Na década de 1990, a popularização do e-mail trouxe uma nova onda de ataques cibernéticos, como o e-mail bombing e os Sendmail exploits, técnicas que consistiam no envio massivo e automático de milhares de mensagens para uma mesma caixa de entrada ou servidor, com o objetivo de sobrecarregar o sistema. Para conter esses ataques, foi necessário o desligamento simultâneo de milhares de servidores. De maneira semelhante, atualmente, a informatização e a globalização ampliaram ainda mais a ocorrência de problemas de cibersegurança, como evidenciado no recente caso do Gmail, que, embora noticiado de forma equivocada, serviu para dar visibilidade ao tema e às ameaças contemporâneas, entre elas a engenharia social, os ataques de negação de serviço distribuída (DDoS) e falhas de software. Estima-se que o cibercrime tenha causado um custo total anual de cerca de US$ 950 bilhões, interrupção de serviços e recuperação de sistemas, enquanto ataques de ransomware aumentaram 105% em 2021, afetando empresas, hospitais e órgãos públicos Tais fatores podem gerar graves consequências, como prejuízos financeiros, roubo de identidade e interrupção de serviços públicos.

Atualmente, as ameaças cibernéticas modernas exploram tanto vulnerabilidades humanas quanto técnicas. Entre elas, destacam-se os ataques de engenharia social, em que usuários são induzidos a fornecer informações confidenciais, como senhas ou dados bancários, através de mensagens falsas que simulam serviços legítimos, prática conhecida como phishing. Outro vetor de ataque são as explorações de vulnerabilidades de software, que aproveitam falhas no código para executar comandos não autorizados, obter acesso privilegiado ou controlar sistemas remotamente, exemplos incluem buffer overflow, quando um programa aceita mais dados do que pode armazenar, sobrescrevendo memória, e remote code execution (RCE), em que o invasor executa código malicioso à distância.

Além disso, há a disseminação de malware, software malicioso que compromete a integridade e confidencialidade do sistema, incluindo o ransomware, que criptografa arquivos e exige pagamento para liberá-los, frequentemente se espalhando de forma semelhante a worms. Ataques de força bruta tentam adivinhar senhas ou chaves criptográficas testando sistematicamente combinações, muitas vezes acelerados por hash cracking com GPUs. Os ataques de negação de serviço distribuída (DDoS) utilizam redes de computadores infectados, chamadas botnets, para sobrecarregar servidores com tráfego massivo, podendo incluir variações como amplification attacks, que aumentam o impacto usando respostas de terceiros. Por fim, há técnicas de injeção de código em aplicações web, como SQL Injection (SQLi), que manipula consultas a bancos de dados, e Cross-Site Scripting (XSS), que injeta scripts maliciosos em páginas visitadas por usuários, comprometendo dados e sessões.

Em agosto de 2025, surgiram alegações sobre uma suposta falha de segurança no Gmail que teria comprometido dados de até 2,5 bilhões de usuários. No entanto, de acordo com reportagem da Inc., uma renomada revista e site jornalístico americano especializado em negócios e tecnologia, o Google esclareceu que essas alegações eram infundadas e que as proteções do Gmail permanecem “fortes e eficazes”. Na verdade, o incidente envolveu o serviço de banco de dados corporativo do Google, o Salesforce, que expôs algumas informações públicas de empresas de pequeno e médio porte. Embora o Gmail não tenha sido comprometido, esses dados podem e foram utilizados para ataques de phishing. Ainda assim, o Google recomendou fortemente a mudança periódica de senhas e o uso da autenticação de dois fatores (2FA).

Um dos casos mais famosos envolvendo hacking é o da Sony Pictures em 2014, quando hackers atribuídos à Coreia do Norte invadiram os sistemas da empresa, vazando e-mails internos, roteiros, dados financeiros e informações pessoais de funcionários. Um grupo autodenominado "Guardians of Peace" (GOP) utilizou uma variante do malware destrutivo conhecido como Shamoon, projetado para apagar dados e tornar os sistemas inoperantes, interrompendo as operações da empresa. Além disso, os atacantes instalaram ferramentas adicionais, como backdoors e proxies, para manter o acesso e exfiltrar informações sensíveis.

A proteção contra ataques cibernéticos envolve medidas como autenticação forte com 2FA, atualizações constantes de sistemas, uso de antivírus, conscientização sobre phishing, realização de backups regulares e controle rigoroso de privilégios, garantindo maior segurança de dados e serviços críticos. Dessa forma, evita-se que incidentes semelhantes aos do Sendmail em 1990 exijam o desligamento em massa de servidores.

Autor: Gabriel Vargas Saueressig

Referências Bibliográficas

ATEN, Jason. Why Google Is Really Warning 2.5 Billion Gmail Users to Stop Using Their Passwords. Inc.. Disponível em: http://www.inc.com/jason-aten/why-google-is-warning-2-5-billion-gmail-users-to-stop-using-their-password/91234290. Acesso em: 15 set. 2025.

COLUMBIA UNIVERSITY. The Hacking of Sony Pictures: A Columbia University Case Study. Disponível em: http://www.sipa.columbia.edu/sites/default/files/2022-11/Sony%20-%20Written%20Case.pdf. Acesso em: 15 set. 2025.

CISO ADVISOR. Custo global anual do cibercrime é de quase US$ 950 bilhões, diz relatório. Disponível em: http://www.cisoadvisor.com.br/custo-global-anual-do-cibercrime-e-de-quase-us-1-bilhao-diz-relatorio/. Acesso em: 15 set. 2025.

BERNARDO, Marco. Las 15 técnicas de hacking más comunes. ESED Seguridad Digital. Disponível em: http://www.esedsl.com/blog/15-tecnicas-de-hacking-mas-comunes. Acesso em: 15 set. 2025.

O Centro de Processamento de Dados (CPD) da UFSM alerta a comunidade acadêmica para a circulação de e-mails falsos enviados a endereços institucionais. As tentativas de golpe simulam comunicações oficiais e solicitam ações como “validar certificados”, “atualizar dados” ou “confirmar senhas”. Esse tipo de fraude é conhecido como phishing e tem como objetivo roubar credenciais de acesso. Uma das formas de identificar essas mensagens suspeitas é observar o remetente: em muitos casos, os endereços utilizados são incomuns ou não apresentam relação com a UFSM.

Para reforçar a segurança digital, o CPD orienta:
• Desconfie de links recebidos por e-mail, mesmo que aparentem ser legítimos.
• Nunca informe sua senha institucional fora dos portais e sistemas oficiais da UFSM.

Como medida de prevenção, os usuários podem consultar a Cartilha de Segurança para Internet, desenvolvida pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), serviço do NIC.br, braço executivo do Comitê Gestor da Internet no Brasil (CGI.br). A cartilha reúne recomendações práticas para aumentar a segurança no uso da internet, explica conceitos fundamentais, apresenta riscos relacionados a diferentes tecnologias e traz dicas de boas práticas para proteger dados, dispositivos e credenciais. O material é uma referência nacional e busca apoiar usuários no uso consciente e seguro da rede.

Em caso de suspeita ou ocorrência de incidentes de segurança, como recebimento de e-mails maliciosos, acessos não autorizados ou uso indevido de dados, o CPD disponibiliza um canal oficial para registro e acompanhamento. O procedimento pode ser realizado pelo serviço “Reportar incidente de Segurança da Informação”. Além disso, o CPD mantém em seu site uma seção com Dicas de Segurança, que orienta sobre práticas seguras no uso da Internet, criação de senhas, autenticação de dois fatores e prevenção contra diferentes tipos de golpes virtuais.

Na semana passada, de 01 a 04 de setembro, Foz do Iguaçu foi o palco principal da cibersegurança nacional, sediando a 25ª edição do Simpósio Brasileiro de Cibersegurança (SBSeg). O evento, um dos mais importantes da área no país e classificado como Qualis A4 pela CAPES, reuniu pesquisadores e profissionais para a divulgação de pesquisas e debates sobre segurança da informação. O Centro de Tecnologia da UFSM (CT-UFSM), que sediou a 22ª edição do simpósio, esteve representado nesta edição por trabalhos de estudantes e professores do Programa de Pós-Graduação em Ciências da Computação (PPGCC) e da graduação em Ciência da Computação, que apresentaram dois trabalhos de destaque na área.

Organizado pela Pontifícia Universidade Católica do Paraná (PUCPR) e pela Universidade Federal do Paraná (UFPR), o SBSeg contou com sessões técnicas, minicursos, workshops e palestras com convidados internacionais. No SBSeg são apresentadas as pesquisas dos principais grupos do país. Atualmente, diversas empresas do setor têm aumentado seu interesse no evento em virtude da importância que a área recebe na sociedade atual. Aspectos como privacidade, criptografia, ataques cibernéticos, técnicas de invasão e contramedidas são alguns exemplos dos tópicos discurso no evento.

As pesquisas do CT apresentadas no Simpósio foram produzidas por três estudantes - Alfredo Cossetin Neto, Luiz Alberto Cabral Bianchi Jr. e Rafael Carneiro Pregardier - orientados pelos professores Dr. Carlos Raniery Paula dos Santos e Dr. Luis Alvaro de Lima Silva, ambos do Departamento de Computação Aplicada (DCOM). Os trabalhos apresentados exploram a aplicação de redes generativas adversariais (GANs) e arquiteturas Transformer, que estão na vanguarda da Inteligência Artificial, para enfrentar desafios complexos na detecção de ameaças cibernéticas.

De acordo com o prof. Carlos Raniery, "os dois trabalhos apresentados versam sobre o tema de geração sintética de dados usando uma técnica de Inteligência Artificial chamada de GAN (Redes Adversárias Generativas), que originalmente foi criada para gerar imagens realistas de pessoas (as famosas deep fakes), mas que aqui usamos para gerar alguns padrões de dados que são necessários para treinar detectores de ataques ou atividades maliciosas na rede. São a continuação de um trabalho que primeiro foi apresentado em uma conferência no Hawaii neste ano (Maio/25) e cuja continuação será apresentada em Bolonha/Itália em Outubro/25".

Confira os títulos e integrantes das pesquisas:
"TITAN DGA: Uma GAN Otimizada por Divergência KL com Autoencoder Baseado em Transformers para Geração de Domínios Maliciosos"
Autores:
Rafael Carneiro Pregardier (graduação em Ciência da Computação - UFSM)
Luiz Alberto Cabral Bianchi Jr (mestrado do PPGCC - UFSM)
Alfredo Cossetin Neto (graduação em Ciência da Computação - UFSM)
Prof. Dr. Vinicius Fulber-Garcia (UFPR, ex-mestrando do PPGCC)
Prof. Dr. Luis Alvaro de Lima Silva (DCOM/UFSM)
Prof. Dr. Carlos Raniery Paula dos Santos (DCOM/UFSM)

"Aprimorando a Detecção de APTs com Geração de Dados Sintéticos Baseada em GAN-Transformers"
Autores:
Alfredo Cossetin Neto (graduação em Ciência da Computação - UFSM)
Rafael Carneiro Pregardier (graduação em Ciência da Computação - UFSM)
Prof. Dr. Vinicius Fulber-Garcia (UFPR, egresso do PPGCC)
Prof. Dr. Carlos Raniery Paula dos Santos (DCOM/UFSM)
Prof. Dr. Luis Alvaro de Lima Silva (DCOM/UFSM)

A participação dos discentes e docentes em um evento de alto nível como o SBSeg reforça a qualidade e o impacto da pesquisa desenvolvida no CT-UFSM, colocando a Universidade no centro das discussões nacionais sobre cibersegurança e inteligência artificial.

Texto por Subdivisão de Comunicação do CT/UFSM, com informações do prof. Carlos Raniery.
Foto: acervo pessoal.
Quer divulgar suas ações, pesquisas, projetos ou eventos no site? Acesse os serviços de Comunicação do CT-UFSM! Siga o CT nas redes sociais: Facebook e Instagram!

A 2FA adiciona uma camada extra de proteção, exigindo que, além da senha, o usuário insira um segundo código de segurança. Este código será enviado diretamente para o celular do usuário ou gerado por meio de um aplicativo específico. “Embora adicione uma etapa a mais no acesso, esse método é fundamental para proteger os dados institucionais e pessoais, mesmo em casos de senhas vazadas.”, explica Fábio Barcelos, Analista de TI e Coordenador da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos (ETIR) da UFSM.

Todos usuários do e-mail administrativo na UFSM receberão orientações detalhadas sobre como ativar a autenticação de dois fatores. O CPD enfatiza que a segurança da informação é uma prioridade fundamental e conta com a colaboração de todos para tornar o ambiente virtual da UFSM ainda mais seguro.

Acesse o guia introdutório ao Google Authenticator e o tutorial de Delegação de Contas, ideal para quem compartilha e-mail administrativo com colegas de setor, clicando aqui.

Por que aplicar 2FA?

Considerando as Referências GSI e a LGPD citadas no controle de segurança, é importante entender os seguintes pontos ao justificar a necessidade e as medidas de implementação de autenticação multifatorial (MFA) para contas de e-mail expostas externamente:

1. Referências GSI - IN nº 5/2021 e NC 01/IN02/NSC/GSIPR (Anexo A e Anexo B)

A Instrução Normativa nº 5/2021 do Gabinete de Segurança Institucional (GSI) estabelece diretrizes para a proteção de sistemas de informação do governo. Ela enfatiza a necessidade de controles de acesso rigorosos, especialmente para sistemas e contas com exposição externa.

O Anexo A e Anexo B complementam essas diretrizes, especificando requisitos técnicos e operacionais que auxiliam na proteção contra acessos não autorizados, um dos quais é a implementação do MFA. Esse método impede que uma pessoa não autorizada, que eventualmente obtenha acesso a um fator (como uma senha), acesse o sistema sem fornecer um segundo fator, como um código enviado por SMS, token físico ou biometria.

A política do GSI também incentiva o uso de Single Sign-On (SSO) para facilitar o acesso seguro e a administração de contas, mas sempre com a autenticação multifatorial como uma camada adicional de segurança.

2. Referências da LGPD

A Lei Geral de Proteção de Dados (LGPD) impõe a necessidade de proteção dos dados pessoais e sensíveis dos usuários. No contexto do MFA para contas de e-mail setoriais, destacam-se os seguintes artigos:

Art. 6º, inciso VII: Refere-se à necessidade de segurança, protegendo os dados contra acesso não autorizado e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Art. 46 e 47: Estabelecem que os responsáveis pelo tratamento de dados devem garantir a segurança dos dados, adotando medidas técnicas e administrativas para proteger as informações. A autenticação multifatorial é uma dessas medidas de segurança.

Art. 49 e 50: Destacam a necessidade de boas práticas e governança em proteção de dados, recomendando a criação de políticas e normas de segurança, além de medidas preventivas contra incidentes de segurança. Isso reforça a importância de implementar o MFA para assegurar que apenas pessoas autorizadas possam acessar informações sensíveis ou privadas.

Essas referências regulamentares justificam a implementação do MFA para contas de e-mail setoriais, visando proteger dados institucionais e pessoais contra acessos não autorizados e ataques cibernéticos. 

À medida que os desenvolvedores evoluem, eles não apenas aprimoram suas habilidades de escrever código, mas também ampliam sua compreensão das boas práticas de desenvolvimento: documentação, identação, adoção de novos frameworks, entre outros aspectos. No entanto, é comum se envolver tanto na resolução diária de problemas técnicos que os aspectos legais podem acabar sendo esquecidos, levando a uma questão que surge apenas quando é tarde demais: o que o desenvolvedor de software tem a ver com a Lei Geral de Proteção de Dados (LGPD)?

Estabelecida no Brasil em agosto de 2018, a lei nº 13.709, nomeada de “Lei Geral de Proteção de Dados” - a LGPD -, teve sua aplicação adiada algumas vezes, sendo oficialmente implementada a partir de setembro de 2020, com a entrada em vigor de parte de suas disposições. O objetivo principal da lei é proteger os direitos fundamentais de liberdade e privacidade dos brasileiros, afetando não apenas os usuários dos meios digitais, mas também aqueles que os desenvolvem.

Cada artigo da LGPD apresenta implicações específicas para o desenvolvimento de software. Por exemplo, em seu Artigo 2º, estabelece-se a disciplina que deve guiar a manipulação dos dados, fundamentada em princípios como:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:<<

1. o respeito à privacidade;
2. a autodeterminação informativa;
3. a liberdade de expressão, de informação, de comunicação e de opinião;
4. a inviolabilidade da intimidade, da honra e da imagem;
5. o desenvolvimento econômico e tecnológico e a inovação;
6. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
7. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Ou seja, é necessário compreender que a concepção de um banco de dados vai além da simples elaboração de um diagrama e da implementação de controles de acesso. Cada um desses princípios estabelece diretrizes sobre como os dados pessoais devem ser manuseados, desde sua coleta até seu descarte, garantindo que o tratamento seja conduzido de maneira ética, legal e respeitosa aos direitos dos titulares das informações.

No seu artigo 18, percebemos que o acrônimo CRUD (Create, Read, Update, Delete) é muito mais do que o primeiro pequeno código um pouco mais complexo da vida de todo desenvolvedor, ele é um direito digital. O titular dos dados pessoais possui direito a obter do controlador - isto é, do desenvolvedor - em relação aos dados do titular por ele tratados, a qualquer momento: acesso aos dados, atualização de dados incompletos, inexatos ou desatualizados e eliminação dos dados.

Durante o percurso de todo bacharel em tecnologia, os esforços para aprender boas práticas de documentação e tratamento de riscos nas matérias de Engenharia e Qualidade de software farão mais sentido além dos slides e das provas. O artigo 37 é dedicado a responsabilizar o desenvolvedor a manter registro das operações de tratamento de dados pessoais que realizarem, podendo ser demandado através de autoridade nacional “que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial”. Além disso, através da Seção I do Capítulo VII, “Da Segurança e do Sigilo de Dados”, os desenvolvedores poderão ser responsabilizados à adotar medidas de segurança -  técnicas e administrativas - aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, inclusive até mesmo depois do seu desligamento no processo.

Embora a legislação cubra diversos aspectos da manipulação de dados, é importante reconhecer que toda regra possui suas exceções. O Artigo 4º da LGPD é dedicado a delinear essas exceções: existem diversos cenários nos quais a LGPD não se aplica, porém alguns merecem destaque especial, como quando o tratamento dos dados é realizado por pessoa natural para fins exclusivamente particulares. Nesses casos, não há impedimento em manter uma lista de contatos com os parentes no smartphone ou utilizar dados reais de amigos para testar um banco de dados no WorkBench. Reforçando este último,  é importante ressaltar que essa exceção também se estende ao tratamento realizado exclusivamente para fins acadêmicos.

Apesar de estarem atualizados em todas as tecnologias e suas constantes evoluções, os desenvolvedores devem estar cientes de que a LGPD não se aplica apenas ao desenvolvimento de software, mas também à sua utilização. Eles devem estar preparados para responder a solicitações de acesso, atualização e eliminação de dados, e devem manter registros das operações de tratamento de dados pessoais que realizam.

Autora: Ana Clara Bordin

Olá pessoal! Nesta edição do PET Redação, vamos entender um pouco sobre um problema cada vez mais relevante na área da computação: o viés algorítmico.

É comum pensarmos em computadores como aparatos de exatidão e racionalidade, porém é importante lembrar que nenhuma máquina “nasce” do nada. Todo sistema possui influência humana em sua construção e, caso não seja devidamente testado e avaliado, está propenso a falhas. Viés cognitivo, por definição, é “[...]um padrão de distorção de julgamento que ocorre em situações particulares, levando à distorção perceptiva, ao julgamento pouco acurado, à interpretação ilógica, ou ao que é amplamente chamado de irracionalidade” [1], e, no caso dos algoritmos, está relacionado a sistemas de inteligência artificial e aprendizagem de máquina.

Como surge o viés algorítmico?

A inteligência artificial é um campo amplo baseado na ideia de máquinas imitando funções cognitivas da inteligência humana. O aprendizado de máquina (machine learning) é um dos subcampos da IA, em que são usados algoritmos que analisam grandes volumes de dados e extraem conhecimento de maneira autônoma.

A análise se dá, resumidamente, da seguinte forma: imagine que você deseja treinar um computador para reconhecer quais livros são adequados para crianças, e para isso obteve um conjunto de dados formado por todos os livros de uma certa biblioteca. Cada livro tem certos atributos: gênero, autor, número de páginas, ano de lançamento, etc. De início, você deve informar ao sistema quais atributos definem se o livro é adequado ou não (o gênero literário, por exemplo, é relevante, mas o ano de lançamento não), e após suficientes testes e treinamentos, o computador deve ser capaz de identificar sozinho se um livro qualquer se encaixa nos requisitos.

A ideia parece clara, certo? Agora imagine o que aconteceria se esses livros tivessem sido classificados com atributos incorretos? Ou se a análise fosse dependente de um atributo mais subjetivo, como por exemplo se o livro é bom ou não? E se a biblioteca possuísse poucos livros e, portanto, pouca variedade de atributos? O que aconteceria quando o sistema encontrasse um livro totalmente diferente do que ele já viu?

Quando pensamos em sistemas de tomada de decisão baseados em IA, temos que considerar os dados usados para desenvolvê-los – se esses dados são incompletos, limitados, ou tendenciosos, o sistema resultante também será.

Quais as consequências de algoritmos tendenciosos?

Muitas vezes, algoritmos enviesados são simplesmente um reflexo das discrepâncias e discriminações do mundo real. Em meados de 2014 a Amazon tentou desenvolver uma IA para avaliar currículos de candidatos e agilizar o processo de seleção para vagas de desenvolvimento de software. O sistema foi desenvolvido usando currículos coletados pela empresa durante 10 anos, porém devido à predominância masculina na indústria, a maior parte dos currículos pertenciam à homens, resultando em um sistema que aprendeu a dar preferência a candidatos do gênero masculino, e chegou a penalizar candidatas graduadas em universidades exclusivamente femininas. A empresa afirma que a ferramenta nunca foi usada para avaliar candidatos, e que foi totalmente descartada em 2017. [2]

Outro exemplo de IAs amplificando desigualdades sociais está em um estudo[3] que investigou mais a fundo um algoritmo muito utilizado no setor de saúde dos Estados Unidos e descobriu que o sistema subestimava as necessidades de pacientes negros. De acordo com a análise, o algoritmo usava o custo dos tratamentos como um agravante para determinar as necessidades médicas. Por diversos motivos, desde questões financeiras até culturais, menos dinheiro era gasto com pacientes negros em condições igualmente graves as de pacientes brancos, o que fazia com que o sistema considerasse pacientes negros mais saudáveis e necessitando de menos cuidados médicos.

Os casos citados anteriormente não são os únicos. Seja no setor jurídico, com sistemas que tendem a considerar pessoas negras como mais perigosas [4], ou sistemas de reconhecimento facial que só funcionam corretamente em homens brancos [5], são inúmeros os casos registrados de viés algorítmico. Mas porque é tão difícil combatê-lo?

Porque é tão difícil impedir o viés algorítmico?

O combate ao viés algorítmico atualmente é dependente da tomada de iniciativa por parte da liderança das empresas desenvolvedoras de sistemas baseados em IA. Yael Eisenstat, ex-chefe do setor de Integridade Eleitoral Global do Facebook[6], relata que desenvolvedores não recebem nenhum treinamento quanto ao combate de vieses cognitivas. Utilizar suposições, pré-conceitos e padrões familiares para tomar decisões no dia a dia é normal e uma característica humana inerente, porém quando estamos tratando de questões técnicas, é necessário fazer o máximo para reconhecer e questionar esses fatores. Apesar de muitas empresas tech possuírem treinamentos de inclusão e diversidade, o problema está no desconhecimento sobre como combater o viés de maneira real e metódica, pois os desenvolvedores sequer compreendem o que são os vieses cognitivos e de que maneira se apresentam, fazendo com que qualquer tentativa de corrigir o viés algorítmico seja insatisfatória e rasa. Segundo Eisenstat, “Esses erros são cometidos ao tentar fazer a coisa certa. Mas eles demonstram porque incumbir engenheiros e cientistas de dados despreparados com a tarefa de corrigir o enviesamento é, ao nível mais amplo, ingênuo, e ao nível de liderança, insincero.”[7] 

O uso exclusivo de dados para analisar uma situação por si só é produto do chamado viés de disponibilidade (availability bias), uma propensão que surge ao usar informações que estão mais facilmente disponíveis ao invés de informações que são realmente mais representativas, e muitas vezes ofusca a necessidade de avaliar criticamente as informações para garantir que estas não estão enviesadas. Essa análise crítica exige mais tempo e treinamento, o que vai contra a cultura de “move fast and break things”, estratégia que prioriza a ação em detrimento da análise, adotada por muitas empresas do ramo de tecnologia.

Além disso, o campo da Inteligência Artificial sofre de um problema de governança: a regulamentação do uso de IA é, no melhor dos casos, incompleta, e no pior, inexistente. Normas globais, políticas de uso e instituições para regular o uso e desenvolvimento de inteligências artificiais avançadas são escassas, o que é um fator negativo para os desenvolvedores de algoritmos de análise, uma vez que não possuem um código ou regulamento no qual basear seus sistemas, mas que também dificulta uma possível inspeção e correção de ferramentas de inteligência artificial. Sem um órgão para avaliar os métodos e resultados de análise de uma IA, não há nenhum controle legislativo sobre o viés algorítmico.

Conclusões

Em suma, o problema das IAs tendenciosas é complexo, porém cada vez mais urgente. Com o aumento na popularidade das inteligências artificiais, se torna cada vez mais importante corrigir o viés algorítmico, tanto de um ponto de vista social quanto prático, uma vez que a objetividade é um dos incentivos para se utilizar de um sistema computacional. É, portanto, essencial que haja uma mudança tanto no processo de desenvolvimento quanto de avaliação de ferramentas baseadas em IA, para impedir que o que deveria agilizar processos e solucionar impasses acabe por somente reproduzir e amplificar preconceitos e desigualdades.

Quanto às questões legislativas, estamos aos poucos observando um aumento na preocupação sobre a regulamentação do uso de IAs. Em junho de 2023 foi aprovado o E.U. AI Act [8], uma regulamentação do uso da inteligência artificial dentro da União Europeia, que objetiva proteger tanto investidores e desenvolvedores quanto usuários e clientes, e dentre as regras aprovadas está uma lista de requisitos legais referentes ao que foi classificado como aplicativos de alto risco, classificação que inclui sistemas de análise, como por exemplo uma ferramenta para digitalizar e classificar currículos. No Brasil, o PL nº 2338/2023 foi apresentado pelo Senador Rodrigo Pacheco, Presidente do Senado Federal, em maio de 2023, e se trata de um projeto de lei que dispõe sobre o uso da inteligência artificial. Atualmente, em novembro de 2023, o projeto está aguardando audiência pública.[9]

As inteligências artificiais são uma inovação que apresenta grande potencial para melhorar processos em diversas áreas, mas para isso é preciso garantir que seu uso seja benéfico para a sociedade. O combate ao viés algorítmico é uma medida necessária para que a tecnologia possa servir seu propósito: melhorar as condições de vida através da superação de limitações que, como é o caso dos vieses cognitivos, são essencialmente humanas.

Referências

[1] - Haselton, M. G., Nettle, D., & Andrews, P. W. (2005). The evolution of cognitive bias. In D. M. Buss (Ed.), The Handbook of Evolutionary Psychology: Hoboken, NJ, US: John Wiley & Sons Inc. pp. 724–746

[2] - http://www.reuters.com/article/us-amazon-com-jobs-automation-insight/amazon-scraps-secret-ai-recruiting-tool-that-showed-bias-against-women-idUSKCN1MK08G

[3] - http://www.science.org/doi/10.1126/science.aax2342#editor-abstract

[4] - http://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing

[5] - http://news.mit.edu/2018/study-finds-gender-skin-type-bias-artificial-intelligence-systems-0212

[6] - http://www.wired.com/story/the-real-reason-tech-struggles-with-algorithmic-bias/

[7] -  “These are mistakes made while trying to do the right thing. But they demonstrate why tasking untrained engineers and data scientists with correcting bias is, at the broader level, naïve, and at a leadership level insincere.”

[8] - http://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence

[9] - http://www25.senado.leg.br/web/atividade/materias/-/materia/157233

Autora: Isadora Fenner Spohr

Opa, como vocês estão??? Espero que estejam bem.
Nesta edição do PET Redação, trago a vocês um assunto importante que são os perigos dos ataques cibernéticos que utilizam Engenharia Social.
Recentemente, o mundo tecnológico, mais voltado aos Games, teve uma triste notícia que foi considerada por muitos analistas como “o pior vazamento da história dos jogos eletrônicos”. No qual um cibercriminoso denominado TeaPot, talvez associado ao grupo denominado “Lapsus$” reivindicou a autoria do ataque que teria acesso a dados confidenciais do desenvolvimento do novo Grand Theft Auto 6 e realizado a postagem de vídeos como forma de comprovar o feito. Vale lembrar que, cerca de 3 dias antes, dia 15 de setembro de 2022, o mesmo hacker (que atualmente se encontra preso) teria vazado da mesma forma informações da Uber.
Mas e aí, o que esses ataques têm em comum? A resposta é: Engenharia Social.
Vocês já ouviram falar nesse tipo de ameaça e em como ela pode afetar a nós, meros mortais, e até grandes empresas??? Ou grandes muralhas... como conta a história do cavalo de Troia, que foi a forma encontrada pelos gregos para transpor a barreira e vencer a batalha.
Então chega de papo e bora conhecer um pouco mais sobre a origem da técnica, sua anatomia e seus perigos!!!

COMO SURGIU?
Desde os primórdios da humanidade a Engenharia Social é utilizada como meio para a obtenção de informações cobiçadas por outras pessoas. No entanto, o estudo mais aprofundado sobre o assunto e o termo surgiram em 1894, pelo industrial holandês JC Van Marken. A ideia de Van Marken se deu como forma de alavancar e resolver problemas sociais dentro das indústrias europeias da época, visto que, se existia o estudo das engenharias tradicionais para criar e resolver os problemas das maquinas, também era possível desenvolver estudos relacionados à força de trabalho. Em seguida, em 1911, Edward L. Earp trouxe em seu livro “Social Engineer” uma visão de que, na Engenharia Social, as pessoas deveriam lidar com as relações sociais de forma semelhante à forma como abordam as máquinas, marcando o fim da terminologia de Van Marken.

NOS TEMPOS MODERNOS

Atualmente, quando falamos em segurança de informação, o termo liga-se bastante às práticas ilegais – como ataques por Spam, Phishing, Spear Phishing, telefonemas, aplicativos de mensagens instantâneas e até presencialmente - que devido ao crescente avanço tecnológico e a possibilidade de ser feito sem um conhecimento técnico sobre tecnologia da informação acabou se tornando comum.
Acredita-se que os ataques por Engenharia Social tenham se popularizado com os feitos do americano Kevin Mitnick, um especialista em cibersegurança que possui uma extensa lista de crimes de roubo de informações e acessos não autorizados a grandes empresas. Em 2013, Mitnick publicou o seu livro denominado “The Art of Deception: Controlling the Human Element of Security”, no qual ele conta como conheceu a técnica na década de 70 e a utilizava associada ao hacking para fazer seus estragos.

A ANATOMIA DOS ATAQUES POR ENGENHARIA SOCIAL

Por ser uma técnica que está sempre em constante evolução, e que atinge o elo mais fraco da segurança (que são as pessoas), fica difícil descrever um modelo de fases que sirva para todos os casos. Acredita-se, porém, que o mais comum seja o do próprio Mitnick, exposto no livro como um ciclo de ataque que possui 4 fases na seguinte ordem: pesquisar, desenvolver uma relação de confiança com a vítima, explorar essa confiança e utilizar a informação.

Imagem contendo 4 caixas interligadas por setas formando o ciclo de ataque de engenharia social de Kevin Mitnick

Vale ressaltar que, dentro do modelo citado acima ainda existem diversas variáveis que configuram e constituem um ataque. Alguns exemplos são:
Modelo de ataque: Comunicação direta ou indireta.
Atacante: Sozinho ou com a ajuda de outras pessoas.
Alvo: Individual ou uma organização.
Objetivo: Ganho financeiro, sabotagem ou acesso não autorizado.
Meio: Presencial, Pagina da Web, E-mail, mensagem por WhatsApp/SMS ou telefonema.
Técnicas: Pretexto, Phishing, com isca ou dar algo em troca de outra coisa (Quid Pro Quo).
Princípios de Conformidade: Autoridade, amizade ou ligação, reciprocidade, escassez, compromisso ou consistência.
O atacante pode não somente associar o ataque a uma dessas variáveis, mas sim a diversas outras combinações. Tudo dependendo do estudo realizado do que ele julga ser o ideal para explorar uma vulnerabilidade, seja ela social ou tecnológica.

O PERIGO DE UM ATAQUE CERTEIRO POR ENGENHARIA SOCIAL

Agora que já foi apresentado a origem e o funcionamento da Engenharia Social, podemos partir para o caso da Rockstar, que evidencia os perigos do uso deturpado dessa ferramenta.
Retomando o que introduzimos inicialmente, ainda sobre o caso da Rockstar, embora não tenha sido mencionado pelo hacker a forma como se deu o acesso não autorizado na plataforma Slack (aplicativo de mensagens instantâneas desenvolvido para comunicações profissionais e organizacionais) da empresa, acredita-se que tenha sido utilizada da mesma forma com que foi a violação da Uber, na qual o próprio hacker comentou ter conseguido acesso às credenciais de login utilizando Engenharia Social e se passando por um funcionário de T.I, para ter acesso à rede interna e escalonar ainda mais suas chances de ataque. O que, sem sombra de dúvidas, gerou prejuízos altíssimos para as duas empresas, pois qualquer informação acerca do desenvolvimento de um jogo é extremamente controlada e mesmo qualquer indicio de invasão a plataformas internas já é o suficiente para gerar perda de credibilidade no mercado - que induzem a queda nas ações, além de aumentar ainda mais a chance de novos golpes atrelados aos dados acessados e que possivelmente foram expostos.
Assim, fica o exemplo do quão frágil pode ser uma segurança que não prioriza o fator humano, uma vez que não basta proteger somente o seu sistema, há ainda a necessidade de realizar treinamentos direcionados aos seus funcionários, pois uma simples senha anotada em um quadro ou fixada como lembrete no monitor já é o suficiente para expor uma organização e potencializar um possível golpe.

Por fim, espero ter demonstrado um pouco sobre a origem, anatomia e os perigos dos ataques por Engenharia Social e as dificuldades em se prevenir de ameaças cada vez mais modernas. E ainda, alertar sobre a importância do investimento no estudo de algumas táticas usadas por esses criminosos, pois a melhor defesa, nesses casos, é poder reconhecer possíveis ameaças.
Sintam-se livres para compartilhar em nosso Discord quaisquer ideias sobre o tema. Bons estudos e até mais!!!

Referências e links úteis:

“The Art of Deception: Controlling the Human Element of Security” - Kevin D. Mitnick.

http://thehackernews.com/2022/09/london-police-arrested-17-year-old.html

http://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar-games/?sh=15d283e7451c

http://g1.globo.com/tecnologia/noticia/2022/09/19/uber-diz-que-hacker-nao-acessou-dados-de-usuarios-mas-baixou-mensagens-de-funcionarios.ghtml

http://www.theverge.com/2022/9/19/23361511/uber-hack-blame-lapsus-gta-vi-rockstar

http://en.wikipedia.org/wiki/Social_engineering_(political_science)

http://blog.avast.com/pt-br/weakest-link-in-security-avast

Matheus Garcia Escobar

Opa, como vocês estão??? Espero que estejam bem.

Nesta edição do PET Redação, trago a vocês um assunto que tem dado muito o que falar, o BlockChain. Apesar de Blockchain e Bitcoin serem assuntos diretamente interligados, tentaremos não entrar muito no Bitcoin nessa redação, mas sim em umas das tecnologias mais inovadoras do último século, que é a arquitetura de base de dados. Mas e aí, vocês sabem de onde surgiu, o que é, e como funciona o BlockChain?

DE ONDE SURGIU?

Alguns de vocês devem conhecer essa tecnologia através da ideia de implementação que o pseudônimo de Satoshi Nakamoto trouxe em 2008 (Bitcoin: A peer-to-peer electronic cash system). Porém, o primeiro esboço dessa invenção e que trouxe elementos utilizados no atual BlockChain deu-se em 1979, através de David Chaum no trabalho de “sistemas de cofres” criptográficos. Esses elementos por sua vez, foram aplicados posteriormente na solução que os amigos W. Scott Stornetta e Stuart Haber desenvolveriam em 1991, com a finalidade de transpor o escândalo gerado pela fraude de um artigo de biologia, onde os resultados foram alterados com o uso de uma tinta especial.

Com isso, Stornetta e Haber desenvolveram um sistema mais parecido com o BlockChain que hoje conhecemos, um sistema de registros digitais com carimbo data/hora, imutável, e possui blocos de informações atrelados e criptografados.

Servindo então de alicerce, conforme mencionado por Nakamoto em seu artigo, para a formulação da ideia de transações financeiras digitais, que evitam o gasto duplo mediante à auditoria dos “usuários mineradores” com o uso da BlockChain. Fazendo com que o funcionamento se baseie no consenso de mais de 50% da rede para aprovar a execução da inserção, funcionando assim, descentralizadamente e entre pares, ou seja, distribuídas em diversos computadores, não necessitando de um intermediário.

COMO EVOLUIU?

Você já deve ter tido uma ideia de como esse assunto operou e evoluiu após a contextualização da história do BlockChain, mas “bora” conhecer mais a fundo como realmente aconteceu essa evolução?

Dá para dizer que essa evolução se iniciou com David Chaum por meio da sua dissertação em 1982, que propôs todos os elementos que compõem o BlockChain atual, como o estado de consenso entre os nós, o encadeamento do histórico do consenso em blocos, o registro da data e hora dos dados encadeados de forma imutável, com exceção do “Proof-Of-Work (PoW)” que mais tarde seria apontado por Nakamoto. Chaum descreveu cada função e apresentou o seu plano de código para implementar tal protocolo, e através de uma ilustração demonstrou o mecanismo de mudança de estado dos nós, que não foi colocado em prática, mas que seria utilizado pelos próximos pesquisadores.

Fonte: http://www.chaum.com/publications/chaum_dissertation.pdf

Como dito anteriormente, apesar de já ter sido discutida de forma superficial, a proposta de um carimbo confiável de data/hora ainda não tinha sido consolidada e implementada, ficando o trabalho ao Stornetta e Haber. Que através dos conhecimentos da época desenvolveram o seu funcionamento com intuito de provar a veracidade de dados sem que pudessem ser fraudados com mudança de datas, ficando oficialmente solidificada pela primeira vez na literatura pelos dois amigos. Formando assim a ideia de criação e checagem do dado através do esquema abaixo:

Fonte(adaptada): http://en.wikipedia.org/wiki/Trusted_timestamping

Fonte(adaptada): http://en.wikipedia.org/wiki/Trusted_timestamping

Surgiu então, logo após a crise financeira de 2008, e através da proposta de uma moeda eletrônica, o tão famoso BlockChain que atualmente conhecemos. Mas o que Nakamoto trouxe de diferente?

Com a ideia de total descentralização promovida pelo criador, surgiria um potencial perda de segurança nos carimbos de data e hora colocados nos nós, pois o que antes era passado a uma específica autoridade da rede agora ficaria na mão de todos. No entanto, Nakamoto transpôs esse problema atribuindo um tempo curto à criação de cada bloco, que conforme descrito pelo mesmo, a adesão de inúmeros utilizadores e o curto tempo na geração dos blocos, elevaria o custo computacional para se alterar uma hash vinda de blocos com mais de 2 horas de criação, o que tornaria impossível uma ameaça de fraude, que além da modificação temporal deveria ainda ter o consenso de mais da metade dos usuários.

E como forma de incentivar a contribuição e o ingresso de mais membros à rede, trouxe o “Proof-Of-Work” que é a forma onde une-se a bonificação na moeda eletrônica pelas operações realizadas com o aumento integridade da rede, onde os mineradores se esforçam para serem os primeiros a criar o bloco referenciado pelo bloco anterior e receberem a maior quantia.

COMO ATUALMENTE FUNCIONA E SUAS APLICAÇÕES?

Para finalizar, vocês já devem ter entendido onde o BlockChain chegou depois das evoluções e conseguem imaginar suas possíveis aplicações, não é mesmo? Mas vamos ao que interessa!

A atual face do BlockChain é a união das práticas mencionadas anteriormente e que podem ser vistas com o exemplo a seguir:

Como é possível observar na figura, o nó é “repartido” em cabeçalho e informações armazenadas, sendo o primeiro responsável por cuidar da identificação e endereçamento do bloco. E seus itens são:

ID/NR do bloco: Que é o identificador do bloco

Hash do bloco: Gerada através do uso da árvore Merkle dos dados contidos no bloco

Hash do anterior: Endereço recebido para acesso do bloco anterior

Carimbo Data/Hora: Que mostra quando o bloco foi gravado na BlockChain - Timestamp

Nível de dificuldade: É o componente mais importante do PoW e conhecido como valor nonce (number only used once) que é um código aleatório com um campo de 32bits e que só pode ser usado apenas uma vez, servindo como uma chave de autorização à gravação do bloco. São realizados inúmeros cálculos baseados no nonce até que se chegue no resultado correto para se ter autorização do registro do bloco, o que serve para garantir que ataques por repetição sejam impossíveis, já que o hash é formado por um número não reutilizado.

Já suas aplicações percorrem diferentes áreas do conhecimento, podendo ser utilizada em Sistemas Financeiros - com moedas digitais e removendo mediadores nos sistemas de pagamentos-, nos Contratos Inteligentes - com o auxílio de inteligência artificial para desburocratizar e gerar maior confiabilidade-, na Educação - para gerar certificados com credenciais livres de fraudes-, por parte do Governo - na geração de identidades e documentos pessoais únicos - e na Saúde - para o armazenamento de registros médicos e que requerem segurança e sigilo.

Por fim, espero ter demonstrado o grande potencial do protocolo BlockChain e a evidência de que estamos somente no início das inúmeras coisas que podem vir com o uso dessa tecnologia. Deixe sua imaginação fluir e sinta-se livre para compartilhar em nosso Discord as ideias de uso para a ferramenta e as possíveis mudanças que poderão acontecer nos próximos anos. Bons estudos e até mais!

Referências:

• http://en.wikipedia.org/wiki/David_Chaum
• “Computer Systems Established, Maintained, and Trusted by Mutually Suspicious Groups,” D. Chaum, Dissertation, Computer Science, UC Berkeley, June 1982 -http://www.chaum.com/publications/chaum_dissertation.pdf
• On the Origins and Variations of Blockchain Technologies - Alan T. Sherman, Farid Javani, Haibin Zhang, and Enis Golaszewski - http://www.chaum.com/publications/Origins%20of%20Blockchain%2008674176.pdf
• Haber, S., Stornetta, W.S. How to time-stamp a digital document. J. Cryptology 3, 99–111 (1991).
• http://en.wikipedia.org/wiki/Trusted_timestamping
• http://www.forbes.com/sites/vipinbharathan/2020/06/01/the-blockchain-was-born-20-years-before-bitcoin/?sh=3e3b7f1f5d71
• Nakamoto, Satoshi (24 May 2009). "Bitcoin: A Peer-to-Peer Electronic Cash System"

- Matheus Garcia Escobar

O que é?

reCAPTCHA é um serviço de CAPTCHA atualmente mantido pela empresa Google e consiste em uma aplicação do teste de Turing, que tem como objetivo gerar desafios que são impossíveis para uma máquina resolver, mas que a maioria dos seres humanos consegue. O termo CAPTCHA é uma sigla inglês para “Teste de Turing Público Completamente Automático para Diferenciar Humanos e Computadores”.

Evolução do ReCAPTCHA

Os primeiros CAPTCHAs surgiram nos anos 90, para impedir que bots introduzissem URLs à ferramenta de busca do site AltaVista. Em 2008, o processo foi atualizado para um tipo de desafio onde os usuários precisavam digitar palavras que apareciam em uma imagem distorcida. Esse método foi idealizado pela empresa reCAPTCHA e também ajudava a decodificação de arquivos digitalizados que estavam presentes na internet, isso funcionava utilizando um processo automático que digitaliza obras em formato digital, porém, muitas vezes o computador não conseguia entender algumas palavras que estavam escritas em livros mais antigos, essas palavras então eram direcionadas para o CAPTCHA onde as pessoas, ao digitar as palavras distorcidas ajudavam o computador a entender como era escrita cada palavra e assim era possível realizar com precisão a digitalização das obras. 

Para saber se a palavra estava correta ou não, eram disponibilizadas duas palavras, uma que o computador sabia e outra que ele não sabia. Quando o usuário acertava a palavra que o computador sabia, ele automaticamente entendia que a outra também estava correta.

Esse método de CAPTCHA não foi extinto, porém, com o passar do tempo, bots foram conseguindo decifrar os desafios porque foi descoberto que as palavras eram enviadas do servidor sem nenhum tipo de alteração e quando chegavam no computador do usuário era feita essa distorção, então, os bots procuravam essa imagem sem distorção e assim conseguiam burlar o sistema, que acabou gerando combinações de palavras cada vez mais confusas e impossíveis de serem decifradas até mesmo por um humano.

ReCAPTCHA 2.0

Em 2014, a Google evoluiu o sistema para o que foi chamado de reCAPTCHA 2.0, nesse novo método de verificação, uma caixa de seleção escrita “Eu não sou um robô” é mostrada para o usuário que só precisa clicar que já terá sua verificação concluída. 

Apesar de simples, esse método se mostrou mais eficaz do que o antigo, pois o sistema usa o movimento do mouse para determinar se é uma pessoa ou um robô que está realizando o teste, um robô tende a ir diretamente para a caixa de seleção, já um ser humano possui movimentos mais erráticos e imprecisos. Caso o sistema ainda suspeite que seja um robô que está realizando o desafio, outra verificação é solicitada, onde um retângulo com diversas imagens é mostrado, e é pedido ao usuário que selecione todas as imagens que contenham um item específico.

NoCaptcha

Mais uma evolução do sistema foi feita em 2017, nomeada de NoCaptcha, essa versão não mostra mais nenhum teste para o usuário, basicamente o próprio robô prova que o usuário não é um robô, isso é possível pois é utilizado análise avançada de risco e machine learning. Mas, quando o sistema não consegue identificar se você é ou não um robô, é preciso voltar ao de selecionar imagens. 

- Guilherme Garcia

O projeto de pesquisa “Direito digital e cibersegurança: direito à privacidade e proteção de dados pessoais” está com inscrições abertas até o dia 10 de julho para estudantes do curso de Direito.