Previsões para os anos futuros sempre me intrigaram. Quando criança, adorava assistir às entrevistas de videntes na TV, especialmente em dezembro, onde faziam previsões detalhadas para o próximo ano. Isso ficava na minha mente por um bom tempo, e eu costumava tentar relacionar as previsões com os eventos que aconteciam durante o ano.
Com o tempo, percebi que as previsões dos videntes não eram tão detalhadas quanto pareciam. Muitas vezes, eram abrangentes para que, de alguma forma, se materializassem. Além disso, videntes gostavam de prever catástrofes, pois, mesmo naquela época, viralizavam mais do que previsões otimistas. Não acredito em algo como “A IA roubará seu emprego em 2024” e não gostaria de ver meu nome em um artigo intitulado “Consultor de Segurança Brasileiro aposta que as máquinas dominarão a humanidade em 2024”.
Como profissional de segurança, lido diariamente com a possibilidade de eventos catastróficos. Conhecer riscos e ameaças é crucial para construir defesas. O que trago para discussão são possibilidades reais a serem observadas nos próximos meses no cenário de cibersegurança.
Prever cenários futuros em cibersegurança está longe do trabalho de um vidente e de conceitos esotéricos. O mercado tecnológico mostra indícios de preferências e comportamentos enquanto um olhar crítico sobre os caminhos que o “business” global está tomando, nos apontam um caminho racional sobre
o que esperar. Costumo adicionar a essa receita um pouco de informação sobre geopolítica e tendências de comportamento social. Em um compilado final do ano de 2023, trago o que vislumbro para os próximos meses no nosso querido, às vezes odiado, cenário de cibersegurança mundial.
A navalha da Inteligência Artificial
A Inteligência Artificial conquistou de maneira determinante o cenário global em 2023. Embora a mídia mainstream a trate como uma grande novidade, o tema já é familiar, principalmente nas esferas científicas da computação, há mais de meio século, graças aos preceitos formulados pelo matemático britânico Alan Turing.
Da teoria à prática, vivemos atualmente a era da IA como uma ferramenta real, viável e, por que não dizer, quase indispensável, para diversos fins, incluindo a cibersegurança. Após o destaque midiático, o ano de 2024 promete eventos significativos relacionados ao uso da Inteligência Artificial, seja de maneira construtiva ou destrutiva.
Ataques contra sistemas de Inteligência Artificial
É inegável que a Inteligência Artificial (IA) está transformando de modo irreversível a paisagem da cibersegurança em praticamente todos os cenários tecnológicos. A disseminação de sistemas de IA torna esses ativos mais comuns no ambiente tecnológico. Além disso, o fato de que os dados e informações são o combustível da IA, muitas vezes chamado de “o novo petróleo”, cria um alvo altamente desejado para os atacantes.
No decorrer de 2024, é certo que ouviremos falar de vazamentos de dados relacionados à IA, possivelmente resultantes de explorações específicas, como Data Poisoning, Byzantine Attacks, Model Extraction e Evasion Attacks, ou até mesmo de explorações de vulnerabilidades mais tradicionais, como Injeções SQL, Brute Force, Shell Shock, etc
Pode parecer estranho que uma tecnologia tão revolucionária esteja sujeita a vulnerabilidades antigas, como uma injeção SQL, não é? Na realidade, os mecanismos de IA, “por debaixo do capô”, são apenas software, assim como qualquer outro. Portanto, os princípios de arquitetura e qualidade de software também são aplicáveis (e extremamente desejáveis) em projetos de IA.
A IA como ferramenta de defesa cibernética
Não arriscaria prever uma revolução na forma como protegemos nossos ativos tecnológicos no próximo ano, mas posso afirmar que abordaremos os paradigmas existentes de maneira muito mais proativa com o uso da IA.
Um dos grandes trunfos da Inteligência Artificial é sua capacidade de analisar volumes enormes de dados e tomar decisões baseadas em critérios ou aprendizado. Com essa premissa, 2024 verá um mercado mais prolífico de ferramentas de defesa cibernética integradas com IA.
Ferramentas de endpoint, por exemplo, com análise comportamental, não são novidades hoje, mas estão prestes a escalar sua funcionalidade para níveis ainda maiores, tornandose mais proativas. A proteção para sistemas de defesa de borda, como Web Application Firewall (WAF), que às vezes lidam com volumes gigantescos de requisições, tende a se tornar mais resiliente e eficiente, filtrando tráfego mais intenso em um tempo muito menor.
Os blue teams e squads de defesa serão beneficiados com evoluções significativas em ferramentas SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response), reduzindo os tempos de resposta a incidentes e tornando as tarefas de análise mais eficientes.
A IA como ferramenta de ataque
Qualquer ferramenta criada pelo ser humano pode ser usada para fins legítimos ou escusos, e com a IA não é diferente. Tudo depende de quem está operando a ferramenta. Enquanto um dos gumes da navalha da IA nos brinda com um salto tecnológico que não se via há tempos, o outro gume semeia uma preocupação que tende a se destacar em 2024: o uso de inteligência artificial em ataques cibernéticos.
Basicamente, o viés da ferramenta de IA voltada para o ataque cibernético segue a mesma lógica utilizada para defesa. A capacidade de lidar com grandes volumes de informação e tomar decisões torna-se mais evidente no cenário de ataque. Em 2024, testemunharemos o uso de Inteligência Artificial para ataques direcionados, gerando conteúdo fraudulento mais convincente (possivelmente aproveitando Redes Neurais e LLM), além de observarmos um aumento significativo na automação de processos de invasão, descoberta de vulnerabilidades e quebra de segredos.
Isaac Asimov
“I, Robot”; 1950 (As três leis da robótica)
Um robô não pode ferir um ser humano ou, por inação, permitir que um ser humano sofra algum mal.
Um robô deve obedecer às ordens dadas por seres humanos, exceto quando tais ordens entrem em conflito com a Primeira Lei.
Um robô deve proteger sua própria existência, desde que tal proteção não entre em conflito com a Primeira ou Segunda Lei.
Ciberguerra: A tecnologia no front de batalha
A guerra cibernética emerge como um campo de batalha no cenário digital, destacando-se como uma das principais preocupações para a segurança global no século XXI. Utilizando tecnologia da informação e redes de computadores, esse tipo de conflito envolve ações agressivas entre nações ou grupos organizados. Seus alvos podem abranger desde infraestruturas críticas até sistemas financeiros, dados governamentais confidenciais e informações pessoais de cidadãos. Ao contrário das guerras convencionais, a guerra cibernética pode ser conduzida remotamente, o que complica a identificação dos agressores.
A ciberguerra tem evoluído em sofisticação, sendo os malwares avançados sua principal munição, exemplificado pelo StuxNet, pioneiro na categoria. O surgimento de técnicas como deepfake e inteligência artificial amplia as possibilidades de desinformação e manipulação, criando um ambiente de incerteza e desconfiança entre nações.
A ideia de unidades militares treinadas em ciberguerra é um fato consolidado, e grande parte das forças armadas mundiais possuem divisões especializadas nesta área, incluindo o Brasil, que conta com o COMDCIBER – Comando de Defesa Cibernética, sediado em Brasília.
Além do aspecto técnico, a guerra cibernética possui um forte componente psicológico e estratégico. Campanhas de desinformação e operações psicológicas frequentemente são empregadas para influenciar a opinião pública, desestabilizar governos e fomentar a discordância social. Essas táticas, aliadas a ataques diretos a infraestruturas críticas, estabelecem um cenário onde a distinção entre guerra e paz se torna tênue.
Para 2024, é previsível que a guerra cibernética se torne ainda mais evidente, complexa e intrincada. O cenário geopolítico atual, com tensões acontecendo ao redor do globo, irão reforçar o emprego de táticas de guerra aplicadas ao espectro tecnológico.
Com a contínua evolução da inteligência artificial, antecipa-se que os ataques cibernéticos se tornem mais autônomos e sofisticados, capazes de aprender e adaptarse de maneira mais eficaz. A crescente integração do mundo digital com o físico, especialmente com o avanço da Internet das Coisas (IoT) e “wearables”, ampliará significativamente o espectro de alvos potenciais.
Em 2024, veremos a frequência e a gravidade dos ataques a infraestruturas críticas, como redes elétricas e sistemas de comunicação, não apenas no conceito de “Supply Chain Attack”, mas como uma ferramenta de guerra.
Respostas a essas ameaças são esperadas. Antecipa-se um fortalecimento das alianças cibernéticas internacionais e um aumento nos investimentos em segurança cibernética por governos e organizações privadas. Além disso, a regulamentação e o estabelecimento de normas internacionais para atividades cibernéticas podem emergir como necessidades cruciais para equilibrar o campo de jogo e evitar escaladas de conflitos no ciberespaço.
“Nenhum homem é uma ilha isolada; cada homem é uma parte do continente, uma parte do todo; se um torrão de terra é arrastado para o mar, a Europa fica menor, comose fosse um promontório, como se fosse a casa de teus amigos ou a tua própria; a morte de qualquer homem me diminui, porque sou parte da humanidade; e por isso, nunca pergunto por quem os sinos dobram; eles dobram por ti.”
John Donne, Devotions upon
Emergent Occasions, 1624.
Ataques a cadeia de suprimentos: derrotando gigantes com estilingues
O poeta inglês John Donne expressou que “nenhum homem é uma ilha”, ilustrando a interconexão e dependências que permeiam nossa sociedade. Empresas, assim como indivíduos, estabelecem conexões e relacionamentos para atingir objetivos específicos.
O fato é que todo mudo é dependente, em algum grau e de alguma forma, de algum produto, serviço ou ativo. Seja uma dependência corriqueira, como depender de um supermercado aberto para comprar leite em um domingo à tarde, ou de uma relação mais complexa, como depender do fornecimento de Euxenita para confeccionar vidros para o mercado da aviação militar.
No âmbito corporativo, empresas desenvolvem uma série de parcerias para viabilizar seus negócios e constroem uma “cadeia de suprimentos” (Supply Chain). Esse sistema de relações inclui ofornecimento de serviços ou produtos cruciais para a realização dos objetivos de ambas as partes.
No âmbito das atividades de hacking, quando o objetivo é comprometer as operações de um alvo, nem sempre um ataque direto é viável. Surge então a estratégia dos “Supply Chain Attacks”, que visa comprometer fornecedores para impactar as operações do alvo principal.
No mundo interconectado atual, a cadeia de suprimentos global tornou-se um ponto vulnerável para grandes corporações, funcionando como um moderno “Golias”. Altamente complexa e suscetível, enfrenta ameaças constantes de ataques segmentados, coordenados e estratégicos, semelhantes aos estilingues usados por David na narrativa bíblica. Esses ataques, embora nem sempre direcionados ao alvo final, têm o potencial de derrubar gigantes da indústria.
O recente ataque cibernético à Colonial Pipeline nos EUA exemplificou como uma ação pontual pode desencadear um efeito cascata em uma cadeia de suprimentos nacional. De forma semelhante, a escassez global de semicondutores, agravada por incêndios em fábricas e a pandemia da COVID, evidenciou como vulnerabilidades em um ponto crítico podem ter consequências globais, se exploradas.
Ao projetar o cenário para 2024, é esperado um aumento nos ataques direcionados às cadeias de suprimentos. Grandes corporações já alocaram recursos substanciais em seus orçamentos anuais para fortalecer a segurança cibernética, transformando-se em verdadeiras fortalezas digitais com defesas sólidas. Apesar disso, esses gigantes permanecem vulneráveis. Transpor suas defesas é quase impossível, assim como enfrentar os formidáveis desafios que se apresentam (similar à abordagem de Davi ao Golias, atacando de longe com pequenas pedras).
Com a crescente adoção de serviços digitais, APIs e a dependência de sistemas automatizados, é provável que assistamos a um aumento de campanhas de ataques direcionados a pontos críticos específicos. Esses ataques não apenas podem interromper a produção e distribuição de produtos em setores específicos, mas também comprometer a segurança de dados sensíveis.
Em resposta a esse cenário, o ano de 2024 verá corporações adotando uma abordagem mais analítica e proativa. Isso incluirá a implementação de padrões mais robustos em segurança cibernética, diversificação, qualificação e auditorias de fornecedores, bem como maior transparência nas cadeias de suprimentos. Além disso, a colaboração entre empresas e governos será crucial para desenvolver estratégias eficazes de mitigação de riscos.
Em resumo, os ataques às cadeias de suprimentos representam uma ameaça significativa para grandes corporações, assim como implicam riscos para a população em geral (pense em um comprometimento no fornecimento de energia elétrica). A adoção de estratégias inovadoras e colaborativas será essencial para fortalecer a defesa contra os “estilingues modernos” que exploram essas vulnerabilidades. À medida que nos aproximamos de 2024, a capacidade de adaptação e reação a esses desafios determinará quais “Golias” prosperarão e sobreviverão na era digital.
A ameaça profunda do Deep Fake
O termo “Deep Fake” é a combinação das palavras “deep learning” (aprendizado profundo) e “fake” (falso), referindo-se a uma técnica de inteligência artificial que possibilita a criação de vídeos ou áudios falsificados, dando a impressão de terem sido gravados com pessoas reais. O potencial destrutivo dessa técnica é considerável, e acredito que uma demonstração seja mais eficaz.
No vídeo, temos Anderson Cooper, âncora e jornalista da CNN Americana. À esquerda, vemos Cooper realizando suas atividades normais na CNN, enquanto à direita, temos o resultado da aplicação das técnicas de Deep Fake sobre o mesmo vídeo, criando um discurso que, na realidade, nunca foi proferido por Cooper. Você conseguiria identificar que o diálogo à direita não é autêntico? (Eu, pessoalmente, não conseguiria).
O Deep Fake tem um approach um pouco diferente de vetores e ferramentas de ataque puramente tecnológicas, que visam dados e estruturas computacionais. Ele atinge diretamente as esferas sociais e legais, trazendo à tona questões sobre consentimento, ética, direitos autorais, uso de imagem e difamação, alimentando o debate sobre a utilização dessa ferramenta e seus limites.
Em 2024, com certeza, testemunharemos novos eventos envolvendo a técnica de Deep Fake. Isso se deve não apenas à rápida evolução e popularização da IA, mas principalmente ao poder que essa técnica confere à engenharia social e à confiança pública. Algumas previsões para o próximo ano incluem:
CAMPANHAS DE DESINFORMAÇÃO:
Durante a Primeira Guerra Mundial, a técnica de “Airborneleaflet propaganda” começou a ser utilizada como recurso de guerra psicológica. O processo era simples: aeronaves despejavam milhares de panfletos atrás das linhas inimigas, contendo informações destinadas a desestabilizar o inimigo, incluindo notícias falsas e textos intimidativos visando à rendição.
O Deep Fake se assemelha muito a essa abordagem, buscando desestabilizar pessoas, instituições e até mesmo sistemas de governo. Vídeos forjados de líderes de estado, presidentes de grandes corporações ou mesmo influenciadores digitais em ascensão certamente serão divulgados, acarretando prejuízos tanto financeiros quanto relacionados à imagem.
FRAUDES:
Em 2024, é previsto que sistemas que utilizam biometria para autenticação de identidades sofram uma exploração intensiva por Deep Fakes. Naturalmente, os sistemas biométricos possuem mecanismos voltados à detecção desses tipos de ataques, ao passo que os agressores trabalham arduamente para contorná-los, seguindo a dinâmica típica de evolução em tecnologias de proteção.
Dessa forma, haverá desenvolvimento contínuo em ambos os campos: enquanto os criadores de Deep Fake trabalharão para tornar suas criações mais realistas, os desenvolvedores de sistemas de biometria continuarão aprimorando métodos para detectar e prevenir fraudes. Será uma espécie de corrida armamentista entre a criação de falsificações cada vez mais convincentes e o desenvolvimento de sistemas de segurança mais robustos.
CYBERBULLYING:
Já são relatados alguns casos de cyberbullying atualmente, mas, novamente, com a popularização da IA, esse tipo de ataque certamente aumentará sua presença em 2024. Esses ataques podem ter consequências devastadoras para os alvos, seja no âmbito pessoal, financeiro ou psicológico. No exemplo que abre este tópico, trouxe um vídeo com uma manipulação da imagem de Anderson Cooper que, por se tratar de uma amostra das capacidades de uma ferramenta, foi feito com o consentimento de Cooper. Não é difícil imaginar as possibilidades nocivas que esse grau de manipulação pode trazer se a ética e o bom senso não forem empregados
Wrap Up
Nunca é e nunca será simples lidar com segurança cibernética. É literalmente uma eterna luta entre o atacante e o defensor, ambos tentando incansavelmente se antecipar ao seu oponente em meio a um mar quase incontável de variáveis (tempo, custo, tecnologias, normas, regulamentos, leis, etc).
O ano de 2023 foi o ano onde vimos a IA se estabelecer como ferramenta tangível e que invariavelmente será parte do dia a dia de todos nós, direta ou indiretamente. Eu diria que o ano que passou, em relação a IA, foi algo como “uma degustação” do que é possível se alcançar com essa tecnologia. O ano de 2024 será definitivamente o período em que começaremos a ver, na prática, o emprego de IA em cenários que, até agora, apenas conjecturamos a respeito, sejam eles éticos ou não.
E quando falamos em ética, uma última previsão para o ano vindouro é que participaremos, e muito, de discussões sobre os limites da IA e até onde podemos (ou devemos) ir com essa tecnologia. Regulamentos e normas devem nascer ao redor mundo para que possamos tirar proveito desta tecnologia de uma maneira adequada.
Em tempo, na última semana (09/12), o Parlamento Europeu chegou ao primeiro veredito regulatório sobre Inteligência Artificial.