildeo agrave privacidade de seus dados
A tendecircncia ldquoSmartrdquo natildeo soacute atingiu os objetos que os usuaacuterios usam todos os dias como jaacute estaacute to-mando uma escala maior e podemos ver diferen-tes exemplos de edifiacutecios inteligentes em todo o
4wwwwelivesecuritycombr
mundo e com a promessa de que em breve as ci-dades seratildeo as proacuteximas a juntar-se a este cenaacuterio Seraacute que isto pode causar novos tipos de ataques que misturam o digital e o fiacutesico As condiccedilotildees de seguranccedila existentes para que estas implementa-ccedilotildees se realizem sem colocar em risco os usuaacuterioscidadatildeos e as organizaccedilotildees Cecilia Pastorino de-senvolve estas e outras questotildees em seu capiacutetulo
Essa mudanccedila de paradigma talvez seja mais evidente nos processos de transformaccedilatildeo digital que estatildeo sendo executados em muitas empre-sas em todo o mundo desafiando as equipes de TI a acompanhar o ritmo de todas as mudanccedilas tecnoloacutegicas Camilo Gutieacuterrez aprofunda esta questatildeo e quais seratildeo os desafios para o ambiente corporativo no futuro bem proacuteximo
Uma das ferramentas para poder estar preparado para o futuro eacute a informaccedilatildeo Por isso leia este re-latoacuterio de Tendecircncias 2020 e saiba o que estaacute por vir em 2020 e nos anos seguintes
5wwwwelivesecuritycombr
2020 A NEBLINA SE ADENSA1bull Fake newsbull Desinformaccedilatildeo direcionada e propagandabull O processo de votaccedilatildeobull Des-mis-ti-fi-can-do tudo
AUTOR
Tony AnscombeGlobal Security Evangelist
2020 A neblina se adensa
6wwwwelivesecuritycombr
O ano de 2020 pode ser outro ano confuso para o processo democraacutetico O que pode atrapalhar o nosso caminho na hora de tomar decisotildees baseadas em fatos
Conforme avanccedilamos rumo a 2020 haacute uma previsatildeo de todo esse relatoacuterio de Tendecircncias que eacute praticamente uma certeza haveraacute reivindicaccedilotildees de interferecircncia e manipulaccedilatildeo nos processos eleitorais durante o ano
Esses problemas satildeo complexos e ainda que seja faacutecil apontar o dedo para a suspeita de interferecircncia pode ser difiacutecil provar com uma certeza razoaacutevel A complexidade comeccedila devido a incidecircncia de vaacuterios tipos de interferecircn-cias que podem fazer com que os resultados eleitorais se-jam liderados para um certo resultado ou para natildeo repre-sentar realmente o voto emitido pelo eleitorado Ao olhar para problemas ciberneacuteticos ou on-line eles oscilam en-tre notiacutecias falsas e fraude nas urnas eleitorais chegando a ter como alvo a parcela da populaccedilatildeo influenciaacutevel por informaccedilotildees tendenciosas
As eleiccedilotildees presidenciais dos EUA de 2016 foram envoltas em controveacutersias poacutes-eleiccedilatildeo com reivindicaccedilotildees de no-tiacutecias falsas interferecircncias de outros estados-naccedilatildeo e o potencial ataque do proacuteprio processo de votaccedilatildeo Aleacutem disso haacute reivindicaccedilotildees de que o referendo do Brexit no Reino Unido foi tendencioso devido a interferecircncias e que na Ameacuterica do Sul a desinformaccedilatildeo se espalhou pelo WhatsApp afetando possivelmente o resultado das eleiccedilotildees brasileiras Como podemos esperar que os elei-tores confiem no processo democraacutetico quando tudo isso estaacute encobrindo o desfecho
Este capiacutetulo resume alguns dos meacutetodos que veremos ser usados indubitavelmente por indiviacuteduos grupos ati-vistas estados-naccedilatildeo e ateacute mesmo cibercriminosos em 2020 enquanto eles tentam interferir nos processos de-mocraacuteticos mundiais para seus proacuteprios ganhos quais-quer que sejam
2020 A neblina se adensa
2020 A neblina se adensa
7wwwwelivesecuritycombrBY
Fake news
O Collins Dictionary premiou esse termo como Palavra
do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias
Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news
Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar
Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel
Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada
Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
4wwwwelivesecuritycombr
mundo e com a promessa de que em breve as ci-dades seratildeo as proacuteximas a juntar-se a este cenaacuterio Seraacute que isto pode causar novos tipos de ataques que misturam o digital e o fiacutesico As condiccedilotildees de seguranccedila existentes para que estas implementa-ccedilotildees se realizem sem colocar em risco os usuaacuterioscidadatildeos e as organizaccedilotildees Cecilia Pastorino de-senvolve estas e outras questotildees em seu capiacutetulo
Essa mudanccedila de paradigma talvez seja mais evidente nos processos de transformaccedilatildeo digital que estatildeo sendo executados em muitas empre-sas em todo o mundo desafiando as equipes de TI a acompanhar o ritmo de todas as mudanccedilas tecnoloacutegicas Camilo Gutieacuterrez aprofunda esta questatildeo e quais seratildeo os desafios para o ambiente corporativo no futuro bem proacuteximo
Uma das ferramentas para poder estar preparado para o futuro eacute a informaccedilatildeo Por isso leia este re-latoacuterio de Tendecircncias 2020 e saiba o que estaacute por vir em 2020 e nos anos seguintes
5wwwwelivesecuritycombr
2020 A NEBLINA SE ADENSA1bull Fake newsbull Desinformaccedilatildeo direcionada e propagandabull O processo de votaccedilatildeobull Des-mis-ti-fi-can-do tudo
AUTOR
Tony AnscombeGlobal Security Evangelist
2020 A neblina se adensa
6wwwwelivesecuritycombr
O ano de 2020 pode ser outro ano confuso para o processo democraacutetico O que pode atrapalhar o nosso caminho na hora de tomar decisotildees baseadas em fatos
Conforme avanccedilamos rumo a 2020 haacute uma previsatildeo de todo esse relatoacuterio de Tendecircncias que eacute praticamente uma certeza haveraacute reivindicaccedilotildees de interferecircncia e manipulaccedilatildeo nos processos eleitorais durante o ano
Esses problemas satildeo complexos e ainda que seja faacutecil apontar o dedo para a suspeita de interferecircncia pode ser difiacutecil provar com uma certeza razoaacutevel A complexidade comeccedila devido a incidecircncia de vaacuterios tipos de interferecircn-cias que podem fazer com que os resultados eleitorais se-jam liderados para um certo resultado ou para natildeo repre-sentar realmente o voto emitido pelo eleitorado Ao olhar para problemas ciberneacuteticos ou on-line eles oscilam en-tre notiacutecias falsas e fraude nas urnas eleitorais chegando a ter como alvo a parcela da populaccedilatildeo influenciaacutevel por informaccedilotildees tendenciosas
As eleiccedilotildees presidenciais dos EUA de 2016 foram envoltas em controveacutersias poacutes-eleiccedilatildeo com reivindicaccedilotildees de no-tiacutecias falsas interferecircncias de outros estados-naccedilatildeo e o potencial ataque do proacuteprio processo de votaccedilatildeo Aleacutem disso haacute reivindicaccedilotildees de que o referendo do Brexit no Reino Unido foi tendencioso devido a interferecircncias e que na Ameacuterica do Sul a desinformaccedilatildeo se espalhou pelo WhatsApp afetando possivelmente o resultado das eleiccedilotildees brasileiras Como podemos esperar que os elei-tores confiem no processo democraacutetico quando tudo isso estaacute encobrindo o desfecho
Este capiacutetulo resume alguns dos meacutetodos que veremos ser usados indubitavelmente por indiviacuteduos grupos ati-vistas estados-naccedilatildeo e ateacute mesmo cibercriminosos em 2020 enquanto eles tentam interferir nos processos de-mocraacuteticos mundiais para seus proacuteprios ganhos quais-quer que sejam
2020 A neblina se adensa
2020 A neblina se adensa
7wwwwelivesecuritycombrBY
Fake news
O Collins Dictionary premiou esse termo como Palavra
do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias
Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news
Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar
Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel
Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada
Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
5wwwwelivesecuritycombr
2020 A NEBLINA SE ADENSA1bull Fake newsbull Desinformaccedilatildeo direcionada e propagandabull O processo de votaccedilatildeobull Des-mis-ti-fi-can-do tudo
AUTOR
Tony AnscombeGlobal Security Evangelist
2020 A neblina se adensa
6wwwwelivesecuritycombr
O ano de 2020 pode ser outro ano confuso para o processo democraacutetico O que pode atrapalhar o nosso caminho na hora de tomar decisotildees baseadas em fatos
Conforme avanccedilamos rumo a 2020 haacute uma previsatildeo de todo esse relatoacuterio de Tendecircncias que eacute praticamente uma certeza haveraacute reivindicaccedilotildees de interferecircncia e manipulaccedilatildeo nos processos eleitorais durante o ano
Esses problemas satildeo complexos e ainda que seja faacutecil apontar o dedo para a suspeita de interferecircncia pode ser difiacutecil provar com uma certeza razoaacutevel A complexidade comeccedila devido a incidecircncia de vaacuterios tipos de interferecircn-cias que podem fazer com que os resultados eleitorais se-jam liderados para um certo resultado ou para natildeo repre-sentar realmente o voto emitido pelo eleitorado Ao olhar para problemas ciberneacuteticos ou on-line eles oscilam en-tre notiacutecias falsas e fraude nas urnas eleitorais chegando a ter como alvo a parcela da populaccedilatildeo influenciaacutevel por informaccedilotildees tendenciosas
As eleiccedilotildees presidenciais dos EUA de 2016 foram envoltas em controveacutersias poacutes-eleiccedilatildeo com reivindicaccedilotildees de no-tiacutecias falsas interferecircncias de outros estados-naccedilatildeo e o potencial ataque do proacuteprio processo de votaccedilatildeo Aleacutem disso haacute reivindicaccedilotildees de que o referendo do Brexit no Reino Unido foi tendencioso devido a interferecircncias e que na Ameacuterica do Sul a desinformaccedilatildeo se espalhou pelo WhatsApp afetando possivelmente o resultado das eleiccedilotildees brasileiras Como podemos esperar que os elei-tores confiem no processo democraacutetico quando tudo isso estaacute encobrindo o desfecho
Este capiacutetulo resume alguns dos meacutetodos que veremos ser usados indubitavelmente por indiviacuteduos grupos ati-vistas estados-naccedilatildeo e ateacute mesmo cibercriminosos em 2020 enquanto eles tentam interferir nos processos de-mocraacuteticos mundiais para seus proacuteprios ganhos quais-quer que sejam
2020 A neblina se adensa
2020 A neblina se adensa
7wwwwelivesecuritycombrBY
Fake news
O Collins Dictionary premiou esse termo como Palavra
do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias
Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news
Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar
Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel
Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada
Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
2020 A neblina se adensa
6wwwwelivesecuritycombr
O ano de 2020 pode ser outro ano confuso para o processo democraacutetico O que pode atrapalhar o nosso caminho na hora de tomar decisotildees baseadas em fatos
Conforme avanccedilamos rumo a 2020 haacute uma previsatildeo de todo esse relatoacuterio de Tendecircncias que eacute praticamente uma certeza haveraacute reivindicaccedilotildees de interferecircncia e manipulaccedilatildeo nos processos eleitorais durante o ano
Esses problemas satildeo complexos e ainda que seja faacutecil apontar o dedo para a suspeita de interferecircncia pode ser difiacutecil provar com uma certeza razoaacutevel A complexidade comeccedila devido a incidecircncia de vaacuterios tipos de interferecircn-cias que podem fazer com que os resultados eleitorais se-jam liderados para um certo resultado ou para natildeo repre-sentar realmente o voto emitido pelo eleitorado Ao olhar para problemas ciberneacuteticos ou on-line eles oscilam en-tre notiacutecias falsas e fraude nas urnas eleitorais chegando a ter como alvo a parcela da populaccedilatildeo influenciaacutevel por informaccedilotildees tendenciosas
As eleiccedilotildees presidenciais dos EUA de 2016 foram envoltas em controveacutersias poacutes-eleiccedilatildeo com reivindicaccedilotildees de no-tiacutecias falsas interferecircncias de outros estados-naccedilatildeo e o potencial ataque do proacuteprio processo de votaccedilatildeo Aleacutem disso haacute reivindicaccedilotildees de que o referendo do Brexit no Reino Unido foi tendencioso devido a interferecircncias e que na Ameacuterica do Sul a desinformaccedilatildeo se espalhou pelo WhatsApp afetando possivelmente o resultado das eleiccedilotildees brasileiras Como podemos esperar que os elei-tores confiem no processo democraacutetico quando tudo isso estaacute encobrindo o desfecho
Este capiacutetulo resume alguns dos meacutetodos que veremos ser usados indubitavelmente por indiviacuteduos grupos ati-vistas estados-naccedilatildeo e ateacute mesmo cibercriminosos em 2020 enquanto eles tentam interferir nos processos de-mocraacuteticos mundiais para seus proacuteprios ganhos quais-quer que sejam
2020 A neblina se adensa
2020 A neblina se adensa
7wwwwelivesecuritycombrBY
Fake news
O Collins Dictionary premiou esse termo como Palavra
do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias
Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news
Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar
Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel
Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada
Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
2020 A neblina se adensa
7wwwwelivesecuritycombrBY
Fake news
O Collins Dictionary premiou esse termo como Palavra
do ano em 2017 Sua ascensatildeo agrave fama se deu principal-mente devido agraves eleiccedilotildees presidenciais dos EUA de 2016 e agraves reivindicaccedilotildees contiacutenuas dos candidatos de que ar-tigos aparecendo na miacutedia e histoacuterias se espalhando nas redes sociais natildeo eram reais O significado do termo eacute au-toexplicativo e se refere ao sensacionalismo de informa-ccedilotildees falsas sendo disseminadas sob o pretexto de divul-gaccedilatildeo de notiacutecias
Agraves veacutesperas das eleiccedilotildees Pew Research conduziu uma pesquisa referente a percepccedilotildees sobre notiacutecias falsas O resultado foi impressionante com 88 declarando que os norte-americanos estatildeo muito ou um pouco confu-sos com os fatos baacutesicos devido as fake news
Ofcom o regulador de miacutedia do Reino Unido emitiu um relatoacuterio declarando que metade dos adultos do Reino Uni-do recebem notiacutecias atraveacutes de sites de miacutedias sociais com 75 deles declarando que incluem o Facebook como fonte E isso apesar da avaliaccedilatildeo das miacutedias sociais ser percebida como natildeo imparcial confiaacutevel ou precisa A TV permanece como a mais usada com 75 dos adultos entrevistados listando-a dentre suas fontes de notiacutecias mas a influecircncia das miacutedias sociais natildeo deve ser subestimada e estaacute aqui para ficar
Haacute diferentes tipos de fake news para lucros para ga-nhos poliacuteticos para crimes boatos e brincadeiras virais Os tipos podem ateacute ser combinados criar um boato que coloca um candidato poliacutetico em maus lenccediloacuteis pode criar um ganho poliacutetico e com a publicidade ldquocertardquo sendo exibida ao redor da histoacuteria das notiacutecias falsas isso tam-beacutem pode gerar um oacutetimo lucro Se os criadores de tal campanha puderem ser identificados entatildeo eacute provaacutevel que tenham cometido um crime mas identificar a fonte nem sempre eacute possiacutevel
Na disputa para as eleiccedilotildees gerais do Reino Unido de 2019 uma organizaccedilatildeo de pesquisa Future Advocacy e um artista do Reino Unido Bill Posters criou um viacutedeo falso de miacutedias sociais ou o chamado ldquodeepfakerdquo O viacutedeo mostra os principais candidatos parecendo patrocinar um ao outro para primeiro-ministro Esse exemplo de notiacutecias falsas foi criado em uma tentativa de demons-trar a dificuldade em identificar o real do falso e que a democracia estaacute potencialmente sendo prejudicada
Mas esse problema natildeo eacute novo Eu frequentemente fico no caixa do supermercado local e leio as principais notiacute-cias das capas das revistas celebridades se separando a famiacutelia real britacircnica se divorciando ou alieniacutegenas ater-rissando no estacionamento Espera-se que os leitores de tais revistas saibam que as histoacuterias satildeo falsas quando as compram mas quando pensamos em histoacuterias da In-ternet que satildeo divulgadas rapidamente para puacuteblicos muito maiores natildeo eacute tatildeo faacutecil diferenciar o bom do ruim
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
2020 A neblina se adensa
8wwwwelivesecuritycombr
Algumas redes sociais e provedores de mecanismos de busca estatildeo responsavelmente tentando combater o problema sob pressatildeo da revolta puacuteblica e poliacutetica Por exemplo o Twitter anunciou recentemente o banimen-to de todas as propagandas poliacuteticas sobre candidatos eleiccedilotildees e problemas importantes de poliacutetica agrave frente das eleiccedilotildees presidenciais dos EUA de 2020 Mas esse eacute um toacutepico complexo e foi referido como violaccedilatildeo da liberda-de de expressatildeo se eacute negada a habilidade a algueacutem de publicar ou colocar anuacutencios com um certo ponto de vista Na realidade conforme as notiacutecias falsas se disse-minam as impressotildees da paacutegina aumentam e a receita dos anuacutencios eacute recebida e nem todos os atores que exi-bem anuacutencios em websites satildeo responsaacuteveis
O problema eacute a velocidade da disseminaccedilatildeo da desinforma-ccedilatildeo ndash uma histoacuteria que apareccedila nas proacuteximas horas iraacute se espalhar rapidamente especialmente se o criador promo-vecirc-la e divulgaacute-la em muacuteltiplas contas e redes ao mesmo tempo As empresas responsaacuteveis pelas plataformas ino-varam os meacutetodos de detecccedilatildeo e construiacuteram mecanismos de relatoacuterios para quando possiacutevel detectar automatica-mente ou permitir que os usuaacuterios denunciem fake news No entanto confiar em relatoacuterios eacute uma soluccedilatildeo faliacutevel quando a desinformaccedilatildeo jaacute foi divulgada Por isso eacute provaacute-vel que muitos usuaacuterios certamente natildeo deem o proacuteximo passo para denunciar e eacute improvaacutevel que aqueles que jaacute viram (e talvez tenham sido influenciados) a desinforma-ccedilatildeo se tornem cientes de sua retrataccedilatildeo
Como profissional de ciberseguranccedila considero notiacutecias falsas que prejudicam a democracia como maliciosas ndash tanto quanto invasotildees de malware em seus dispositivos Precisa haver uma soluccedilatildeo tecnoloacutegica mais robusta para fazer com que as fake news parem de se propagar logo que aparecem e mataacute-las na fonte Da mesma ma-neira que exploits zero-day satildeo detectados por produtos antimalware Com a adoccedilatildeo do machine learning eacute pro-vaacutevel que algumas soluccedilotildees inovadoras apareccedilam no mercado que iratildeo detectar e suprimir ou excluir ao me-nos algumas das fake news antes que o usuaacuterio se sub-meta a elas
A educaccedilatildeo tambeacutem eacute uma soluccedilatildeo de longo prazo para este problema mas os resultados satildeo mais lentos Em julho de 2019 o governo do Reino Unido publicou um
novo guia de seguranccedila para escolas e parte disso atua-lizou as condiccedilotildees da poliacutetica de que toda crianccedila iraacute aprender sobre tendecircncia de confirmaccedilatildeo e riscos on-line como parte obrigatoacuteria do curriacuteculo Isso iraacute ajudar a ha-bilitar os alunos a verem as teacutecnicas usadas para persu-asatildeo e a identificar as fake news e os seus riscos mas iraacute levar muitos anos para que toda uma geraccedilatildeo possa entender o que pode ser real ou falso (Meu colega Jake Moore iraacute trabalhar o espectro de deepfakes no capiacutetulo Machine Learning x Machine Learning Criando seguran-ccedila ou atacando) Entretanto compreender o que eacute real ou falso daraacute agrave proacutexima geraccedilatildeo confianccedila no sistema eleitoral democraacutetico Mais governos estatildeo propensos a tomar essa postura proativa e adicionar isso as suas po-liacuteticas educacionais Se ainda natildeo o fazem deveriam
Desinformaccedilatildeo direcionada e propaganda
O abuso de dados pessoais da Cambridge Analytica cho-cou o mundo mas natildeo surpreendeu aqueles de noacutes que sempre diziam ldquose vocecirc natildeo estaacute pagando por isso entatildeo vocecirc eacute o produtordquo por exemplo cada usuaacuterio do Face-book nos EUA e Canadaacute gera mais de US$ 130 para a em-presa todo ano O escacircndalo finalmente aconteceu quando trecircs organizaccedilotildees de notiacutecias combinaram recur-sos para causar traccedilatildeo suficiente para qualquer um per-ceber ndash apoacutes mais de dois anos Avanccedilando um pouco na histoacuteria o Facebook foi multa-do em US$ 5 bilhotildees pela Comissatildeo de Comeacutercio Federal dos EUA (FTC) por sua parte na violaccedilatildeo dos dados Natildeo tenho certeza que realmente podemos descrever como uma violaccedilatildeo no entanto jaacute que documentos agora em domiacutenio puacuteblico mostram que o Facebook sabia o que estava acontecendo ndash foi mais um abuso de confianccedila para ganhos financeiros No dia da multa do FTC foi anunciado que o valor de mercado do Facebook aumen-tou estava claro que o mercado esperava que a penali-dade fosse mais dura ou se entendeu que o acordo feito com a FTC foi na verdade a favor do Facebook
A armamentizaccedilatildeo da informaccedilatildeo seja desinformaccedilatildeo ou propaganda estaacute configurada para continuar e toma-raacute muitos caminhos diferentes enquanto os benfeitores exploram e adoram novos meacutetodos para atacar a demo-
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
2020 A neblina se adensa
9wwwwelivesecuritycombr
cracia ou fazer dinheiro No centro desse problema fur-tivo e invasivo estaacute a mineraccedilatildeo de dados algo que natildeo podemos ver e que para muitas pessoas eacute difiacutecil de en-tender Os pontos de dados disponiacuteveis sobre indiviacuteduos dado que a maioria das pessoas compartilha excessivamen-
te nas miacutedias sociais satildeo extensos A habilidade de ajustar e manipular a mensagem enviada para um indiviacuteduo eacute orientada pela tecnologia desbloqueando o poder para individualizar as mensagens enviadas para milhotildees de pessoas tudo com o clique de um mouse
O processo de votaccedilatildeo
Este tambeacutem natildeo eacute um problema novo e se relaciona a ambos sistemas de votaccedilatildeo eletrocircnico e em papel Aleacutem disso eacute um problema improvaacutevel de ser resolvido num futuro proacuteximo
Muitos estados nos Estados Unidos gastaram milhares de doacutelares para atualizar os sistemas que seratildeo usados nas eleiccedilotildees de 2020 Um estado a Pensilvacircnia benefi-ciou-se de US$ 14 milhotildees para otimizar seus sistemas elei-
torais mas mesmos os novos sistemas podem ser vulne-raacuteveis devido ao sistema operacional subjacente o Windows 7 o qual ndash a menos que uma taxa seja paga ndash natildeo iraacute mais receber patches da Microsoft assim que esta versatildeo do sistema operacional atingir seu ldquofim da vidardquo em janeiro de 2020 11 meses antes das eleiccedilotildees presiden-ciais de 2020 dos EUA
Na conferecircncia de hacking DEF CON nuacutemero 27 realizada em agosto de 2019 houveram desafios em tempo real para encontrar falhas em sistemas eleitorais Um de tais experimentos mostrou vulnerabilidades em um sistema de impressatildeo de voto Neste exemplo o atacante tinha acesso fiacutesico irrestrito e conexatildeo direta com os dispositi-vos o que nunca deveria acontecer no mundo real Es-pero que algueacutem possa perceber um atacante desmon-tando um terminal e conectando fios a ele No entanto isso depende dos dispositivos serem fisicamente prote-gidos antes e durante o processo de votaccedilatildeo o que natildeo foi o caso em alguns exemplos em eleiccedilotildees anteriores Isso tambeacutem pode perder a relevacircncia se os dispositivos permanecerem independentes e nunca estiverem conec-tados a uma rede puacuteblica Enquanto haacute muitos disposi-
tivos que teoricamente poderiam estar vulneraacuteveis isso natildeo significa necessariamente que eles podem ou seratildeo explorados
Estaacute claro que soluccedilotildees tecnoloacutegicas para ambos cadas-tro e votaccedilatildeo continuaratildeo a ter problemas Continuamos a testemunhar brechas de dados em massa e compro-metimento de sistemas em empresas e departamentos governamentais entatildeo por que a tecnologia ou proces-sos de votaccedilatildeo estariam isentos de ataques similares A boa notiacutecia eacute que as eleiccedilotildees presidenciais dos EUA de 2016 elevaram o alerta de vulnerabilidades possiacuteveis no sistema eleitoral sendo usado o que resultou diretamen-te em atribuiccedilatildeo de orccedilamento e compreensatildeo da neces-sidade dos sistemas estarem protegidos por design
Des-mis-ti-fi-can-do tudo
Para 2020 certamente haveraacute muitas eleiccedilotildees ao redor do mundo e incontaacuteveis problemas destacados em seus sistemas e processos ambos tecnoloacutegicos e fiacutesicos O uso de todos os meacutetodos mencionados aqui eacute esperado mas a questatildeo eacute em que escala seratildeo usados e se a in-terferecircncia mudaraacute o resultado
Como eleitores e esperanccedilosamente adeptos da demo-cracia iremos pressionar as empresas que distribuem fake news e desinformaccedilatildeo para que sejam detectadas e parem com a praacutetica No entanto altos lucros para per-mitir essas praacuteticas e falta de engajamento dos consu-midores significa provavelmente que iremos continuar a ver o fluxo da maacute-informaccedilatildeo seja levemente desinfor-mativa ou fabulosamente fabricada continuar fluindo
Como acontece com muitas praacuteticas questionaacuteveis como o abuso da privacidade do consumidor a que esti-vemos sujeitos pelos uacuteltimos 10 anos sem intervenccedilatildeo governamental e regulamentaccedilatildeo ou legislaccedilatildeo iremos prosseguir ateacute um ponto onde essa praacutetica natildeo poderaacute mais ser tolerada No entanto natildeo espere que isso acon-teccedila nos proacuteximos 12 meses
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
10wwwwelivesecuritycombr
MACHINE LEARNING X MACHINE LEARNING CRIANDO SEGURANCcedilA OU ATACANDO 2bull Enganando olhos desatentosbull Enganando o algoritmobull Uma explosatildeo ou uma expulsatildeo
AUTOR
Jake MooreSecurity Specialist
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Machine Learning x Machine Learning criando seguranccedila ou atacando
11wwwwelivesecuritycombr
Os avanccedilos em machine learning trouxeram benefiacutecios consideraacuteveis para os defensores da ciberseguranccedila mas o potencial da tecnologia natildeo estaacute perdido para aqueles que estatildeo buscando agregaacute-lo para fins inescrupulosos
O Machine learning (ML) estaacute sem duacutevida mudando nos-sas vidas Poder computacional aumentado e o uso de vastos armazeacutens de dados estatildeo rapidamente melhoran-do nossas capacidades em muacuteltiplas induacutestrias Aleacutem disso se o primo distante do ML tambeacutem conhecido como verdadeira Inteligecircncia Artificial (AI) decolar tam-beacutem e computadores comeccedilarem a ldquopensar por si mes-mosrdquo estaremos em um maravilhoso futuro onde muito do que outrora se imaginava ser impensaacutevel pode se tor-nar possiacutevel Por agora no entanto a AI autossustentaacutevel parece muito distante ndash enquanto o ML estaacute avanccedilando em um dos desenvolvimentos tecnoloacutegicos mais anima-dores da histoacuteria
O ML tambeacutem trouxe vaacuterios benefiacutecios para os ciberdefen-
sores incluindo escaneamento eficiente detecccedilatildeo mais raacutepida e melhorias na habilidade de detecccedilatildeo de anoma-lias De fato algumas empresas de ciberseguranccedila vecircm tirando vantagem da tecnologia por anos para melhorar as capacidades de detecccedilatildeo de seus produtos
No entanto e se o ML for usado indevidamente para nos atacar e aos sistemas que construiacutemos Natildeo eacute difiacutecil de ver porque e como o ML- ou mesmo malware baseado em AI pode oferecer vetores novos e uacutenicos de ataque ndash mais poderosos do que os que estamos acostumados atual-mente Entatildeo estaacute se tornando claro que o ML seraacute um componente importante na batalha futura
A tecnologia vem avanccedilando muito rapidamente em ou-tros aplicativos tambeacutem Neste capiacutetulo de Tendecircncias iremos explicar tudo sobre duas maneiras que os algorit-mos de ML poderiam ser armados para causar problemas
Machine Learning x Machine Learning criando seguranccedila ou atacando
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Machine Learning x Machine Learning criando seguranccedila ou atacando
12wwwwelivesecuritycombr
Enganando olhos desatentos
Certamente vocecirc viu um dos muitos viacutedeos convincentes de troca de rostos que aparecem especialmente em miacute-dias sociais Tais deepfakes ndash viacutedeos aacuteudios ou imagens manipuladas que foram projetados para replicar a apa-recircncia e som de humanos reais ndash podem ser desconcer-tantemente legiacutetimos e ateacute chocantes As deepfakes po-dem ateacute envolver celebridades ou figuras puacuteblicas aparentemente envolvidas em comportamento inespe-rado ou em dizer algo ultrajante e que natildeo seria normal-mente apoiado por elas
As deepfakes estatildeo aumentando de qualidade a uma ve-locidade impressionante como visto em viacutedeos como este aqui onde fazem um Barack Obama criado por com-putador dizer algo que o verdadeiro natildeo disse na verdade Aleacutem do mais quando vocecirc observa um Bill Hader sendo transformado sem esforccedilo entre Tom Cruise e Seth Rogan faz vocecirc perceber que podemos realmente ter um grande problema em nossas matildeos a menos que essa ameaccedila seja abordada Como com tudo na Internet o futuro poderia levar a esta tecnologia ser usada para prejudicar figuras puacuteblicas fazendo com que elas parecessem dizer o que seus criadores quisessem para prejudicar a sociedade ou mesmo para manipular eleiccedilotildees ao redor do mundo
Estamos preparados para o impacto real das deepfakes Com escacircndalos poliacuteticos pseudonudes e cenaacuterios quase inimaginaacuteveis envolvendo viacutedeos falsos podemos estar olhando fixamente sem entender para o comeccedilo de uma epidemia onde a linha entre a verdade e a mentira pode se tornar impossiacutevel de determinar Quais impactos so-ciais as deepfakes poderiam ter na sociedade Agrave luz de todo o escacircndalo Cambridge Analytica no qual cientistas de dados foram capazes de transformar pesquisas e da-dos graacuteficos sociais do Facebook em uma arma de men-sagem poliacutetica atraveacutes de caracterizaccedilatildeo psicograacutefica parece que as deepfakes poderiam acelerar tais transfor-maccedilotildees ao influenciar o puacuteblico nas eleiccedilotildees Seraacute que chegaremos a um ponto onde natildeo confiaremos em nos-sos proacuteprios olhos e ouvidos
Apoacutes o FaceApp ter sido literalmente colocado sobre nos-sos rostos e apoacutes acabarem os gemidos e risos surgiu uma questatildeo a respeito da qualidade de tal ldquofeiticcedilariardquo ndash
seraacute que o aplicativo poderia um dia criar viacutedeos das pes-soas sem seu conhecimento Vocecirc precisa de muitos da-dos (muitas fotos viacutedeos e gravaccedilotildees de voz) mesmo para fazer um clipe deepfake curto onde o criador estaacute no controle do que eacute dito No entanto obter uma quantida-de significativa de dados sobre uma figura natildeo puacuteblica eacute uma tarefa difiacutecil por si soacute Mas isso eacute apenas pensando com a mentalidade de 2019 e se pensarmos no proacuteximo ano ou em uma deacutecada Seria necessaacuterio apenas um ou duas histoacuterias curtas do Instagram para que algueacutem pro-duzisse uma deepfake que a maioria dos seus amigos on-line acreditaria Prevejo que isso eacute o que iraacute acontecer e haveraacute um aplicativo em nossos telefones que iraacute criar tais deepfakes naturalmente e sem esforccedilo
Ao longo da proacutexima deacutecada veremos alguns viacutedeos fal-sos inimaginaacuteveis anteriormente aparecendo com figuras puacuteblicas mas em breve eles iratildeo incluir pessoas mais proacute-ximas como nossos colegas nossos pares nossos mem-bros familiares Natildeo haacute duacutevidas de que os sites pornograacute-ficos iratildeo explorar celebridades de maneiras obscuras mas muito mais os cibercriminosos iratildeo definitivamen-te usar tal tecnologia com grande sucesso para caccedilar viacute-timas As deepfakes poderiam muito facilmente turvar a aacutegua entre fato e ficccedilatildeo o que por sua vez poderia fazer com que alguns de noacutes natildeo confiem em mais nada ndash mes-mo quando apresentadas com o que nossos sentidos nos dizem para acreditar
Entatildeo o que pode ser feito para nos preparar para essa ameaccedila Primeiro precisamos educar melhor as pessoas sobre a existecircncia de deepfakes As pessoas precisam aprender a tratar ateacute os viacutedeos mais realistas que veem com traccedilos de ceticismo Aleacutem disso ainda que difiacutecil a tecnologia precisa desenvolver uma melhor detecccedilatildeo de deepfakes Ainda que o ML esteja no coraccedilatildeo da criaccedilatildeo delas em primeiro lugar precisa haver algo no lugar que aja como o antiacutedoto ser capaz de detectaacute-las sem confiar somente na intuiccedilatildeo humana Aleacutem disso plataformas de miacutedia social precisam reconhecer e abordar a ameaccedila potencial o mais cedo possiacutevel jaacute que eacute aiacute que os viacutedeos deepfake tem maior capacidade de disseminaccedilatildeo e tecircm um impacto prejudicial na sociedade
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Machine Learning x Machine Learning criando seguranccedila ou atacando
13wwwwelivesecuritycombrBY
Enganando o algoritmo
O reconhecimento facial estaacute se tornando mais prevalente na tecnologia atual A implementaccedilatildeo do reconhecimen-to facial pode ainda natildeo ter uma precisatildeo de 100 mas novamente ainda eacute apenas 2019 e as coisas tendem a apenas melhorar certo
Algumas cidades nos Estados Unidos baniram o reconheci-
mento facial sendo usado para cumprimento da lei apoacutes ele ter identificado erroneamente 26 pessoas cidadatildes cumpridoras da lei como criminosas Na verdade uma pesquisa do Escritoacuterio de Prestaccedilatildeo de Contas Governa-mental dos EUA descobriu que os algoritmos do FBI eram imprecisos em 14 das vezes aleacutem de serem mais provaacute-veis de errar a identificaccedilatildeo de pessoas segundo suas etnias e mulheres Aleacutem disso a Microsoft recentemen-te recusou-se a instalar tecnologia de reconhecimento facial para uma forccedila policial dos Estados Unidos devido agrave pre-ocupaccedilatildeo com a tendecircncia de ML Eacute aqui que os dados satildeo inseridos por humanos que tendem a ter uma varie-dade de tendecircncias natildeo intencionais que influenciam o resultado do ML
No entanto haacute argumentos para que o reconhecimento facial seja executado em todos os lugares e instalado com as milhotildees de cacircmeras de vigilacircncia que jaacute capturam quase todos os nossos movimentos em puacuteblico Por exemplo se vocecirc pegar o reconhecimento facial em sua forma baacutesica fundamental ele oferece uma forma de coletar informa-ccedilotildees sobre quem esteve onde e a que horas Isso natildeo estaacute muito longe de um bom policial que pode reconhecer o criminoso local em seu caminho (conheccedilo alguns policiais que podem fazer isso ndash eles tecircm memoacuterias fantaacutesticas) Portanto se com o tempo o reconhecimento facial se tor-nar proacuteximo de 100 de precisatildeo entatildeo ele poderaacute vigiar todos os nossos movimentos
Mas se o cumprimento da lei sabe o paradeiro de crimi-nosos e suspeitos conhecidos e os criminosos que usam software em sua vantagem ou roubam grandes bases de dados de dados de localizaccedilatildeo confidenciais Poderia ser possiacutevel que as bases de dados dos rostos das pessoas poderiam estar comprometidas o que significa que teacutec-nicas de verificaccedilatildeo como reconhecimento facial ou de voz poderiam ser enganadas e portanto a seguranccedila multicamadas poderia ser transpassada
Uma explosatildeo ou uma expulsatildeo
Ataques completos e poderosos de ML estatildeo vindo e natildeo vamos esquecer que alguns ataques satildeo atualmente in-sondaacuteveis devido agrave escala de poder que usam entatildeo eles tecircm o potencial de ser maiores do que podemos anteci-par Eacute possiacutevel que o ML possa ser munido pelos atacan-tes entatildeo precisamos nos preparar para tais ataques e estar cientes de como combatecirc-los Ataques direciona-dos ao ML poderatildeo ser capazes de aprender o que funcio-nou e o que natildeo funcionou rapidamente retreinando a si mesmos para conseguir ultrapassar defesas existentes Os defensores de seguranccedila de computador precisam entender como esses ataques movidos por ML seratildeo cria-dos quais poderatildeo ser suas capacidades e unir-se para enfrentar esses futuros ciberataques
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
14wwwwelivesecuritycombr
bull Design para privacidade e seguranccedilabull Melhoria da tecnologia de anuacutenciosbull Consequecircncias legislativas para violaccedilotildees da confianccedilabull Melhoria da autenticaccedilatildeo e verificaccedilatildeobull Vamos mudar o rumo dessa embarcaccedilatildeo
AUTORA
Lysa MyersESET Senior Security
Researcher
MUDANCcedilAS SUBSTANCIAIS EM TERMOS DE PRIVACIDADE 3
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Mudanccedilas substanciais em termos de privacidade
15wwwwelivesecuritycombr
A confianccedila em nosso ambiente digital compartilhado natildeo tem tido um bom andamento ultimamente e mais e mais pessoas estatildeo no limite sobre proteger seus dados digitais O que tem sido feito e ainda mais importante o que resta a ser feito para que a mareacute mude
Haacute um certo ldquorito de passagemrdquo que acontece quando vocecirc fala sobre seguranccedila e privacidade por um tempo vocecirc faz previsotildees de como seratildeo as ameaccedilas no futuro e teraacute passado tempo suficiente para que vocecirc possa ve-rificar a precisatildeo de suas previsotildees
Isso tudo acontece principalmente em uma escala de um futuro proacuteximo como esse proacuteprio capiacutetulo de Tendecircn-cias Algumas vezes estaacute numa escala de uma deacutecada ou mais Em minha proacutepria experiecircncia com este fenocircmeno percebi alguns temas a maioria dos quais se passa ao redor de ganhar ou perder confianccedila em nosso ambiente on-line compartilhado
Enquanto eu decidia o que escrever para este capiacutetulo fiz uma pesquisa na Internet pela frase ldquoano da privacidaderdquo e adicionei um ano recente por exemplo ldquoano da priva-cidade 2018rdquo As manchetes incluindo esta frase podem ser um bom indicador de que o autor pensou que uma grande mudanccedila estava por vir em relaccedilatildeo agrave percepccedilatildeo puacuteblica da privacidade seja positiva ou negativa Acho que a primeira vez que declarei isso sobre um ano em anaacute-lise foi em 2013 entatildeo fiquei curioso para saber quantas vezes isso tinha sido declarado Para cada ano de 2009 a 2015 aqueles termos de pesquisa retornaram mais de um milhatildeo de resultados Apoacutes isso cada ano retornou ldquoape-nasrdquo de oitocentos a novecentos mil resultados
Isso significa que 2016 foi o ano que muitas pessoas cole-tivamente abandonaram todas as esperanccedilas de terem controle sobre suas informaccedilotildees pessoais De algumas maneiras pode ser o caso parece haver um certo senso de resignaccedilatildeo coletiva Mas tambeacutem parece que atingi-mos um ponto onde legisladores e juiacutezes comeccedilaram a acompanhar a ira coletiva provocada por uma barreira constante de gafes e violaccedilotildees de privacidade
E essa barreira continuou ndash somente em 2019 vimos al-
guns poucos paiacuteses e estados norte-americanos aprova-
rem ou implementarem leis novas ou expandidas de violaccedilatildeo Tambeacutem vimos vaacuterios estados dos EUA impulsionarem a legislaccedilatildeo da privacidade de dados (ainda que apenas na Califoacuternia essa legislaccedilatildeo tenha sido aprovada) Vaacuterias multas consideraacuteveis foram impostas em empresas res-ponsaacuteveis por violaccedilotildees de dados recentes (ainda que essas sejam geralmente consideradas como meros tapas no pulso) Executivos de empresas invadidas tiveram que tes-temunhar diante de audiecircncias no congresso sobre esses incidentes
A mudanccedila tem sido lenta e discutivelmente esses esfor-ccedilos natildeo tiveram uma diferenccedila positiva ainda O consen-so geral entre boa parte da populaccedilatildeo norte-americana eacute que eles sentem que natildeo podem confiar nas empresas para proteger seus dados e isso tambeacutem ocorre em outros
paiacuteses Essa situaccedilatildeo junto agrave fraude crescente e outros traacutefegos malignos criou um ambiente de ldquobaixa confianccedilardquo no qual estamos cada vez mais interconectados mas nos sentimos cada vez mais inseguros Quando temos que abordar tudo na Internet com paranoia e ceticismo as pessoas se sentem compreensivelmente relutantes em se comprometer com ela
Em seguranccedila frequentemente dizemos que eacute uma boa praacutetica ldquoconfiar mas verificarrdquo na situaccedilatildeo na qual nos encontramos agora a desconfianccedila eacute crescente e os meacute-todos de verificaccedilatildeo estatildeo cheios de buracos Ateacute solucio-narmos isso a Internet continuaraacute a ser um lugar assus-tador para a maioria das pessoas
Entatildeo o que precisamos fazer para sair dessa sensaccedilatildeo onipresente de desconfianccedila
Mudanccedilas substanciais emtermos de privacidade
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Mudanccedilas substanciais em termos de privacidade
16wwwwelivesecuritycombrBY
Design para privacidade e seguranccedila
Uma das coisas mais importantes que precisa ser feita para melhorar a confianccedila do consumidor eacute criar produ-tos e serviccedilos de tecnologia que sejam projetados tendo seguranccedila e privacidade em mente desde o iniacutecio A As-sociaccedilatildeo Internacional de Profissionais de Privacidade (IAPP) criou um documento delineando suas recomenda-ccedilotildees para os princiacutepios da Privacidade por Design
Muitas das coisas mencionadas nesta publicaccedilatildeo satildeo o que se pode esperar ganhar confianccedila atraveacutes da aber-tura e transparecircncia decretar seguranccedila de ponta a pon-ta criar poliacuteticas que estabelecem responsabilidade para o negoacutecio e obter consentimento informado e contiacutenuo dos clientes Mas haacute mais uma recomendaccedilatildeo particular-mente notaacutevel e que muitas pessoas podem achar sur-preendente permitir funcionalidade completa enquanto se respeita a privacidade de tal maneira que beneficie a ambos a empresa e o usuaacuterio
Por conta do modelo atual de muitos locais da Internet usarem os dados do consumidor como um produto a ser vendido essa recomendaccedilatildeo particular pode precisar de um pensamento verdadeiramente inovador ldquofora da cai-xardquo Empresas que conseguem realizar esse feito estatildeo propensas a ter uma vantagem significativa no mercado
Melhoria da tecnologia de anuacutencios
Jaacute que estamos falando da venda de dados do consumidor tambeacutem deveriacuteamos discutir melhorias necessaacuterias na tecnologia de anuacutencios Em uma pesquisa menos de 20 dos entrevistados acharam que os anuacutencios direcionados tinham comportamento eacutetico Em outras pesquisas des-cobriu-se que em alguns casos anuacutencios direcionados poderiam na verdade se tornar um contra-ataque e cau-sar menor interaccedilatildeo com o consumidor
Empresas que usam taacuteticas de vendas de alta pressatildeo como escassez e testemunho social tambeacutem natildeo evoluem muito bem Uma pesquisa no Reino Unido relatou que quase metade dos entrevistados disse que esse compor-tamento faria com que eles desconfiassem da empresa Um terccedilo expressou uma reaccedilatildeo emocional negativa (como aversatildeo ou desprezo) e 40 relatou que essas taacute-ticas fariam com que eles fizesse o oposto de qualquer accedilatildeo que fosse sugerida
Quanto maior a frequecircncia que somos bombardeados com taacuteticas de vendas de alta pressatildeo e taacuteticas de vigi-lacircncia assustadoras mais rapidamente declina sua (mui-to limitada) eficaacutecia Dado que muitos profissionais de marketing fizeram uso excessivo dessas estrateacutegias eacute provaacutevel que elas tenham sido oportunidades limitadas para outras empresas Precisamos de formas mais efica-zes de marketing que sejam honestos transparentes e respeitosos com os nossos consumidores
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Mudanccedilas substanciais em termos de privacidade
17wwwwelivesecuritycombr
Consequecircncias legislativas para violaccedilotildees da confianccedila
Natildeo eacute provaacutevel que o sentimento puacuteblico sobre a credibi-lidade das empresas de tecnologia vaacute melhorar ateacute que seja mais provaacutevel que elas possam perder ao menos tan-to quanto seus consumidores perdem quando incidentes de privacidade ocorrem Ainda que multas recentes por violaccedilatildeo de privacidade nos EUA e Reino Unido estejam quebrando recordes elas representam uma pequena gota no balde relativo aos rendimentos que grandes em-presas fazem com nossos dados Ateacute que essas multas se aproximem de valores que incluam um maior percentual
do rendimento de uma empresa elas continuaratildeo a ser mais um impedimento para empresas pequenas do que para megacorporaccedilotildees
Melhoria da autenticaccedilatildeo e verificaccedilatildeo
Nomes de usuaacuterios e senhas simplesmente natildeo satildeo mais suficiente para manter as identidades das pessoas segu-ras Isso pode diminuir a confianccedila para ambos portado-res de contas on-line e das pessoas interagindo com con-tas potencialmente sequestradas A autenticaccedilatildeo multifatorial melhora significativamente essa situaccedilatildeo mas poucas pessoas a adotaram Para mudar isso precisare-mos de educaccedilatildeo melhorada sobre esta tecnologia mais empresas oferecendo incentivos para usaacute-la aleacutem de me-lhorias continuadas em sua usabilidade
Vamos mudar o rumo dessa embarcaccedilatildeo
Pediram-me pela primeira vez para predizer o estado da seguranccedila na Internet haacute uma deacutecada portanto um pou-co mais de uma deacutecada atraacutes Eu disse que conseguia ver as coisas caminhando por um dos dois caminhos ou fica-riacuteamos mais saacutebios coletivamente e as coisas estariam bem ou continuariacuteamos a meter os peacutes pelas matildeos e a Internet seria um ldquoaterro de entulho inutilizaacutevelrdquo Ainda que ningueacutem iria argumentar com sucesso de que as pes-soas estatildeo usando a Internet menos do que usavam haacute dez anos tambeacutem tivemos que passar por muito mais lixo de Internet agora do que tiacutenhamos que passar nos anos 2000
Aqueles dentre noacutes que vem trabalhando em cibersegu-ranccedila haacute mais tempo desde o comeccedilo da induacutestria tem vivido esse estado de desconfianccedila por deacutecadas vimos a Internet ser construiacuteda sob estruturas instaacuteveis que fize-ram pouco (se fizeram) para prevenir o mau uso Feliz-mente tambeacutem estivemos pensando ndash e falando ndash sobre o que precisa ser feito para solucionar isso Natildeo eacute muito tarde para fazer movimentos significativos para apontar os esforccedilos de privacidade de volta para a direccedilatildeo certa Eacute minha esperanccedila que a vontade para as mudanccedilas ne-cessaacuterias continue a crescer para que possamos fazer essas mudanccedilas antes que minha proacutexima deacutecada neste ramo tenha passado
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
18wwwwelivesecuritycombr
bull Edifiacutecios Inteligentesbull Cidades inteligentesbull Ataques a infraestruturas inteligentesbull Malwarebull Roubo de identidadebull Roubo de informaccedilotildees criacuteticas
AUTORA
Cecilia PastorinoSecurity Researcher
DE DISPOSITIVOS IOT A EDIFIacuteCIOS E CIDADES INTELIGENTES ldquoSMART IS THE NEW SEXYrdquo 4
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
19wwwwelivesecuritycombr
Agrave medida que mais e mais cidades incorporam tecnologia inteligente que muda a forma como os municiacutepios gerenciam suas operaccedilotildees e serviccedilos baacutesicos qual eacute o impacto desses desenvolvimentos do ponto de vista da seguranccedila
Desde 1994 com o aparecimento do primeiro telefone in-teligente esta palavra tem sido usada nos anos seguintes para definir qualquer dispositivo que melhore as suas fun-ccedilotildees atraveacutes de um software e uma conexatildeo agrave Internet Em 2009 Kevin Ashton co-fundador do Auto-ID Center do MIT usou pela primeira vez a expressatildeo Internet of Things (IoT) publicamente e desde entatildeo o crescimento e a expecta-tiva em torno do termo cresceram exponencialmente
A deacutecada de 2010 eacute caracterizada pela revoluccedilatildeo da Inter-net das coisas com o aparecimento de reloacutegios termosta-tos luzes fechaduras cacircmeras brinquedos geladeiras e todos os tipos de dispositivos inteligentes que algueacutem pode imaginar e depois se tornar parte de casas escritoacute-rios edifiacutecios e ateacute mesmo cidades inteligentes
Hoje em dia o potencial da Internet das coisas natildeo estaacute apenas na automaccedilatildeo de tarefas mas tambeacutem no proces-so analiacutetico que pode ser realizado a partir dos grandes volumes de informaccedilatildeo gerados As estruturas inteligen-tes aproveitam uma variedade de tecnologias interdepen-dentes como a inteligecircncia artificial (IA) as redes sem fios de banda larga a computaccedilatildeo em nuvem os sensores e os dispositivos IoT A grande quantidade de informaccedilatildeo gera-da por sensores e dispositivos de rede eacute armazenada em grandes bases de dados e processada por tecnologias de inteligecircncia artificial e anaacutelise de dados para melhorar a eficiecircncia operacional e promover um ambiente seguro e produtivo Estas caracteriacutesticas satildeo o que levam estes sis-temas a serem chamados de inteligentes No entanto dado que a inteligecircncia nem sempre significa seguranccedila e que a tecnologia avanccedila a passos largos alguns de noacutes podemos nos perguntar quando eacute que a seguranccedila iraacute fi-nalmente acompanhar estes avanccedilos a partir do design
Edifiacutecios Inteligentes
Os edifiacutecios inteligentes usam a tecnologia para controlar diferentes variaacuteveis que fazem parte do ambiente a fim de proporcionar maior conforto contribuir para a sauacutede e a produtividade daqueles que trabalham ou vivem neles Para fazer isso os edifiacutecios usam o que eacute conhecido como Building Automation Systems (BAS) A partir de disposi-tivos IoT como sensores de iluminaccedilatildeo eou temperatura cacircmeras controles de acesso etc essas construccedilotildees satildeo capazes de analisar prever diagnosticar e manter dife-rentes ambientes aleacutem de automatizar processos e mo-nitoramento em tempo real Alguns exemplos satildeo tem-peratura ambiente iluminaccedilatildeo sistema de cacircmeras de seguranccedila elevadores estacionamento abastecimento de aacutegua entre muitos outros
As vantagens da implementaccedilatildeo de dispositivos inteli-gentes satildeo amplas Por exemplo como Tony Anscombe explicou em uma conferecircncia na qual abordou a questatildeo da seguranccedila em edifiacutecios inteligentes um renomado hotel na cidade de Las Vegas implantou um sistema de automaccedilatildeo para o ar-condicionado que soacute ligava a refri-geraccedilatildeo quando havia hoacutespedes Essa decisatildeo represen-tou no primeiro ano de instalaccedilatildeo do sistema inteligente uma economia de aproximadamente dois milhotildees de doacutelares graccedilas agrave economia de energia que significou a automaccedilatildeo desse processo Por outro lado um super-mercado no Reino Unido instalou em seu estacionamento um sistema inteligente que aproveita a circulaccedilatildeo de car-ros para gerar energia que eacute usada para abastecer suas caixas registradoras
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
20wwwwelivesecuritycombrBY
Cidades inteligentes
Na ediccedilatildeo de 2019 da ldquoConsumer Electronics Showrdquo foram apresentadas diferentes iniciativas de cidades inteligen-tes que estatildeo sendo implementadas (ou planejadas) em todo o mundo Algumas dedicadas a melhorar o trans-porte atraveacutes de sensores que avaliam o fluxo de traacutefego e com base nessas mediccedilotildees gerenciam o controle de semaacuteforos Outras enfocadas em automatizar a ilumi-naccedilatildeo com base em sensores de luz medir a tempera-tura adicionar sistemas de monitoramento atraveacutes de redes de cacircmeras e muitos outros sensores para coletar informaccedilotildees que seratildeo analisadas em uma central para saber tudo o que ocorre na cidade Como em edifiacutecios inteligentes mas em larga escala com base nas infor-maccedilotildees coletadas de sensores e dispositivos o aprendi-zado de maacutequina eacute usado para analisar esses dados e automatizar os serviccedilos com eficiecircncia
O problema eacute que muitas dessas cidades apenas estatildeo preparadas para gerenciar com seguranccedila os grandes volumes de informaccedilotildees que esses sistemas implicam e que um invasor pode facilmente acessar os sensores modificar mediccedilotildees e alterar serviccedilos de transporte traacute-fego iluminaccedilatildeo ou outros serviccedilos de infraestrutura criacuteticas Jaacute vimos provas de conceito de diferentes ata-ques a cidades inteligentes e sistemas automatizados em conferecircncias internacionais como Black Hat ou Defcon portanto a qualquer momento esses exemplos em am-bientes controlados podem se tornar realidade Aleacutem disso se cidades como Atlanta nos Estados Unidos cujo projeto eacute se tornar uma cidade inteligente liacuteder em todo o
mundo natildeo souberam evitar ameaccedilas existentes como o ransomware por que acreditar que estatildeo preparadas para enfrentar maiores desafios De fato na conferecircncia Smart City Expo realizada em setembro de 2019 na mes-ma cidade especialistas expressaram preocupaccedilatildeo de que o raacutepido crescimento de cidades inteligentes natildeo esteja
sendo acompanhado pela capacidade de tornaacute-las seguras portanto que eacute necessaacuterio reavaliar a maneira de abor-dar a seguranccedila para esse tipo de cidade
Ataques a infraestruturas inteligentes
Embora pareccedila que ataques a preacutedios ou cidades inteli-gentes soacute podem ser realizados por meio de planos dire-cionados e elaborados nos quais os cibercriminosos apontam para um alvo especiacutefico a verdade eacute que mui-tos Building Automation Systems (BAS) bem como sen-sores e dispositivos de cidades inteligentes satildeo expostos diretamente agrave Internet Atualmente mais de 35000 sistemas BAS e centenas de milhares de outros disposi-tivos criacuteticos disponiacuteveis na Internet em todo o mundo podem ser encontrados em mecanismos de pesquisa como Shodan ou Cencys
Muitos desses dispositivos ou sistemas natildeo possuem uma autenticaccedilatildeo ou proteccedilatildeo suficientemente fortes contra ataques de forccedila bruta natildeo satildeo atualizados natildeo satildeo pro-tegidos por soluccedilotildees de seguranccedila ou simplesmente pos-suem configuraccedilotildees inseguras que podem permitir que um invasor assuma o controle do dispositivo
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
21wwwwelivesecuritycombr
Malware
Apesar dos sistemas inteligentes de cidades ou edifiacutecios natildeo navegarem na web e natildeo abrirem e-mails ainda as-sim devem estar protegidos contra qualquer malware que possa dar aos cibercriminosos acesso a informaccedilotildees criacuteticas ou causar problemas ao computador
A propagaccedilatildeo de coacutedigos maliciosos pode ocorrer atraveacutes de portas expostas agrave Internet vulnerabilidades nos siste-mas ou mesmo atraveacutes do acesso fiacutesico a portas USB des-protegidas ou ao alcance de qualquer transeunte A prote-ccedilatildeo da rede tambeacutem natildeo deve ser negligenciada especialmente aquela na qual seratildeo conectados dispositi-vos pessoais de usuaacuterios que possam estar comprometidos
Entre os vaacuterios coacutedigos maliciosos que podem atacar os sistemas de computadores de preacutedios ou cidades inteligen-tes podemos destacar aqueles que usam uma botnet como ferramenta especialmente considerando casos re-centes de botnets direcionadas a dispositivos IoT como uma nova variante da botnet Mirai ou o uacuteltimo ataque aos
computadores Mikrotik com o objetivo de minerar criptomo-edas Seraacute que em um futuro natildeo muito distante os dis-positivos IoT de uma cidade inteira poderatildeo ser usados por um invasor para mineraccedilatildeo de criptomoedas Sem duacutevida o criptojacking eacute uma das ameaccedilas que podem afetar as infraestruturas inteligentes especialmente considerando o grande poder de processamento que caracteriza esses computadores mas natildeo eacute a uacutenica
Haacute trecircs anos em nosso artigo sobre as Tendecircncias de 2017 apresentamos o conceito de ldquoJackwarerdquo para descrever software malicioso que tenta controlar um dispositivo cujo objetivo principal natildeo eacute o processamento de dados ou a comunicaccedilatildeo digital O conceito de ldquoRansomware of thingsrdquo eacute imediatamente aparente e se refere ao malware capaz de bloquear o acesso a dispositivos inte-ligentes Nesse ano discutimos uma prova de conceito que envolvia um carro em que o usuaacuterio recebeu uma mensagem em seu telefone indicando que ele tinha que pagar uma quantidade de criptomoedas para recuperar o controle de seu veiacuteculo Talvez possamos extrapolar esse conceito para edifiacutecios inteligentes ou sistemas de controle nas grandes cidades
O que aconteceria se um atacante conseguisse comprome-ter o sistema de automaccedilatildeo de um edifiacutecio inteligente e em seguida ameaccedilar assumir o controle em troca do paga-mento de um resgate de vaacuterios milhares de doacutelares A ver-dade eacute que jaacute foram relatados incidentes desse estilo em que edifiacutecios completos foram comprometidos
Roubo de identidade
O controle do acesso a edifiacutecios inteligentes geralmente ocorre por meio de sistemas computadorizados nos quais o usuaacuterio se identifica com dados biomeacutetricos ou cartotildees magneacuteticos Esses sistemas podem ser atacados atraveacutes de Engenharia Social ou falhas na implementa-ccedilatildeo o que permitiria a um usuaacuterio natildeo autorizado obter acesso fiacutesico a setores restritos
Por outro lado a representaccedilatildeo da identidade digital por um atacante pode causar estragos caso consiga obter privileacutegios de administrador que lhe permitam controlar o sistema livremente Muitas vezes isso ocorre atraveacutes de ataques de Engenharia Social nos quais o atacante consegue se apossar dos dados de login e do acesso da viacutetima que satildeo usados para instalar coacutedigos maliciosos roubar informaccedilotildees mover-se no sistema ou vaacuterias ou-tras formas de ataques
Roubo de informaccedilotildees criacuteticas
Os bancos de dados satildeo um alvo atrativo para os cibercri-minosos especialmente quando contam com informaccedilotildees valiosas que podem ser vendidas ou dados de login que lhes permitem um movimento lateral Se adicionarmos a isso a grande quantidade de informaccedilotildees armazenadas nos sis-temas de anaacutelise de big data e inteligecircncia artificial encon-tradas em preacutedios e cidades inteligentes esses bancos de dados se tornam um alvo de interesse para os cibercrimi-nosos e grupos de ciberespionagem
Por outro lado os sensores e dispositivos de IoT usados na maioria dos edifiacutecios e infraestruturas inteligentes tambeacutem podem ser um ponto de entrada para a rede o que permitiria que um cibercriminoso tivesse maiores
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
22wwwwelivesecuritycombr
privileacutegios ou fizesse movimentos laterais dentro da in-fraestrutura Eacute o caso de um cassino que foi viacutetima de um ataque no qual cibercriminosos entraram em sua rede depois de tirar proveito de uma vulnerabilidade no termos-
tato inteligente de um aquaacuterio localizado no saguatildeo Eles conseguiram se infiltrar na rede e acessar o banco de dados do cassino roubando informaccedilotildees que incluiacuteam os dados pessoais dos apostadores
Apoacutes essa anaacutelise podemos dizer que edifiacutecios e cidades inteligentes natildeo satildeo mais uma previsatildeo de ficccedilatildeo cientiacute-fica mas satildeo uma realidade que estaacute entre noacutes e embo-ra os incidentes de seguranccedila relatados ainda possam ser considerados casos isolados ataques contra a cons-truccedilatildeo de sistemas de controle ou cidades jaacute estatildeo entre os alvos dos cibercriminosos
As medidas e consideraccedilotildees de seguranccedila para lidar com essas novas ameaccedilas satildeo as mesmas que reiteramos an-tes de cada nova evoluccedilatildeo tecnoloacutegica reservar um or-ccedilamento de acordo com a seguranccedila contar com pro-gramas de gerenciamento de vulnerabilidades manter os sistemas atualizados monitorar a rede e dispositivos e contar com ferramentas de seguranccedila e parceiros que tenham conhecimentos no campo da seguranccedila
Projetos de construccedilatildeo que incluem a implementaccedilatildeo de cada vez mais soluccedilotildees tecnoloacutegicas estatildeo crescendo incorporando todos os tipos de dispositivos para tornaacute-
-los mais ldquointeligentesrdquo mas essas medidas de seguranccedila satildeo consideradas dentro dessa inteligecircncia
Por outro lado o apoio agrave legislaccedilatildeo que regulamenta a seguranccedila desde o projeto de dispositivos inteligentes eacute extremamente necessaacuterio e eacute algo que provavelmente surgiraacute nos proacuteximos anos principalmente apoacutes as novas iniciativas do Reino Unido e do estado da Califoacuternia nessa aacuterea Assim como existem padrotildees que regulam disposi-tivos criacuteticos eacute hora de comeccedilar a analisar quais satildeo as regras e medidas de seguranccedila que devem ser cumpridas pelos dispositivos inteligentes que interagem com nos-sas informaccedilotildees e privacidade
A maioria das cidades do mundo jaacute possui cacircmeras e sen-sores conectados agrave Internet que coletam e enviam per-manentemente informaccedilotildees para executar diferentes
serviccedilos Muitos de noacutes jaacute moramos nessas cidades e em um futuro natildeo muito distante passaremos grande parte de nossa jornada de trabalho vivendo ou fazendo compras em edifiacutecios hiperconectados cheios de tecnologia E em-bora todos esses avanccedilos possam ser emocionantes e ca-tivantes natildeo devemos esquecer que por traacutes de tudo isso deve haver acima de tudo pessoas inteligentes
De dispositivos IoT a edifiacutecios e cidades inteligentes ldquosmart is the new sexyrdquo
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
23wwwwelivesecuritycombr
bull Mudanccedilas em TI devem significar mudanccedilas no gerenciamento da seguranccedila
bull Variedade de tecnologias como mecanismo de mudanccedila
bull O caminho da mobilidadebull Conceitos que devem ser mantidos na
transformaccedilatildeo digitalbull Entatildeo o que fazer nas empresas
AUTOR
Camilo GutieacuterrezESET Senior Security
Researcher
TRANSFORMACcedilAtildeO DIGITAL E SEGURANCcedilA DA INFORMACcedilAtildeO O DESAFIO PARA AS EMPRESAS 5
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
24wwwwelivesecuritycombr
Agrave medida que as organizaccedilotildees decidem embarcar ou continuar no caminho da transformaccedilatildeo elas precisam repensar todos os aspectos de suas operaccedilotildees Como podem colher os benefiacutecios dessa mudanccedila digital sem se desviar do caminho devido a falhas em lidar com os desafios da seguranccedila da informaccedilatildeo
A dinacircmica do mercado fez com que a transformaccedilatildeo di-gital se tornasse um problema em todas as aacutereas de uma empresa envolvendo tecnologias que proporcionam maior valor aos seus clientes Todas estas incorporaccedilotildees que jaacute comeccedilaram em muitas empresas haacute alguns anos supotildeem naturalmente uma mudanccedila cultural a niacutevel organizacional que representam um grande desafio
Obviamente a seguranccedila da informaccedilatildeo natildeo deve ser considerada como um item alheio a esta meta mas como uma parte importante dos objetivos que as empresas devem estabelecer para natildeo serem ignoradas nesta cor-rida pela seguranccedila
Como a transformaccedilatildeo digital geralmente envolve uma reestruturaccedilatildeo dos processos e estrateacutegias de cada orga-nizaccedilatildeo para aproveitar a tecnologia digital isso abre novos perfis de risco que as empresas natildeo podem perder de vista
Mudanccedilas em TI devem significar mudan-ccedilas no gerenciamento da seguranccedila
As empresas que jaacute estatildeo passando por processos de trans-formaccedilatildeo digital tecircm se dedicado ao desenvolvimento de modelos de negoacutecios que tecircm um alto componente tecno-loacutegico o que obrigou as equipes de TI a ter que adaptar-se para suportar a velocidade dessas mudanccedilas
Todas estas modificaccedilotildees levam as empresas a passar gra-dualmente da centralizaccedilatildeo da maioria dos seus recursos para a contrataccedilatildeo de uma ampla gama de serviccedilos e ativos de apoio agraves atividades diaacuterias trazendo um aumento na
diversidade de tecnologias e plataformas sobre as quais o monitoramento deve ser feito
Esse processo de transformaccedilatildeo que oito em cada dez or-ganizaccedilotildees decidiram realizar nos uacuteltimos cinco anos de acordo com uma pesquisa da McKinsey teve um impacto direto na seguranccedila o que obriga as empresas a reduzir suas chances de serem viacutetimas de um ataque ciberneacutetico ou de uma brecha de dados Neste sentido as equipes de ges-tatildeo foram imersas em novos paradigmas que lhes permi-tem cumprir esta missatildeo mas sem afetar o funcionamento normal do negoacutecio uma vez que para operar com sucesso neste ecossistema digital as organizaccedilotildees devem ser capa-zes de proteger os dados durante este processo de transfor-maccedilatildeo e nos respectivos ambientes
De acordo com um estudo realizado pelo Instituto Ponemon em 2018 em diferentes paiacuteses 72 dos profissionais de se-guranccedila digital acreditam que a urgecircncia de alcanccedilar a transformaccedilatildeo digital aumentou o risco de sofrer uma bre-cha de dados Se acrescentarmos a isso o fato de que 45 das organizaccedilotildees disseram natildeo ter uma estrateacutegia para enfrentar a transformaccedilatildeo digital o cenaacuterio eacute pelo menos preocupante
Para as equipes responsaacuteveis pelo gerenciamento da segu-ranccedila um fluxo constante de informaccedilotildees em torno de to-das as mudanccedilas dentro da organizaccedilatildeo torna-se um requi-sito fundamental Eacute por esta razatildeo que as tecnologias de inteligecircncia e o monitoramento de ameaccedilas satildeo importan-tes para fornecer a base na qual outros processos podem ser executados de forma segura mantendo o cumprimento de normas em toda a organizaccedilatildeo
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
25wwwwelivesecuritycombrBY
Variedade de tecnologias comomecanismo de mudanccedila
Para as empresas eacute necessaacuterio considerar a seguranccedila da informaccedilatildeo como parte da digitalizaccedilatildeo de uma organi-zaccedilatildeo e dado que existem muacuteltiplas tecnologias que es-tatildeo comeccedilando a ser consideradas para este processo tais como computaccedilatildeo em nuvem plataformas moacuteveis conectividade 5G e machine learning para citar apenas algumas deve-se entender que natildeo haacute apenas uma apli-caccedilatildeo ou tecnologia que garanta a seguranccedila dos dados e a continuidade dos negoacutecios
Certamente para as empresas que jaacute estatildeo pensando no assunto uma das principais duacutevidas eacute por onde comeccedilar E o ponto de partida eacute precisamente entender que toda essa transformaccedilatildeo tambeacutem estaacute mudando radicalmen-te e muito rapidamente a sociedade global a forma como trabalhamos socializamos compramos e interagimos com as muacuteltiplas necessidades que fazem parte da vida cotidiana
O caminho da mobilidade
Em todos estes cenaacuterios de mudanccedila nas empresas haacute um em particular que ateacute 2020 seraacute um fator impor-tante para acelerar todo este processo de transforma-ccedilatildeo a mobilidade laboral Sem duacutevida a capacidade dos dispositivos de manter a conexatildeo com as redes independentemente de onde estejam continua a ex-pandir a superfiacutecie de ataque da qual um atacante pode se beneficiar
Toda essa mudanccedila jaacute foi lentamente gerada nos uacutelti-mos anos mas a adoccedilatildeo cada vez mais acelerada pelas empresas do uso da tecnologia moacutevel eacute feita muitas vezes sem considerar a seguranccedila Portanto eacute impor-tante que as empresas natildeo continuem considerando a seguranccedila de uma forma claacutessica mas sim que pensem em mudar para modelos adaptativos que possam res-ponder agraves mudanccedilas
Aleacutem disso as equipes de seguranccedila devem aproveitar as tecnologias de monitoramento uma vez que as tec-nologias de detecccedilatildeo por si soacute natildeo satildeo suficientes Eacute importante que as empresas permitam que seus pro-cessos respondam a um incidente e retornem agrave opera-ccedilatildeo resolvendo incidentes e aplicando medidas corre-tivas adequadas
Conceitos que devem ser mantidos na transformaccedilatildeo digital
Para aleacutem de todas estas tecnologias especiacuteficas que con-tinuaratildeo evoluindo natildeo podemos perder de vista concei-tos como a privacidade Estamos em um momento em que estatildeo surgindo cada vez mais leis novas e mais rigo-rosas em mateacuteria de proteccedilatildeo de dados pessoais o que faz com que as pessoas se tornem gradualmente mais conscientes dos seus direitos e mais interessadas na for-ma como as empresas podem administrar os seus dados
Durante os proacuteximos meses veremos como as organiza-ccedilotildees desenvolvem grandes mudanccedilas em quase todos os niacuteveis de seus negoacutecios tendo como eixo central a gestatildeo da informaccedilatildeo e dos dados proacuteprios de sua operaccedilatildeo Neste cenaacuterio os modelos de negoacutecio que geram confian-ccedila por parte do cliente seratildeo executados com vantagem
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
Transformaccedilatildeo digital e seguranccedila da informaccedilatildeo o desafio para as empresas
26wwwwelivesecuritycombr
Entatildeo o que fazer nas empresas
Diante do que as empresas enfrentaratildeo no proacuteximo ano haacute pelo menos cinco consideraccedilotildees que devem ser levadas em conta para realizar essa transformaccedilatildeo com seguranccedila
1 Procurar um equiliacutebrio entre a implementaccedilatildeo de tecnologias e a ciberseguranccedila Se desde o iniacutecio natildeo houver equiliacutebrio e a seguranccedila for tambeacutem considerada como um fator dinamizador de negoacutecios os problemas seratildeo maiores do que as soluccedilotildees
2 Desenvolver projetos que facilitem a visibilidade e o controle de tecnologias de modo que o foco natildeo seja apenas na prevenccedilatildeo de incidentes mas que considerem a detec-ccedilatildeo e a resposta a um incidente
3 O foco da seguranccedila natildeo pode ser apenas em dispositivos jaacute que temos cada vez mais equipamentos e tecnologias para implementar a seguranccedila em cada componente de forma individual
4 Incentivar uma maior colaboraccedilatildeo entre pessoas e processos para que estejam alinhados e que a tomada de decisatildeo seja baseada em dados comuns gerados a partir de tecnologias implementadas
5 Eacute claro que o componente humana natildeo pode ser negligenciado Dado que a transformaccedilatildeo digital eacute algo que quase todas as pessoas tecircm experimenta-do em suas vidas diaacuterias embora muitas vezes com um comportamento arriscado em relaccedilatildeo agraves suas informaccedilotildees pessoais o trabalho deve ser feito para evitar que tambeacutem a informaccedilatildeo da empresa possa ser vulneraacutevel a ataques de Engenharia Social
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
CONCLUSAtildeOOs desafios que temos pela frente satildeo importantes e temos de nos preparar para que as geraccedilotildees atuais e futuras tenham melhores ferramentas tanto do ponto de vista tecnoloacutegico como educativo para enfrentar os desafios apresentados pela seguranccedila pois soacute assim seraacute dada agrave tecnologia a oportunidade de desenvolver o seu verdadeiro potencial e que isso se traduza em uma melhor qualidade de vida para a humanidade
Como vimos em cada um dos capiacutetulos que com-potildeem este documento o mundo pretende con-tinuar evoluindo no uso da tecnologia e avanccedilar para um mundo ainda mais ldquointeligenterdquo do que o atual Mas apenas quando os avanccedilos da inteligecircn-cia artificial realmente permitam que as maacutequinas pensem por si mesmas quando a transformaccedilatildeo para o que eacute conhecido como cidades inteligentes se torne um fenocircmeno global e quando os proces-sos de transformaccedilatildeo digital pelos quais passam muitas empresas seja uma questatildeo do passado eacute que poderemos analisar com mais precisatildeo quais foram os custos desse processo de transformaccedilatildeo O que eacute claro eacute que agrave medida que a situaccedilatildeo atual se apresenta a seguranccedila continuaraacute estando um passo atraacutes na consideraccedilatildeo dos desenvolvimen-tos tecnoloacutegicos e isso possivelmente traraacute con-sequecircncias a curto prazo
Embora existam sinais positivos que sugerem que alguns percebem a importacircncia da seguranccedila e a necessidade de que ela tenha um papel mais proe-minente no futuro se pensarmos que oito em cada dez empresas nos uacuteltimos cinco anos decidiram em-preender o caminho da transformaccedilatildeo digital e ana-lisarmos o crescimento das brechas de dados a niacutevel
global para natildeo mencionar o aumento dos custos que as empresas teratildeo para lidar com este tipo de incidente de acordo com as projeccedilotildees os nuacutemeros explicam as dificuldades que existem atualmente para evitar este tipo de incidente de seguranccedila Se tambeacutem pararmos para pensar no crescimento projetado para a construccedilatildeo de edifiacutecios e cidades inteligentes e que vaacuterias das cidades que atualmen-te apostam no conceito ldquoSmartrdquo tecircm sido viacutetimas de ameaccedilas jaacute conhecidas como o ransomware por-que devemos ser otimistas e pensar que o futuro seraacute melhor em termos de seguranccedila
Nesta mesma linha se tomarmos como referecircncia os atuais avanccedilos no uso do machine learning o fenocircmeno das fake news e o que podemos esperar de um futuro ainda distante do desenvolvimento da inteligecircncia artificial o desafio de estarmos prepa-rados para o que estaacute por vir pode ser uma oportu-nidade para tomar medidas que realmente decircem agrave seguranccedila um papel mais proeminente
Desde 2016 ateacute agora as deepfakes nos deram sinais do possiacutevel impacto que podem ter com sua
27wwwwelivesecuritycombr
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
28wwwwelivesecuritycombr
participaccedilatildeo em diferentes processos eleitorais gerando grande confusatildeo e incerteza sobre qual informaccedilatildeo eacute verdadeira e qual eacute falsa alimentan-do a desconfianccedila de indiviacuteduos que embora mais interconectados continuam expondo dados e infor-maccedilotildees pessoais devido ao desconhecimento das boas praacuteticas de seguranccedila Ao mesmo tempo vaacute-rios destes indiviacuteduos teratildeo de participar em proces-sos eleitorais em paiacuteses que preferem sistemas de votaccedilatildeo eletrocircnico apesar de terem demonstrado problemas
Voltando agrave questatildeo acima colocada vimos sinais positivos que nos permitem ser otimistas Empresas como o Facebook universidades e outras impor-tantes companhias tecircm demonstrado preocupaccedilatildeo em combater fenocircmenos como as deepfakes com iniciativas como o lanccedilamento do ldquoDeepfake Detec-
tion Challenge (DFDC)rdquo que visa promover o desen-volvimento de tecnologias capazes de combater o seu impacto Aleacutem disso como Lysa Myers explicou no capiacutetulo ldquoMudanccedilas substanciais em termos de privacidaderdquo houve mudanccedilas em questotildees legisla-tivas e regulatoacuterias que embora tenham sido lentas e ainda natildeo tenham gerado impacto relevante satildeo mudanccedilas positivas no final
Haacute ainda muito para ser feito e eacute fundamental a intervenccedilatildeo dos governos atraveacutes de medidas que proporcionem uma orientaccedilatildeo ou caminho a seguir Apesar da falta de consciecircncia que ainda existe por parte dos usuaacuterios em vaacuterios aspectos da seguranccedila a desconfianccedila e descrenccedila que muitos manifestam satildeo sintomas que refletem o conhecimento sobre o impacto da seguranccedila e da privacidade em suas vidas e isso tambeacutem pode ser interpretado como uma oportunidade de continuar trabalhando em um fator-chave como a educaccedilatildeo
Grandes desafios estatildeo por vir e temos que estar preparados tanto a niacutevel tecnoloacutegico como educati-vo para que as geraccedilotildees atuais e futuras disponham de instrumentos suficientes para poder enfrentaacute-los e para que a tecnologia tenha a oportunidade de expressar o seu potencial proporcionando uma melhor qualidade de vida para os indiviacuteduos
top related