Muito se fala atualmente sobre a necessidade de proteção da privacidade, principalmente depois do surgimento da General Data Protection Regulation (GDPR) e da LGPD. E, aqui no Brasil, o tema sempre volta a tona quando tem alguma novidade sobre a LGPD.
Mas, embora esse tema seja muito relevante atualmente, principalmente por conta das redes sociais, propagandas online, golpes digitais e fake news, a preocupação com nosso direito à privacidade começa muito antes.
Em 1948 a ONU publicou a Declaração Universal dos Direitos Humanos (página oficial em inglês) (olha que legal a versão original, escaneada), um documento que marcou a história sobre os direitos das pessoas em todo o mundo, e é grande referência até hoje. Com seus 30 artigos, cada um relacionado a um direito fundamental, a Declaração inclui o direito a privacidade como o 12º direito fundamental:
"No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks."
"Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei."
O texto é bem simples e objetivo, e por isso mesmo ele se encaixa direitinho no cenário atual, da discussão sobre o direito a privacidade online e nas redes sociais.
A premiação quer destacar as histórias inspiradoras e o impacto gerado pelas ações e conquistas de mulheres no campo da tecnologia. O prêmio busca de mulheres que não apenas lideram em suas áreas, mas também inspiram por meio de inovação, realizações profissionais e contribuições significativas para a comunidade.
Houve uma chamada pública para indicação de mulheres com histórias excepcionais na área de tecnologia, o que resultou em 518 indicações!!! Como resultado, o TOP20 Women to Follow reconhece 20 personalidades femininas que foram escolhidas entre as indicadas, destacando sua excelência e influência.
A Inteligência Artificial (IA) não deveria ser novidade para ninguém. Desde os trabalhos pioneiros de Alan Turing na primeira metade do século passado, cientistas da computação tem se dedicado a esse assunto por décadas. Eu mesmo tive uma disciplina de IA na minha graduação em Ciências da Computação, lá no meados da década de 90.
Mas o surgimento do ChatGPT no final de 2022 trouxe um novo holofote para esse assunto e, assim como diversas ferramentas e apps que surgiram recentemente, tornou a IA acessível para a população em geral. E, vamos ser sinceros: o fenômeno foi tão marcante que o ChatGPT praticamente virou um sinônimo para IA.
A rápida popularização de algumas ferramentas de IA (do ChatGPT a ferramentas para criar imagens, como o Lensa e a Midjourney, além de muitos outros aplicativos) tem chamado muita atenção de todos e trouxe a Inteligência Artificial para o dia--a-dia das pessoas. E para o centro dos debates.
Existem milhares de ferramentas de IA, e as mais faladas atualmente são o ChatGPT (da OpenAI), Bing AI (Microsoft) e o Gemini Bard (Google). Mas tem ferramentas para todo tipo de uso, mais de 70 mil empresas no mercado de IA, e a cada dia surgem novas aplicações. As possibilidades tecnológicas e de uso da IA, em especial essas apresentadas pelo ChatGPT, ainda são embrionárias e muito ainda está por acontecer. Ainda vamos ver muita discussão sobre a tecnologia e sobre os aspectos éticos de seu uso.
De qualquer forma, decidi criar esse post para registrar artigos e fatos que acho interessantes no uso e debate relacionado aos aspectos de segurança (riscos, uso malicioso, incidentes, etc).
Vale a pena destacar que já tivemos alguns incidentes de segurança relacionados ao uso do ChatGPT. Já tivemos o vazamento de dados cadastrais de usuários da ferramenta, além de um incidente icônico em Março de 2023, quando foi noticiado que funcionários da Samsung compartilhavam informações confidenciais ao usar o ChatGPT.
Segue, abaixo, uma coletânea de artigos, relatórios, reportagens, links e memes sobre o assunto.
O bom uso da IA para aprimorar a postura e as ferramentas de segurança
Há muito já se fala utilizar a IA em cibersegurança, principalmente em ferramentas para melhorar sua performance, como nos casos de ferramentas de detecção de ataque, antivírus e ferramentas para detecção de fraudes. Com o novo boom da IA, sua adoção tende a aumentar significativamente (fique atento, pois dependendo da empresa isso pode ser verdade ou apenas um discurso marketeiro).
Já há especulações e iniciativas para usar as tecnologias de IA de forma a facilitar ou agilizar o trabalho dos times de segurança. Há grande expectativa de que essa tecnologia ajude a automatizar ainda mais processos repetitivos e atividades que possam ser automatizadas. Há também quem acredite que a IA pode melhorar a produção de análises e relatórios.
Sim, já estão ocorrendo alguns incidentes reais devido ao uso incorreto ou mal intencionado do ChatGPT das ferramentas ou da tecnologia de IA.
Samsung workers made a major error by using ChatGPT (Techradar, 04/04/2023): Os funcionários da Samsung vazaram involuntariamente dados ultrassecretos enquanto usavam o ChatGPT para ajudá-los nas tarefas. Os engenheiros do time de semicondutores usaram a ferramenta para ajudar a corrigir problemas com seu código-fonte e, durante seu uso, inseriram dados confidenciais como o próprio código-fonte de um novo programa e notas de reuniões internas. Em pouco menos de um mês, a empresa registrou três incidentes de funcionários vazando informações confidenciais via ChatGPT. Assim, esses segredos comerciais da Samsung agora estão nas mãos da OpenAI, a empresa por trás do ChatGPT;
Falha no ChatGPT expõe informações pessoais de usuários, aponta ESET (TI Inside, 06/04/2023): Uma falha de segurança no ChatGPT permitiu aos usuários ver perguntas do histórico de pesquisa de outras pessoas e expôs informações pessoais de assinantes do plano pago do serviço, que inclui nome completo, endereço de e-mail associado ao pagamento, os últimos quatro dígitos e a data de validade do cartão de crédito cadastrado. Após ser confirmado pela OpenAI, o serviço ChatGPT foi suspenso por um tempo até que o bug fosse corrigido. Além do bug na biblioteca de código aberto Redis, foi relatada uma vulnerabilidade que permitia ataques de Web Cache Deception;
Influencer diz que teve voz clonada por IA e que ela foi usada contra o pai (UOL, 12/05/2023): O influenciador Dario Centurione, do Almanaque SOS, contou em suas redes sociais que golpistas clonaram sua voz usando inteligência artificial (IA). Acreditando que o filho tinha enviado uma mensagem pedindo dinheiro emprestado, o pai do criador de conteúdo perdeu R$ 600 depois de fazer uma transferência via Pix;
A tecnologia também pode ser usada para o mal, com más intenções. Dentre as principais ameaças existentes até o momento, está a exploração do interesse pelo assunto para distribuir malware, como nos casos de malwares e extensões de navegador maliciosas se passando pelo ChatGPT ou ferramentas semelhantes. Também se fala no uso da IA para aprimorar o código fonte de vírus e malwares, e para aperfeiçoar as tecnologias de deepfake, facilitando a criação de fake news e o roubo de identidade.
Uma boa referência inicial são esses materiais da Recorded Future, da Europol, Checkpoint e CISA:
Um ponto que merece destaque, sobre o uso malicioso das tecnologias de IA, é o surgimento, e venda de acesso, para IAs Generativas especializadas na criação e disparo de golpes cibernéticos. Três exemplos recentes são as ferramentas conhecidas como "WormGPT", "FraudGPT" e "WolfGPT".
Assim como qualquer ferramenta tecnológica, as ferramentas de IA podem ser alvos de ataques - desde os ciberataques genéricos como DDos, até ataques específicos - como o chamado "prompt injection", por exemplo.
A União Européia tomou o protagonismo na discussão sobre regulamentação para o desenvolvimento das tecnologias de Inteligência Artificial ao, em junho de 2023, lançar o projeto de criação da primeira legislação sobre isso:
Outros artigos interessantes e curiosos sobre IA e o ChatGPT em geral
Tem muita, muita coisa disponível sobre Inteligência Artificial, muita mesmo! Então vou colocar aqui só um pouquinho de nada de um punhadinho coisas, que eu acho que podem colaborar com esse post. E você já se preparou para a profissão do futuro? Que tal ser um "digitador de comandos para IA"?
Frequentemente falamos sobre a história da Ada Lovelace, que inventou o primeiro programa de computador. Ou da brilhante Grade Hopper.
E a calculadora, que foi inventada por Edith Clarke? Quem ajudou na criação da Internet foi uma linda mulher, a Hedy Lamarr. O FORTRAN, uma das mais antigas linguagens de programação e muito utilizada no passado, principalmente para softwares científicos, foi desenvolvido por uma mulher, a Lois Haibt.
Você sabia que pode assinar eletronicamente um documento apenas usando a sua conta no portal Gov.br?
Existem algumas empresas que fornecem serviço para assinatura eletrônica, digital, de documentos, tais como a DocuSign, D4Sign e Autentique, por exemplo. Normalmente essas empresas tem um plano gratuito, que permite uma quantidade limitada de assinaturas de documentos, e planos pagos para maiores quantidades de documentos que necessitam ser assinados.
Mas existe uma opção muito fácil e gratuita: o portal Gov.br oferece o serviço de Assinatura Eletrônica de documentos. A assinatura eletrônica permite que o usuário assine um documento em meio digital a partir da sua conta Gov.br, e o documento resultante tem a mesma validade de um documento em papel, com assinatura física, conforme regulamentado pelo Decreto Nº 10.543, de 13/11/2020. Este serviço pode ser usado por qualquer cidadão brasileiro com uma conta Gov.br de nível Prata ou Ouro.
Para assinar um documento é muito fácil! Basta fazer o seu login no portal Gov.br, clicar no menu relacionado ao seu usuário no Gov.br, no canto superior direito da tela, e escolher a opção "Assinar documentos digitalmente".
Na próxima tela, você deve seguir 3 passos muito simples, começando com o upload do arquivo:
Clique em "Escolher arquivo" para fazer o upload do arquivo - são aceitas as extensões .DOC, .DOCX, .ODT, .JPG, .PNG ou .PDF, com tamanho de até 100MB;
Escolha em que lugar do documento será colocada a assinatura e clique em "Assinar digitalmente" que a "mágica" acontece;
Por fim, você deve fazer o download do arquivo, que contém o documento já assinado, em formato PDF.
Não se esqueça: É necessário fazer o download do arquivo assinado no seu celular ou computador, pois ele não ficará gravado na base de dados do portal Gov.br. Além disso, só é possível conferir a autenticidade da assinatura no documento em formato digital (o documento impresso não tem validade). As assinaturas podem ser verificadas em validar.iti.gov.br
Sim, existem duas normas internacionais da ISO/IEC sobre gestão do processo de notificação de vulnerabilidades. Este processo é relevante, em especial, para empresas que possuem programas de recompensa por bugs (Bug Bounty).
O objetivo da divulgação de vulnerabilidades é reduzir o risco associado à exploração de vulnerabilidades.
A ISO/IEC 29147:2018, com 32 páginas, fornece requisitos e recomendações aos fornecedores (vendors) sobre a divulgação de vulnerabilidades em seus produtos e serviços. A divulgação de vulnerabilidades permite que os usuários realizem o gerenciamento técnico de vulnerabilidades conforme especificado na ISO/IEC 27002:2013, 12.6.1. A divulgação de vulnerabilidades ajuda os usuários a proteger seus sistemas e dados, priorizar investimentos defensivos e avaliar melhor os riscos. A divulgação coordenada de vulnerabilidades é especialmente importante quando vários fornecedores são afetados. Este documento fornece orientações sobre a recepção de relatórios sobre potenciais vulnerabilidades, diretrizes sobre a divulgação de informações sobre correção de vulnerabilidades, termos, definições e conceitos específicos de vulnerabilidades, técnicas e considerações políticas para divulgação de vulnerabilidades, com exemplos de técnicas, políticas (Anexo A) e comunicações (Anexo B). Este documento é aplicável a fornecedores que optam por praticar a divulgação de vulnerabilidades para reduzir o risco aos usuários dos produtos e serviços dos fornecedores.
A ISO/IEC 30111:2019, com 13 páginas, é aplicável a fornecedores envolvidos no tratamento de vulnerabilidades, sobre como processar e remediar tais vulnerabilidades. Este documento fornece requisitos e recomendações sobre como processar e remediar possíveis vulnerabilidades relatadas em um produto ou serviço. Desenvolvedores e fornecedores podem usar esta norma quando responderem a notificações de vulnerabilidades potenciais ou reais. Ele detalha o processo de tratamento de vulnerabilidades.
O ano mal começou e a agenda para esse primeiro semestre de 2024 já está cheia!! Então vamos reservar nossas agendas?
Como sempre faço aqui no blog, eu listo apenas os eventos que eu considero serem interessantes e/ou relevantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade. Também incluo o TDC (The Developers Conference) e a Campus Party pois ambos são grandes eventos relevantes na comunidade de tecnologia e sempre possuem conteúdos relacionados à Segurança.
Infelizmente há poucos eventos de segurança fora de São Paulo, ainda mais depois que a Flipside encerrou os Roadsec's e MindTheSec's regionais. O ponto positivo é que deu espaço para o surgimento de pequenos eventos organizado pelas comunidades locais. Neste ano, quem está fora de São Paulo tem a sua disposição, além de eventos locais, os 7 eventos regionais do Security Leaders e as 3 edições do novo evento "Hacking na Web Day".
Exceto quando indicado o contrário, o evento será realizado presencialmente em São Paulo.
Anote aí na sua agenda:
Janeiro/2024
21/03: Black Box Meeting (Brasília-DF) (@blackboxmeeting): Novo evento da comunidade de Brasília (DF), organizado em um Pub, com uma trolha de palestras de qualidade;
Fevereiro/2024
06 e 07/02: Dia da Internet Segura (Safer Internet Day) - Evento tradicional, organizado pelo NIC.br e pela Safernet, voltado para conscientizar os usuários finais sobre segurança na Internet. Realizado com platéia presencial e transmissão online pelo canal do NIC.br no YouTube;
Março/2024
16/03: Fortalsec (Fortaleza - CE): O evento surtiu no ano passado, online, com o objetivo de levar um evento de segurança para a região Nordeste. Neste ano faz a primeira edição presencial, na cidade de Fortaleza, com várias palestras interessantes;
21/03: Black Box Meeting (Brasília-DF) (@blackboxmeeting): Novo evento da comunidade de Brasília (DF);
23/03: TOSCONF[4] (Campinas) (cfp): Evento despretencioso organizado pelo pessoal do Laboratório Hacker de Campinas (LHC). Nasceu com a idéia de ser um evento simples, "tosco", mas que na verdade costuma trazer muitas palestras legais da comunidade de hackerspaces brasileiros;
21/03: Security Leaders Brasília e Centro-Oeste - O Security Leaders inicia o ano com a sua versão regional em Brasília, DF. Segue a fórmula de focar em estudos de caso (associados aos patrocinadores) e painéis de debate - como eu sempre digo, com discussões superficiais, com muitos participantes no palco, não necessariamente especialistas no tema;
26 e 27/03: TDC Summit inteligência Artificial (@TheDevConf) - Novo evento da família TDC focado em IA, e que promete ter edições regionais em Brasília, Recife e Porto Alegre. com uma trilha diversificada de palestras, também abordará a segurança em IA;
Abril/2024
13/04: Hacking na Web Day (Brasília-DF): A primeira de 4 edições que serão realizadas neste ano, desse evento que debutou em 2023. O que começou como um encontro da comunidade, agora vai levar conteúdo, experiências e networking para 4 cidades no Brasil;
10 e 11/05: CryptoRave(@cryptoravebr) (cfp) - Excelente evento gratuito sobre segurança e privacidade, com foco muito forte no ativismo digital e direcionado principalmente ao público leigo;
16 e 17/05: Global Risk Meeting - evento sobre Governança, Risco e Compliance (GRC) organizado pela Daryus;
18/05: BSides VIX (Vitória, ES) (@bsidesvitoria) (cfp) - versão capixaba da Security BSides, com grade bem caprichada de palestras e que chega neste ano na sua 3a edição;
18 e 19/05: Security BSides São Paulo (@BSidesSP) (cfp): Mais uma edição da BSidesSP, com mini-treinamentos no sábado e um evento completo no Domingo, com diversas palestras, villages e competições. Evento gratuito, com muito conhecimento, diversão, e que você pode levar toda a família.
20/05: You Sh0t the Sheriff (YSTS) (@ystscon) (cfp) - O You Sh0t the Sheriff é um dos eventos mais importante e mais tradicionais do mercado, que se destaca pela qualidade das palestras e por ser um evento exclusivo para convidados dos patrocinadores, o que o torna muito concorrido. Quer um ingresso para ir no evento? Então envie uma proposta de palestras no Call For Papers (CFP) ou peça um ingresso para os patrocinadores;
27/05: Teckids Day (Piracicaba, SP) - Evento voltado para educação de crianças, adolescentes e suas famílias;
Junho/2023
12 a 14/06: TDC Floripa (@TheDevConf) (cfp) (Florianópolis, SC) - O TDC é um evento tradicional sobre desenvolvimento de software, com várias trilhas de conteúdo e que costuma ter trilhas relacionadas a segurança e LGPD;
15/06: Hacking na Web Day (Rio de Janeiro - RJ): Encontro da comunidade Hacking na Web, com conteúdo, experiências e networking;
25 a 27/06: FEBRABAN TECH - antigo CIAB, esse é um evento de tecnologia para o setor bancário organizado pela Febraban. O tem uma área de exposições gigante, que atraem grandes empresas de tecnologia e, claro, de segurança (física, patrimonial e cyber).
Tradicionalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas. Fique atento.
OBS: Você também notou que tem 3 eventos programados para acontecer na semana de 16 a 20 de setembro? O SBSeg de 16 a 19/09, o Mind the Sec de 17 a 19/09 e o TDC São Paulo de 18 a 20/09. Felizmente eles tem públicos bem distintos, mas isso pode atrapalhar a vida de quem gostaria de palestrar em 2 ou 3 deles.
Planeja ir em alguns eventos internacionais neste ano? Os principais e mais interessantes eventos, na minha opinião, sempre foram os seguintes:
Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só destaco os eventos que eu considero serem os mais relevantes para o mercado. Não incluo eventos organizados exclusivamente por fabricantes nem aqueles que eu acredito que possam representar um desvio da comunidade ou uma exploração financeira da imagem dos profissionais da área (nem eventos "de hacker" nem "de CISO"). Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.