Os algoritmos por trás da ferramenta de reconhecimento facial estão cada vez mais precisos. Como isso influenciará na nossa privacidade?

Tanto Facebook e Google tem trabalhado duro em usar computadores e algoritmos para identificar pessoas em fotos. E eles ficaram realmente bons nisso. 

Nós ainda não sabemos o que eles vão fazer com essa tecnologia. E em um grau mais elevado, isso depende de nós. Mas primeiramente, vamos entender o que já é possível.

Por que o Facebook não precisa "ver" o seu rosto? O Facebook é uma das maiores companhias líderes mundiais em desenvolver algoritmos de reconhecimento facial. 

O software da rede social agora consegue identificar pessoas em fotografias assim como pessoas o fazem. 

O chamado DeepFace do Facebook (não, não estou brincando, é chamado mesmo de DeepFace)  pode nos dizer se duas pessoas em duas fotografias diferentes são a mesma pessoa, com precisão de 97%. Uma taxa ainda melhor do que próprio sistema de identificação do FBI, para se ter uma ideia. 

O DeepFace alcança esta proeza incrível, analisando rostos, transformando-os em modelos 3D, para depois reconhecer os rostos a partir de ângulos e sob condições de iluminação que são diferentes daquelas em outras fotos da mesma pessoa. 

A tecnologia usa mais de 120 milhões de parâmetros. Uma página no site do Facebook explica que a empresa "treinou tais algoritmos no maior conjunto de dados faciais, um conjunto de quatro milhões de imagens faciais pertencentes a mais de 4.000 identidades." 

Mas isso não é suficiente para o Facebook. A companhia quer ser capaz de reconhecer pessoas mesmo quando seus rostos não estão aparecendo. Para tais fins, pesquisadores estão desenvolvendo um sistema que presta atenção a detalhes como estilo do cabelo, medidas corporais, postura, roupas e por aí vai. 

Por ora, o Facebook já consegue reconhecer pessoas cujos rostos não estão aparecendo com uma taxa de precisão de 83%. 

Significativamente, a empresa tentou evitar apavorar as pessoas com esta pesquisa ao desenvolver o algoritmo usando fotos do Flickr ao invés de fotos do próprio Facebook. 

E bem, enquanto a habilidade do Facebook em reconhecer pessoas é surpreendente, a do Google também é. 

Como o Google identifica você sem identificar... você

Todos aqueles que estiveram presentes na conferência do Google I/O no mês passado reagiram com "oohs" e "ahhs" quando a gigante de buscas anunciou seu mais novo Google Photos. 

Na verdade, nós usuários do Google+ temos apreciado essa capacidade por anos. O motor de buscas do Google Photos consegue não apenas dizer a diferença entre gatos e cachorros, mas também identificar raças de cães e executar outras façanhas de busca que parecem impossíveis. 

O sistema consegue até mesmo encontrar fotos com base em adjetivos que poderiam ser usados para descrever as imagens que retratam (veja a foto acima).

Por exemplo, quando eu procurei na minha própria coleção de fotos usando a palavra 'delicioso', o Google me mostrou centenas de fotos que eu tirei de alimentos e bebidas que eram, de fato, deliciosas. (A ferramenta também mostrou uma foto que eu tirei durante um safári no Masai Mara, no Quênia de uma chita que devora uma gazela - Eu acho que foi delicioso para a chita e o software Google de alguma forma sabia disso.)

Claro, que o sistema de buscas do Google Photos consegue encontrar pessoas quando você busca por elas. Fato é que quando você vai até a barra de buscas para selecionar, você é imediatamente apresentado a três opções: Pessoas, Lugares e Coisas. Quando você clica na opção "Mais" para a categoria "Pessoas", ele mostrará a você uma fotografia de cada pessoa que você já fotografou -- em ordem, a começar com as pessoas que você tira fotografias com maior frequência. 

Clique em alguma dessas fotografias pra ter todas as fotos dessa pessoa. Quando você faz isso, você perceberá alguma coisa interessante: Google Photos irá mostrar não apenas as fotografias onde o rosto da pessoa está claramente visível, mas também fotografias em que dificilmente se vê o rosto da pessoa em questão. 

Mas diferente da abordagem do Facebook, todas os resultados da busca por rostos no Google Photos são visíveis. Ou seja, eu não encontrei nenhuma foto onde uma pessoa estava de costas. 

É interessante notar que enquanto a tecnologia do Facebook - teoricamente - soe mais avançada, ela ainda está na fase de pesquisa e não foi lançada ainda, enquanto a ferramenta do Google já está pronta e disponível para todos gratuitamente.

O Google ainda não revela detalhes sobre como seu sistema funciona, mas provavelmente utiliza métodos muito similares ao do Facebook. 

Como o Facebook e o Google estão usando "identificação por associação" 

Antigamente, a tecnologia de reconhecimento facial era mais direta.  Ela analisaria literalmente rostos para buscar coisas como distâncias relativas entre as sobrancelhas e nariz, e entre a parte inferior das orelhas e do queixo.

Agora, a inteligência artificial por trás do reconhecimento facial do Facebook e Google reconhece pessoas como você e eu reconhecemos. 

Um exemplo, dadas imagens suficientes, ela de fato aprenderá sobre você. Assim, quando ela vê seu rosto em uma foto, ela também faz notas do ajuste, da iluminação, das roupas que você está vestindo, seu cabelo e muito mais. Quando você está de costas e seu rosto não está evidente, ela pode dizer: "Ah, esse é o Mike de costas." 

No caso do Google Photos, e provavelmente o Facebook no futuro, o reconhecimento facial irá também colher dados a respeito do engajamento social. 

E agora? 

Há três coisas importantes para observar sobre o tema. A primeira delas diz respeito a pesquisa e desenvolvimento na área da inteligência artificial para fins de reconhecimento facial. Ela continuará e bem, cada vez mais ela se mostrará avançada. 

É importante para o público entender a realidade do que é possível agora, e o que será possível no futuro. 

É só uma questão de tempo para que redes sociais, governo e outras organizações sejam capazes de identificar instantaneamente qualquer um de nós com alta probabilidade de usar qualquer foto, incluindo tomadas com webcams, câmeras de segurança em caixas eletrônicos e em outros lugares. 

Para se ter uma perspectiva do assunto, a tecnologia de reconhecimento facial estará disponível em mais de 28 milhões de dispositivos móveis e esse número deve aumentar para 123 milhões em 2024. 

A segunda coisa importante para se lembrar é que o surgimento dessa tecnologia não está relacionada - necessariamente - com a implementação ou abuso da mesma. Parece haver uma suposição de que é inevitável que a nossa privacidade seja rotineiramente violada no futuro. Mas isso não é necessariamente verdade. 

O desenvolvimento da tecnologia que consegue identificar pessoas o tempo todo é inevitável. Mas como vemos com o Facebook e Google, tal tecnologia não precisa ser usada para violar nossa privacidade. 

As duas companhias estão profundamente conscientes das preocupações do público e as potenciais conseqüências não intencionais de usar tal tecnologia em seu pleno potencial - pelo menos por agora. 

A Apple deixou claro durante a World Wide Developers Conference que é possível oferecer personalização sem violação de privacidade. 

O novo recurso da empresa, o Proactive coleta dados via Siri, e-mail, calendário e muito mais. No entanto, os dados nunca deixam o telefone e nunca estão associados a identidade de uma pessoa. Da mesma forma, não são levados para a nuvem ou em algum banco de dados permanente. A própria Apple não tem acesso a ela. 

É claro que não é inevitável que a personalização ou a tecnologia de reconhecimento viole completamente nossa privacidade. Na verdade, muitas das violações de privacidade atuais que acontecem através de nossos smartphones e computadores poderiam ser revertidas. 

O primeiro passo para que isso aconteça é que o público se torne mais preocupado a respeito da ligação entre o que é possível em termos de características e benefícios de um lado e o que é necessário em termos de violações de privacidade, por outro. 

O terceiro fato digno de nota é que a mesma tecnologia para reconhecimento facial também pode ser benéfica para a sua própria privacidade. Por exemplo, é possível que motores de busca, no futuro, possam alertar você quando algum tipo de abuso ou mau uso de de uma fotografia sua ocorre. Também é possível que esse tipo de tecnologia possa prevenir o roubo de identidade, que está se tornando cada vez mais problemático. 

O dia em que empresas como Facebook e Google serão capazez de reconhecê-lo em fotos com 99% de precisão, mesmo quando o seu rosto não esteja aparente, está se aproximando rapidamente. Essa capacidade pode levar a um mundo em que a privacidade é impossível. 

No entanto, o primeiro passo é entender o que é possível e se agarrar ao reino das implicações da tecnologia. O segundo nos leva a fazer perguntas, exigir respostas e falar em defesa da nossa privacidade. 

É fácil proclamar que a nossa privacidade está morta e enterrada. Mas ainda podemos desfrutar dos benefícios da tecnologia avançada, sem abrir mão de toda a nossa privacidade.

Fornecido por Mike Elgan, Computerworld (EUA)

Após polêmica na última semana, empresa sul-coreana confirmou que vai liberar os updates de segurança automáticos nos seus PCs.

Os donos de PCs da Samsung voltarão a receber updates de software automáticos da Microsoft em breve. Isso porque a Samsung anunciou no final de semana que vai parar de bloquear os Windows Updates automáticos nos seus computadores.

“Vamos soltar um patch por meio do processo de notificações Samsung Software Update para reverter de volta as configurações recomendadas do Windows Update em alguns dias”, afirmou a Samsung na sexta-feira, 26/6.

A empresa disse que estava comprometida em fornecer “uma experiência de usuário digna de confiança” e que valorize sua parceria com a Microsoft.

Essa é uma virada rápida dos acontecimentos da última semana, quando o pesquisador Patrick Barker informou a existência de um app chamado “Disable_Windowsupdate.exe” que roda nos PCs da Samsung como parte do serviço SW Update da companhia sul-coreana. Como o nome sugere, o programa desabilita as atualizações automáticas do serviço de patches da Microsoft, e exige que as pessoas instalem manualmente patches individuais se quiserem proteger seus PCs.

A Microsoft já disse que não recomenda que ninguém desabilite os updates automáticos do Windows, uma vez que eles fornecem patches de segurança atualizados e necessários para os usuários. Nos últimos, a Microsoft disse que estava em contato com a Samsung sobre a questão – agora, parece que a fabricante do Windows prevaleceu.

Quem ainda não tiver desinstalado o SW Update, terá suas configurações do Windows Update revertidas para aplicar as atualizações automaticamente quando a empresa liberar patches, da forma como a Microsoft recomenda.

Invasão de caixas eletrônicos, roubo por RFID, ataques a dispositivos médicos. Listamos casos que podem tirar o sono de muito profissional de segurança.


Qualquer dispositivo com capacidade computacional pode ser hackeado, mas nem todos os métodos de hacking se assemelham. Na verdade, em um mundo no qual dezenas de milhões de computadores são comprometidos por malwares todo ano, os ataques inovadores, que geram reflexão e surpresa, ainda são raros e espaçados entre si.

Esses ataques extremos se distinguem dos comuns, que vemos no dia a dia. Isso se deve tanto pelos alvos pretendidos quanto pelos métodos aplicados – antes desconhecidos, inutilizados ou muito avançados. São medidas que ultrapassam o limite do que os profissionais de segurança julgam ser possível, abrindo os olhos do mundo para novas ameaças e vulnerabilidades do sistema enquanto conquistam o respeito de seus adversários.

Entre algumas dessas iniciativas recentes e antigas, separamos dez que consideramos os mais impressionantes:

Caixa eletrônico

A maior parte dos caixas eletrônicos contém computadores com sistemas operacionais populares. Na maioria das vezes, rodam Windows ou alguma versão do Linux. É comum que esses sistemas incluam implementações de algum conhecido (como extensões em Java) por seus bugs e facilidade de ser hackeado. Para piorar, essas máquinas raramente são atualizados e as que são não seguem a periodicidade adequada.

Além disso, o sistema operacional dos caixas eletrônicos possui suas próprias vulnerabilidades, muitas de fácil exploração até poucos anos atrás. Os fabricantes enviam os caixas a seus clientes com senhas compartilhadas padrão e métodos comuns de acesso remoto, agravando ainda mais os riscos de segurança.

Naturalmente, eles orientam os destinatários a alterarem os padrões, mas poucos o fazem. O resultado é óbvio: cheios de dinheiro, os caixas são constantemente hackeados, tanto fisicamente quanto por suas portas de acesso remoto.

O mais infame dos hackers de terminais bancários foi Barnaby Jack, falecido em 2013. O cibercriminoso divertia as plateias de congressos de segurança quando levava máquinas comuns ao palco e as fazia expedir dinheiro falso em questão de minutos. Entre a vasta gama de truques dos quais dispunha, o mais comum se baseava em um pen drive com malware plugado nas entradas das máquinas, que não costumam ser protegidas mesmo com a recomendação dos fabricantes.

O software de Jack se conectava ao caixa através de uma porta de rede conhecida, usando acesso remoto para explorar uma vulnerabilidade que então comprometia completamente a máquina. Executando alguns comandos administrativos, o hacker instruía o caixa a liberar o dinheiro. Sempre seguidas de aplausos, as apresentações de Jack levaram à criação do termo “Jackpotting”, que batizou o método de hacking.

Marca-passo

Quando a tática de exploração de caixas eletrônicos foi descoberta pelos fabricantes dos terminais, Barnaby Jack voltou sua atenção aos dispositivos médicos. Suas demonstrações mais extremas incluíam o envio não autorizado e letal de choques a pacientes com marca-passos e dosagens extremas de insulina a diabéticos – tudo de uma localização remota.

A maioria dos aparelhos com fins medicinais são submetidos a um período de desenvolvimento, teste e certificação que duram entre cinco e dez anos antes de serem entregues a pacientes humanos. Infelizmente, isso significa que o software usado nos dispositivos não é atualizado durante todo esse tempo, colecionando uma sucessão de vulnerabilidades negligenciadas até ser introduzido ao mercado. Os fornecedores desses mecanismos costumam contar com a obscuridade de seus produtos como uma proteção artificial, a chamada “segurança por obscuridade”, visivelmente precária.

O quadro não aparenta estar melhorando. Em abril de 2014, o Wired publicou um artigo a respeito da facilidade de se hackear equipamentos hospitalares, em boa parte graças às senhas codificadas de forma padrão, que não podem ser alteradas.

É claro que os dispositivos médicos devem ser de fácil uso, continuando a operar mesmo caso sua segurança seja violada, mas isso dificulta sua proteção. Senhas customizadas mais longas, complexas e de mudança constante dificultam o uso dos aparelhos e, por isso, não são empregadas. Para agravar o quadro, quase toda a comunicação entre diferentes ferramentas não é autenticada ou criptografada.

Isso permite que qualquer hacker que tenha encontrado as portas certas leia e mude os dados dos aparelhos sem causar qualquer interrupção nas operações do dispositivo, de seu software de gerenciamento ou outros sistemas de interface (como registros médicos eletrônicos). Na verdade, a maioria das comunicações entre aparelhos médicos carece de soma de verificação da integridade básica de dados, o que facilmente identificaria a maioria das mudanças maliciosas.

O hacking de aparelhos médicos existe há, no mínimo, uma década e é comum que demonstrações a respeito sejam feitas em conferências, motivando a FDA (agência de saúde dos Estados Unidos) a emitir um aviso a respeito das vulnerabilidades. Os desenvolvedores de dispositivos médicos atualmente trabalham para preencher os buracos de fácil exploração, mas seu ciclo obrigatório de testes de longa duração ainda dificulta o devido combate aos problemas.

Fraude de cartões

A fraude de cartões de crédito é menos mórbida, mas ainda pode causar problemas substanciais em sua vida financeira. O hacking é simples: o agressor coloca um dispositivo chamado skimmer (popularmente chamado de “chupa cabra” no Brasil), no em outro aparelho – como um caixa eletrônico ou terminal de pagamento – para obter as informações de um cartão (tanto de crédito quanto de débito) e o PIN correspondente quando ambos forem digitados.

Os skimmers foram aprimorados ao longo dos anos, de aparelhos óbvios (que poderiam ser reconhecidos por qualquer um à procura de algo estranho) para dispositivos que dificultam o reconhecimento até mesmo por especialistas. Alguns deles incluem conexões por Bluetooth, permitindo que os hackers obtenham as informações roubadas a uma curta distância ao invés do próprio dispositivo.

Os atacantes frequentemente inserem dezenas de aparelhos em uma área geográfica comum – de preferência próximas a estradas, permitindo fugas rápidas – e usam a informação roubada para gerar cartões novos e fraudulentos, que são usados em lojas caras (para comprar produtos que possam ser revendidos) e varejistas online. Isso é feito com rapidez, geralmente ainda nas primeiras horas. Até os fornecedores detectarem ou serem comunicados da fraude, os agressores já lucraram e escaparam sem ser apanhados.

Brian Kebs, que cobre os últimos dispositivos skimming e notícias relacionadas, reportou recentemente uma vitória contra a tecnologia fraudulenta. Neste caso, a polícia escondeu aparelhos de rastreamento GPS em dispositivos skimming ativos já descobertos. Quando os hackers apareceram para reaver seus aparelhos, a força policial os rastreava e prendia. Naturalmente, a popularização da estratégia deve levar os agressores a intensificarem o uso do Bluetooth para evitar a remoção física -- mas, por enquanto, a polícia intensifica o combate à fraude.

Hacking remoto de cartões

Se seu cartão possui o mecanismo de pagamento por etiquetas de radiofrequência (RFID) – como MasterCard PayPass ou American Express ExpressPay --, é provável que suas informações possam ser lidas por um hacker que ande próximo à sua bolsa ou carteira. Isso acontece porque qualquer dispositivo RFID desprotegido pode ser hackeado, incluindo passaportes, cartões de acesso predial/residencial e etiquetas de rastreamento de produtos.

Aparelhos de radiofrequência quase não possuem segurança. Basta energizar o transmissor RFID usando ondas de rádio de baixa frequência para que ele transmita toda a informação que possui. As linhas magnéticas dos cartões de crédito já não eram seguras – podiam ser lidas por qualquer leitor vendido na internet a US$ 15 --, mas a diferença neste caso é que os leitores de radiofrequência permitem o roubo de informações sem que haja qualquer contato com o cartão. Ande a um metro de um leitor malicioso de RFID e, sim, você pode ser hackeado.

Com o tempo, a distância necessária tende a aumentar: alguns especialistas em hackers por radiofrequência preveem o aumento do espaço exigido para cerca de cem metros nos próximos cinco anos -- o que possibilitaria que hackers coletassem milhares de cartões por hora somente por frequentarem lugares movimentados.

Se você tem cartões que usam radiofrequência, pode comprar “escudos” e carteiras de defesa gastando entre US$ 25 e US$ 50. Felizmente, a tecnologia para hackear esses dispositivos é mais usada por “hackers éticos” em demonstrações do que agressores reais e os especialistas esperam um crescimento no número de cartões habilitados por chip, que desapareceriam com o hack de RFID antes que ele produzisse dano substancial com o aumento de seu alcance.

BadUSB

Ano passado, pesquisadores demonstraram que cerca de metade das entradas USB instaladas nos computadores podem ser comprometidas por um dispositivo malicioso. Basta plugar um aparelho USB a um computador desavisado e ele executará automaticamente qualquer comando configurado, desviando de todos os controles de segurança, firewalls e software antimalware ativos.

Não há nenhuma defesa para a tática de exploração (batizada de BadUSB) além de danificar fisicamente a porta ou prevenir qualquer acesso físico não autorizado. Pior, não há como saber se uma chave USB plugada a um computador contém BadUSB. É também impossível descobrir se a chave infectada foi espalhada intencionalmente por um amigo ou associado, já que poderia ter acontecido sem seu conhecimento, acabando por contaminar outro computador por acidente – ou um planejamento bem calculado.

Stuxnet

O Stuxnet é o ataque mais avançado já registrado e, facilmente, o malware mais perfeito escrito até hoje. Ele não recorreu ao BadUSB, mas se espalhou via chaves USB e um método de execução USB até então desconhecido, juntamente a três outros ataques de dia zero.

Descoberto publicamente em junho de 2012, o Stuxnet levou o conceito de cyberwar a ser reconhecido como uma batalha real, capaz de causar danos físicos. Especula-se que o malware tenha sido desenvolvido em colaboração entre os Estados Unidos e Israel para frustrar o programa nuclear do Irã, embora nenhum dos dois países tenha reconhecido a autoria.

A infiltração de malware nas instalações nucleares isoladas e de alta segurança foi considerada impossível por muitos especialistas em computação. Os criadores do Stuxnet alegadamente infectaram as chaves USB de consultores nucleares estrangeiros que trabalhavam nas centrífugas iranianas. Se eles sabiam o que carregavam, fica para especulação.

O malware foi lançado pelas chaves USB, atuou nos computadores de gerenciamento dos reatores operados por Windows e então programou os próprios controladores lógicos das centrífugas. Uma vez lá, o Stuxnet gravou os valores normais de operação e os reproduziu enquanto criava condições fatais execução, destruindo boa parte dos equipamentos de controle e das centrífugas.

Uma revisão de código fonte feita por várias empresas e levou à conclusão de que exigiria de muitas equipes (compostas de doze membros cada) e um ano ou mais para criar o worm, tão avançada era sua programação. Contudo, desde a descoberta do Stuxnet, muitos outros também foram revelados. Por mais futurista que tenha sido na época, os especialistas creem que o Stuxnet tornou-se ponto de partida comum para os próximos programas de cyberwar. Começou a guerra fria cibernética.

Painéis de trânsito

Hackear as sinalizações eletrônicas de estradas, aqueles painéis com mensagens variáveis sobre o trânsito, é ilegal e pode gerar sérios problemas. Mesmo assim, é difícil não rir com as pegadinhas do gênero quando elas não prejudicam ninguém – caso da vez em que mudaram os dizeres de um painel inutilizado para “Atenção! Zumbis à diante”.

Nos Estados Unidos, alguns dos que praticam esse tipo de hacking são antigos funcionários do Departamento de Transporte, que programavam os sinais de trânsito como parte de seus trabalhos. Fato é que os manuais desses painéis eletrônicos estão disponíveis online e quase sempre contém senhas padrão (tão simples quanto “senha”, “visitante” e “público”). Os hackers só precisam descobrir o modelo do painel que desejam atacar e fazer o download do manual.

Para a maioria dos sinais de trânsito, é necessário o acesso físico a um painel trancado, mas isso não é um grande problema uma vez que o equipamento costuma ficar destrancado. Uma vez que o hacker obtenha o acesso físico, ele usa o teclado do console para logar-se em uma credencial padrão ou para visitantes. Feito isso, ele pode fazer o reboot do computador do painel enquanto obedece às instruções do manual, voltando a sinalização aos padrões do fabricante, incluindo as senhas.

Mesmo quando o painel tem credenciais distintas de usuário e administrador, a mensagem ainda pode ser alterada sem a necessidade de permissão – obrigatória somente para configurações de equipamento, como ventilação e energia.

O “livro de ordens” da NSA

Qualquer um que tenha ouvido sobre Edward Snowden sabe que a NSA possui, essencialmente, um “livro de ordens” para requisitar a execução de hacking avançado.Um deles, o Quantum Insert, é escolhido pela agência para o uso de ferramentas de injeção de pacotes, que redirecionam as vítimas em questão de um site a outro, onde podem ser manipuladas de forma mais extensa e de forma imperceptível.

Caso a página de redirecionamento for desenvolvida para se assemelhar bastante com a pretendida pela vítima, ela provavelmente não perceberá o que aconteceu. Criptografia aplicada (HTTPS) pode ajudar a frustrar o ataque, mas a maioria dos sites não a exige e os usuários não costumam habilitá-la quando é opcional. Esse ataque é feito desde 2005.

A NSA também pode exigir outros ataques, como por exemplo, a utilização de backdoors em equipamentos para monitorar o envio e o recebimento de dados de uma empresa ou órgão que trafegam por uma rede.

Já deve estar claro que a agência, assim como quase toda entidade estatal americana, pode espiar em qualquer dispositivo que desejem, sem que haja muito que fazer a respeito. Muitos desses aparelhos e software são criados por empresas privadas e disponibilizados para compra por qualquer cliente disposto a pagar.

Rompendo criptografia

Gary Kenworthy, da Cryptography Research, é especializado em revelar chaves criptográficas de diversos dispositivos antes tidos como seguros. Ele é capaz de monitorar remotamente a radiofrequência e as emissões de radiação eletromagnética dos aparelhos, descobrindo códigos binários que compõem sua chave de segurança – e tem o costume de fazê-lo em demonstrações ao redor do mundo.

Os avanços recentes de Kenworthy contra os dispositivos que deveriam nos proteger balançaram a comunidade criptográfica. Ele e sua empresa lucram com o fornecimento de proteção contra os ataques que ele demonstra, mas eles são reais e, essencialmente, reduzem a segurança da maioria dos dispositivos que rodam criptografia e não aplicaram as defesas sugeridas por ele.

Hack de carros

Os fabricantes de automóveis competem para ver quem coloca o maior número de funções possível em seus veículos. Portanto não surpreende que esses mesmos computadores sejam incrivelmente vulneráveis a ataques. Desde cedo, os hackers aprenderam a destrancar carros usando suas chaves remotas sem fio, também impedindo os donos de trancarem seus veículos enquanto pensam terem feito.

O Dr. Charlie Minner começou sua carreira hackeando dispositivos Apple e ganhando vários concursos Pwn20wn. Ele está entre os melhores hackers do gênero. Em 2013, junto de seu colega de pesquisa, Chris Valasek, demonstrou como controlar os freios e a direção de um Toyota Prius 2010 e de um Ford Escape usando interfaces de ataques físicos nas unidades de controle eletrônico e nos sistemas dos veículos. Felizmente, pelo menos esse método hacking não funciona wireless ou remotamente.

Ano passado, Miller e Valasek discutiram o hacking remoto e sem fio de 24 modelos de carros, elegendo o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como os mais vulneráveis. Eles conseguiram documentar que as ferramentas de rádio remoto dos veículos eram (ou poderiam ser) ligadas aos sistemas críticos de controle.

Também em 2014, o Senado americano emitiu um relatório indicando que virtualmente qualquer carro fabricado hoje em dia é hackeável. Agora, a indústria automotiva segue a solução encontrada pelas empresas de software: contratam hackers para ajudarem a melhorar a segurança de seus sistemas. Pense nisso na próxima vez em que estiver em uma concessionária, sendo tentado pelo modelo com o melhor Wi-Fi.

Fornecido por IDG Now CSO/EUA

Os riscos do uso precoce e não monitorado da internet por parte de crianças são subestimados, afirma o advogado americano Ernie Allen, um dos maiores especialistas do mundo no combate a crimes de exploração infantil.

Além de colaborar com a Interpol, Allen é consultor de autoridades de países como Estados Unidos, Inglaterra e Itália e de empresas de tecnologia como Microsoft, Google e Facebook. Em 1998, ele fundou o Centro Internacional para Crianças Desaparecidas e Exploradas (ICMEC, na sigla em inglês), rede global de proteção ao abuso e à exploração sexual infantil, presente em 22 países, inclusive no Brasil.

Em entrevista à BBC Brasil em Roma, na Itália, onde esteve a convite do Telefono Azzurro, linha que recebe denúncias de violações aos direitos da infância, Allen defende que os pais imponham limites ao conteúdo acessado pelos filhos.

"A internet mudou o mundo e isto é fantástico. Com ela as crianças podem aprender, se divertir e entrar em contato com pessoas com os mesmos interesses", argumenta. "O lado negativo é a enorme exposição de menores de idade a imagens de conteúdo adulto, a comportamentos de agressão verbal e bullying, à pornografia, além da proliferação de crimes como roubo de identidade, uso inapropriado de dados pessoais, tráfico de armas, venda de drogas e redes de pedofilia."


De acordo com Allen, o convívio das crianças com tais assuntos pode modificar a percepção do que é normal, o modo como elas se relacionam com o sexo oposto e como interagem com o mundo. "Vivemos em uma sociedade onde sexualização de crianças é vista como natural".

Ele cita um estudo americano realizado em 2009, que revela que 53% dos meninos e 28% das meninas com idade entre 12 e 15 anos assistem a cenas sexo explícito na rede. A pesquisa mostrou ainda que 32% de crianças de dez anos estão expostas à pornografia online.

"Existem medidas simples e básicas para minimizar os riscos para as crianças, mas são pouco utilizadas pelas famílias. As empresas de tecnologia têm feito um enorme esforço para promover o uso gratuito de filtros e sistemas de bloqueio de conteúdos inapropriados para menores, mas apenas 28% dos pais empregam estes sistemas. No caso de celulares é ainda pior: o uso cai para 16%".

"Os pais devem ser conscientes de que os riscos existem mesmo sem que os filhos saiam de casa. Ao mandar uma foto de uma criança aos avós, eles devem ter em contam que estão mandado aquela imagem para o mundo. É preciso saber que quando se está online, se está em público".

"As redes sociais representam uma grande oportunidade de socialização, ajudam a encontrar pessoas desaparecidas, a promover mobilizações, mas as crianças não deveriam usá-las", opina.

Allen chama atenção ainda para o uso da rede por parte de adolescentes para agressões verbais e morais. "Temos visto um aumento de casos de extorsão sexual, em que adolescentes filmam cenas de sexo com seus parceiros e depois ameaçam divulgar o conteúdo aos pais da vítima ou aos colegas de escola", diz.

"O bullying não é uma novidade, mas é particularmente insidioso quando ocorre online, porque o agressor é protegido pelo anonimato e pode enviar o conteúdo para qualquer parte do mundo".

Pedofilia
Mas o principal problema a ser enfrentado, segundo o especialista, é o aumento de casos de pedofilia online. Estima-se que mais de 1 milhão de imagens de pornografia infantil circulem via web. "Com a internet, ficou mais fácil e menos arriscado cometer esses crimes".

Ele afirma que, com o surgimento da web, os pedófilos deixaram de ser criminosos isolados e passaram a interagir e a compartilhar imagens e informações com pessoas que têm o mesmo interesse. "Quase nunca estas pessoas correspondem ao estereótipo de criminosos. São médicos, advogados, esportistas, policiais, empresários".

Em 2002, o ICMEC criou um um sistema para tentar identificar as vítimas de pedofilia retratadas em imagens que circulam na rede. Segundo Allen, no primeiro ano de atividade, o centro recebeu cerca de 60 mil fotografias. Em 2014, o serviço recebeu mais de 24 milhões de imagens, entre fotos e vídeos. "E não estamos falando de fotografias com crianças em toalha de banho. Mais de 80% das imagens retratam a penetração sexual das vítimas."

Desastre
O grande inimigo da segurança na rede, de acordo com o especialista, é o anonimato. "Sou advogado e defendo a liberdade de expressão e o direito à privacidade, mas considero o anonimato absoluto na internet um desastre".

Allen cita a plataforma TOR, desenvolvida pelo governo americano para possibilitar o uso da rede por dissidentes políticos e jornalistas de forma anônima.

"Garantir a liberdade de expressão a esse grupo é um propósito nobre. O problema é que não são as únicas pessoas a utilizar este sistema. É fundamental que haja rastreabilidade dos acessos e das atividade realizadas na web. Precisamos ser capazes de chegar à pessoa que cometeu o crime. A obrigação máxima de cada país é proteger a infância".

Brasil
Segundo os dados das principais companhias de tecnologia americanas, o Brasil está entre os países com maior incidência de denúncias por divulgação de imagens de pornografia infantil, ao lado de EUA, México, Índia, Indonésia e Tailândia.

"O Brasil tem feito muitos avanços para combater a exploração infantil em geral, mas ainda há muito a ser feito", diz ele, citando os trabalhos contra a prostituição de menores realizados durante os preparativos para a Copa do Mundo e o empenho da juíza mineira Simone dos Santos Lemos Fernandes, que conheceu nos Estados Unidos, em um projeto do International Centre for Missing and Exploited Children (ICMEC).

Para Allen, individualizar os criminosos e identificar as vítimas de pedofilia é uma emergência que requer empenho global. Ele sugere a criação, por parte de cada país, de um arquivo de fotos compartilhado com o banco de dados da Interpol e a adoção de tecnologias que permitem o reconhecimento de imagens de pedofilia, mesmo após terem sido modificadas, como o PhotoDNA, desenvolvido pela Microsoft e adotado por companhias como Facebook, Google, Twitter.

Embora seja cedido gratuitamente, o sistema exige a adaptação de softwares das empresas que pretendem utilizá-lo.

Bloqueio de conteúdo adulto
Segundo Allen, um dos únicos líderes mundiais a discutir seriamente o tema da pedofilia online é o atual primeiro-ministro inglês, David Cameron.

Cameron solicitou às quatro principais empresas de tecnologia do país sistemas que bloqueiem automaticamente o acesso a sites inapropriados para menores de idade em todos os componentes eletrônicos.

"É um ótimo sistema. Os adultos continuam podendo acessar o que quiserem. A única diferença é que, para visitar determinados sites, é preciso uma solicitação".

Em 16 e 17 de novembro, será realizado nos Emirados Árabes Unidos o próximo encontro do seminário internacional "We Protect Children".

"Espero que o governo brasileiro participe com um alto representante. Se não for possível a presença da presidente da República, que participe pelo menos o ministro da Justiça", diz Allen.

Fornecido por BBC Brasil

Documentos secretos Agência de Segurança Nacional dos Estados Unidos (NSA) obtidos por Edward Snowden e publicados nesta segunda-feira (22) pelo site "The Intercept" mostram os esforços de espiões americanos e britânicos para burlar programas de proteção e impedir que o roubo ou monitoramento das informações fosse detectado pelos aplicativos de segurança.

O texto do "The Intercept" menciona uma empresa em particular: a fabricante de antivírus russa Kaspersky Lab. É ela que aparece nos documentos em posse da publicação. O "The Intercept" teve acesso a uma solicitação judicial feita pelo GCHQ – o braço de espionagem do governo britânico – para que a agência fosse autorizada a realizar a "engenharia reversa" dos produtos da Kaspersky Lab.

"Produtos de segurança pessoal como o software antivírus russo Kaspersky continuam a representar um desafio para as capacidades de Exploração de Redes de Computadores do GCHQ", diz o documento que justifica a adoção da engenharia reversa.

A engenharia reversa é um procedimento realizado para analisar o funcionamento de um programa. Essa técnica pode ser usada para fins benéficos, como a interpretação da operação de um vírus de computador para o desenvolvimento de uma vacina ou para aumentar a compatibilidade entre aplicativos. Mas, sabendo como o antivírus funciona, os espiões estariam aptos a desenvolver mecanismos para burlar as proteções oferecidas.

Já os espiões norte-americanos descobriram em 2008 que o antivírus da Kaspersky Lab às vezes se comunica de maneira insegura com os servidores da empresa, abrindo uma brecha para o rastreamento dos usuários. O "The Incercept" diz que, ainda hoje, alguns dados são enviados pelo software sem proteção adequada. A companhia russa afirmou que não conseguiu reproduzir o comportamento descrito pela publicação.

Outra tática adotada pela NSA é o monitoramento de e-mails destinados a empresas de segurança. A iniciativa tem o codinome interno de "Projeto Camberdada" dentro da agência norte-americana e lista 32 alvos possíveis, incluindo de empresas como AVG, Avast e Avira. A Kaspersky Lab é novamente destacada, junto de empresas como a Famatech (desenvolvedora do programa "Radmin") e outras entidades russas. Não constam na lista a Symantec, a McAfee (hoje Intel Security) e a Sophos. As duas primeiras têm sede nos Estados Unidos, enquanto a Sophos é britânica.

Apresentação de slides da NSA explica "fluxo" de captura de dados durante a transmissão. (Foto: Reprodução)

Empresas de segurança recebem colaborações regulares via e-mails com dados ou cópias de novos vírus de computador para que os softwares sejam atualizados para detectar as novas ameaças. Segundo os slides de apresentação do "Camberdada", o monitoramento de e-mails das empresas de segurança é um meio de "vitória fácil" para a obtenção de novos códigos maliciosos.

Kaspersky Lab sofreu ataque
A Kaspersky Lab revelou este mês que foi vítima de um sofisticado ataque que conseguiu adentrar sua rede computadores. O ataque começou em 2014 e tirou proveito de brechas do Windows que eram até então desconhecidas, segundo a empresa. A fabricante de antivírus detectou o ataque no início do ano e garante que dados sensíveis não foram comprometidos pela invasão.

O código usado teria ligação com a série de pragas conhecida como "Duqu". O Duqu tem é "parente" do Stuxnet, que por sua vez teria sido criado pelos programas de espionagem dos Estados Unidos e Israel. O "Duqu 2.0" que se infiltrou na Kaspersky Lab também teria sido usado em um esquema de espionagem para obter dados das negociações nucleares com o Irã – uma alegação que está sendo investigada pelo governo da Suíça, onde ficam os hotéis que acolheram as negociações

Fornecido por Altieres Rohr