O lado obscuro da impressão 3D: desafios, riscos e usos maliciosos (parte 2)

ElevenPaths    4 julio, 2019

A tecnologia de impressão 3D está revolucionando os processos de fabricação e seus entusiastas imaginam um futuro onde cada lar e empresa tenha ao menos um desses dispositivos, o que transformaria a maneira como produzimos, consumimos e reciclamos os objetos. Mas, que riscos de cibersegurança são os mais prováveis de acontecer nesse cenário? Espionagem, malware, destruição, criação de armas. Depois de analisar os riscos relacionados à modificação não autorizada dos arquivos e firmware, vamos conhecer os outros nesse post.

Exposição à internet ou redes inseguras

Ao conectar uma impressora 3D à internet ela se converterá automaticamente em um dispositivo da Internet das Coisas (IoT). Qualquer novo acesso à rede, seja diretamente ou através de middleware, se aumenta a superfície de ataque, expondo novas debilidades de segurança.

Um exemplo prático deste problema é o Octoprint, um projeto open source para administração web remota de impressoras 3D. O software se conecta a impressora e permite desde iniciar novos trabalhos de impressão até ver e gravar uma impressão atual usando uma webcam. Recentemente foi encontrada uma falha de segurança na aplicação, quando ela não for bem configurada e exposta à internet na qual um usuário não autorizado poderia obter acesso de administrador ao controlador e à impressora 3D. Para além dos problemas inerentes na indústria, imagine uma impressora doméstica que, invadida, poderia ser reprogramada para sobreaquecer, criar um curto-circuito ou ficar fora de serviço. Ela também poderia ser utilizada para carregar arquivos de impressão maliciosos como o mencionado na vulnerabilidade de firmware Marlin, que permitiram a tomada de controle do equipamento.

Roubos de modelos e arquivos de impressão confidenciais

Os projetos de impressão 3D em indústrias como a de aviação ou automóveis tem desenvolvimento complexo, custos altíssimos e características muito específicas, que demandam tempo e esforço de projeto, prototipagem, testes de resistência e integridade antes de chegar à versão final. Esses modelos são confidenciais e o problema é que a maioria doas arquivos de impressão 3D não contam com criptografia nativa, um atacante com acesso não autorizado poderia compartilhar tais projetos, vende-los no mercado negro ou mesmo reproduzi-los em outro equipamento gerando prejuízos econômicos e de reputação à empresa vítima do ataque.

As armas fabricadas através de impressão 3D também são uma preocupação crítica já que, se um atacante tiver aceso aos seus desenhos, a empresa dona do projeto poderia ser responsabilizada se ele fosse roubado e usado indevidamente para imprimir uma arma para ser utilizada em algum tipo de ataque (ainda que, claro, isso dependa da legislação de cada país).

Impressão de peças com fins maliciosos

Os pesquisadores e especialistas em segurança da informação seguem encontrando maneiras cada vez mais criativas da utilização de impressoras 3D. Uma pesquisadora, por exemplo, já utilizou esse tipo de equipamento para produzir um compartimento secreto em seus sapatos que podem ocultar ferramentas de hacking. Outro utilizou uma cabeça impressa em 3D para burlar o sistema de reconhecimento facial do Android, já em sites de impressão 3D como o Thingiverse se pode encontrar desde drones desenhados para pentesters até o famoso cartão de Kevin Mitnick com michas.

Criminosos também podem utilizar a tecnologia de impressão 3D para imprimir armas ou peças potencialmente perigosas como as seguintes:

  • Skimmers: um carder é um tipo de criminoso focado na fraude com cartões de crédito, que tenta roubar a informação digital ou física dos cartão seja em terminais de pagamento ou em caixas automáticos para criar cópias falsas. Com uma impressora 3D, é muito mais fácil criar um dispositivo que clone cartões de crédito que se pareça com um leitor de cartões normal.
  • Duplicação de chaves normais ou mestras: na Alemanha uma impressora 3D foi usada para reproduzir chaves que eram consideradas ter alta segurança. Em uma experiência no MIT, bastou fazer uma tomografia para imprimir cópias de chaves de uma marca que diz ser impossível de copiar. Também são conhecidos desenhos 3D que podem imprimir chaves mestras de bagagem aprovadas pela TSA, inclusive no Thingiverse pode-se encontrar projetos de decodificadores de chave para duplicar chaves domiciliares. Disponibilizar os projetos não é ilegal, mas criminosos poderiam utilizar suas especificações para cometer algum crime.
  • Distribuição de drogas: grupos de traficantes, como o DougHefferman, usam impressão 3D para produzir cartuchos de tinta, caixas de maquiagem e cartuchos de jogos falsos para esconder e entregar drogas aos seus usuários sem despertar suspeitas.
  • Falsificação: a impressão 3D permite materializar quase qualquer objeto de acordo com um modelo desenhado por seu usuário local, baixado da internet ou copiado. Como explicado acima, se esses modelos são roubados de empresas legítimas, compartilhados ou vendidos por criminosos, podem ser usados para falsificação e pirataria de produtos.

Conclusões e Recomendações

Parte da solução deve vir da própria indústria de impressão 3D que deveria adotar as melhoras práticas de desenvolvimento seguro para software e firmware que evitem vulnerabilidades. Empresas e proprietários individuais destes equipamentos também desempenham um papel importante na proteção do seu dispositivos e podem tomar as seguintes atitudes:

  • Utilizar corretamente um firewall, configurado para além das políticas padrão que limite o acesso à impressora na rede em que ela se encontra. Se possível, não se deve conectar a impressora 3D à Internet e caso isso não possa ser evitado, deve-se utilizar pelo menos uma VPN e um segundo fator de autenticação para garantir que só usuários autorizados tenham acesso ao equipamento.
  • Atualizar periodicamente o firmware da impressora 3D e o software utilizado para cada uma das etapas do processo de impressão
  • Proteger os arquivos de impressão e modelos críticos ou confidenciais com controles de acesso adequados, criptografando seu conteúdo e verificando sempre sua integridade antes de utilizá-los para impressão de peças, podendo assim detectar modificações não autorizadas.

A maioria das impressoras 3D são simplesmente computadores com um propósito especial e, por isso, tem os mesmos riscos que qualquer equipamento desse tipo. Ao conectar a impressora à Internet, elas são convertidas em um equipamento IoT e estão expostos ao mundo, podendo ser usadas para atacar outros equipamentos mais críticos da rede.  Em ambientes industriais, as impressoras 3D são ativos extremamente sensíveis, já que fabricam objetos em que se precisa confiar e que, via de regra, são projetos confidenciais. Antes que todos os lares e empresas tenham uma impressora 3D, a indústria deve encontrar uma maneira de mitigar esses riscos de segurança.

Primeira parte do artigo: O lado obscuro da impressão 3D – Parte I

Yamila Levalle
@ylevalle
Innovación y Laboratorio
[email protected]

Por que não fazer parte do ecossistema de startups da ElevenPaths e da Wayra?

ElevenPaths    25 junio, 2019

Não tem porque não! Neste primeiro trimestre do ano, nós avaliamos e analisamos mais de 30 startups.

Foi dentro da Diretoria de Alianças, Novos Produtos e CSA da ElevenPaths que surgiu a ideia de ajudar a conectar startups relacionadas à segurança de informação com os produtos e serviços oferecidos pela ElevenPaths, produtos estes que podem ajudar o Grupo Telefônica a se manter na ponta do iceberg quando se fala em inovação tecnológica global.

Já não é de hoje que as grandes empresas e corporações, assim como pequenas e médias empresas, dedicam esforços para se unir à transformação digital, que envolve novas formas de trabalho (como a adoção da metodologia Agile), mudanças de processos, novas plataformas globais, novos meios de desenvolvimento que as ajudam na adaptação aos novos tempos e,  é claro, a melhorar as vendas.

A realidade nos diz que, depois de uma primeira reunião de uma startup com uma grande empresa, tudo se resume a boas intenções, trocam-se e-mails e dá-se início a uma espera interminável de uma resposta sobre seu produto ou serviço e como eles podem colaborar com a grande companhia. As startups vivem trabalhando com a incerteza do que vai acontecer com elas e é por isso que temos que ser ágeis na tomada de decisões.

Sabendo disso, acreditamos que o nosso grupo pode vir a ajudar a canalizar o esforço dessas startups, direcionando-as para as reais necessidades de produtos e serviços ElevenPaths, com o objetivo claro de manter nossa marca competitiva em um mercado ágil, em um movimento continuado de inovação e disrupção dentro do ecossistema da Telefônica. Algumas empresas já trabalhar com o grupo e a sua pode ser a próxima.

Com esta ideia e um método de trabalho padronizado, queremos ouvir as startups e agregar valor aos seus produtos e serviços já existentes. Para isto, criamos um grupo colaborativo que inclui a Wayra, Open Future, fundos de inovação e a Telefônica Ventures.

Através de um formulário específico para startups dedicadas a segurança da informação, queremos identificar soluções que possam ser integradas imediatamente ou em um futuro próximo ao nosso portfólio. Entraremos em contato buscando oportunidades de desenvolvimento exclusivas em todos os territórios em que atuamos, além de oferecer oficinas com outras unidades de negócio do grupo e partes que podem ser interessar pela sua ideia inovadora.

Queremos que você seja parte do nosso time de segurança da informação. Se sua empresa tem esse potencial, preencha o formulário.

Implementando Cibersegurança desde o zero (parte 2)

ElevenPaths    18 junio, 2019

Continuando o post que publicamos aqui no blog há alguns dias sobre “Como implementar Cibersegurança do zero”, trazemos outros conselhos sobre como você pode começar a implementar a segurança na sua empresa, ou mesmo na sua casa.

Cyber Kill Chain
Trata-se de um padrão técnico muito importante que foi desenvolvido pela Lockheed Martin como parte do modelo proprietário Intelligence Driven Defense®  para identificação e prevenção das intrusões digitais. O modelo descreve a sequência lógica das ações realizadas por um cibercriminoso para comprometer sistemas.

Os sete passos da Cyber Kill Chain® melhoram a visibilidade de um ataque e enriquecem sua compreensão do ponto de vista tático, técnico e de procedimentos.

Figura 1: Cyber Kill Chain

20 controles Críticos de Centro de Segurança na Internet
Em 2008, o escritório do secretário de defesa solicitou ajuda da Agência Nacional de Segurança (NSA) dos Estados Unidos para buscar controles de segurança que estivessem disponíveis para melhorar a cibersegurança. A solicitação foi realizada porque a agência “compreendeu melhor como funcionavam os ataques cibernéticos e quais ataques eram usados com maior frequência”. Essa solicitação tomou tal atenção que “o ataque informa a defesa” se converteu em um mantra da Casa Branca.

O relatório do Departamento de Defesa (DoD) norte-americano para os 20 controles foi descrito da seguinte maneira por Tom Donahue, da CIA: “Primeiros resolva os males que são conhecidos”.

Isso significa que nenhum controle deve ser uma prioridade ao menos que ele possa demonstrar que pode deter ou mitigar um ataque conhecido, essa regra foi chave para separar os controles críticos de CIS da maioria de outras listas de controles de uma empresa.

Seguindo esse conceito, foram criados os 20 controles críticos, um resultado do trabalho contínuo da NSA, CIA, FBI e SANS, além de algumas empresas de cibersegurança que trabalham com o CIS (Center for Internet Security. O objetivo é implementar controles que realmente mitiguem ataques atuais de segurança em um modelo vivo, que se atualiza em relação à ordem de prioridade ou número de controles, com base nas mudanças do cenário atual de ataques.

Definitivamente, consideramos que esse é o caminho mais eficiente para implementar cibersegurança, já que ao introduzir os 20 CSCs pode-se mitigar os ciberataques mais atuais, além de se utilizar de maneira eficiente os orçamentos de segurança.

Coneças os 20 Controles Críticos de Segurança

Figura 2: Distribución de los 20 CSC

Podemos destacar 5 quick wins na lista de controles e ações que requerem pouco esforço, mas que podem gerar resultados positivos. Os subcontroles que tem maior impacto imediato na prevenção de ataques são:

  • White list de aplicações (CSC #2)
  • Uso de padrões e configurações seguras em todos os sistemas (CSC #3)
  • Aplicação de patches em até 48h em softwares de aplicação (CSC #4)
  • Número reduzido de usuários com privilégios administrativos (CSC #4)
  • Limitação e controle do uso de portas e serviços na rede (CSC #9)

5 Princípios Fundamentais dos 20 CSC

O ataque informa a defesa: utilizar os dados gerados por ataques reais que tenham comprometido os sistemas para criar uma base de conhecimento destes eventos que seja alimentada continuamente, construindo defesas efetivas e práticas. Incluir somente os controles que tenham eficiência real quanto à ataques conhecidos.

Priorização: investir primeiro nos controles que proporcionam a maior redução de riscos e proteção contra os atores mais perigosos, eles devem ser passíveis de implementação viável no ambiente de TI da empresa.

Medições e métricas: estabelecer parâmetros comuns que proporcionem uma linguagem colaborativa entre os executivos, especialistas de TI, auditores e funcionários para medir a efetividade das medidas de segurança dentro de uma organização, de modo que os ajustes necessários possam ser identificados e implementados rapidamente.

Diagnóstico e mitigação contínuos: realizar medições contínuas que provem e validem a efetividade das medias de segurança atuais e para ajudar a definir a prioridade dos passos seguintes.

Automação: automatizar defesas para que as organizações possam conseguir medições confiáveis, escalonáveis e contínuas da sua adesão aos controles e métricas relacionadas a eles.

Convidamos você a revisar quantos controles da lista de 20 CSC estão implementados em sua empresa, esperamos que esse post tenha ajudado você a criar um plano sobre como implementar segurança do zero, sobretudo, com eficiência.

Para saber mais sobre cibersegurança, dê uma olhada em nosso Relatório de Tendências de Cibersegurança 2019 e na 5ª temporada do #11PathsTalks. Você também pode encontrar muito conteúdo e informação em nosso blog.

Bibliografiahttps://www.sans.org/critical-security-controls/history

Conheça a primeira parte do post “Implementando segurança do zero” aqui.

Por que seus projetos atrasam? E o que você pode fazer para remediar esse erro

ElevenPaths    11 junio, 2019

«Qualquer pessoa que cause danos com suas previsões deve ser tratada como um tolo ou mentiroso. Alguns desses videntes causam mais danos à sociedade do que criminosos».

Nassim Taleb. El cisne negro, 2007

Em 1957, a Casa de Ópera de Sydney foi orçada em 7 milhões de dólares, com prazo de execução de quatro anos. Ao final do projeto, o custo total foi de 102 milhões de dólares e 14 anos se passaram até a sua conclusão. Um custo extra de 1.400%! Possivelmente, um dos maiores da história.

Os custos extras e atrasos são uma constante nas obras de engenharia, por exemplo: o Canal do Panamá, a nova Sede do Banco Central Europeu, os túneis da estrada M-30, o trem Madrid-Barcelona, o terminal T4 do aeroporto de Barajas, linha 9 do metrô de Barcelona… A lista não tem fim. Depois de estudar centenas de obras em 20 países nos últimos 70 anos, o especialista em políticas de infraestrutura e professor da Universidade de Oxford, Bent Flyvbjerg, chegou à conclusão de que 90% dos projetos não conseguiram manter o orçamento planejado.

Não é apenas nas grandes obras civis que isto ocorre, mas também projetos de engenharia: o Airbus A400M, o australiano F-100 ou o projeto Galileo para substituir o GPS, que acumulou 10.000 milhões de euros de custo extra e 15 anos de atraso.

E seus projetos? Custam mais do que eles são estimados? Levam mais tempo para serem concluídos do que o esperado?

Porque somos tão ruins em estimar custos e prazos: a tensão entre a visão interna e a visão externa.

Que jogue a primeira pedra quem nunca não tenha sido excessivamente otimista em estimar quanto custaria completar algo considerando tempo e recursos!

Os psicólogos Daniel Kahneman e Amos Tversky cunharam o termo falácia do planejamento, para se referir a esse fenômeno paradoxal: embora todos nós tenhamos falhado miseravelmente, várias vezes, ao estimar o prazo e o orçamento da execução de todos os tipos de projetos pessoais e profissionais nos quais nos propusemos a trabalhar, ainda veremos acontecer na próxima vez que estivermos envolvidos no planejamento de algo que nossos planos são absurdamente otimistas!

Em seu livro «Pense rápido, pense devagar», Daniel Kahneman explica como você pode abordar um problema usando uma visão interna ou visão externa:

  • Quando você usa uma visão interna, você se concentra em suas circunstâncias específicas e procura evidências em suas experiências similares anteriores, incluindo evidências anedóticas e percepções falaciosas. Imagine cenários fantasiosos onde tudo acontece conforme o planejado. Agora, além de todas as variáveis ​​que você está embaralhando em sua mente, há um volume incalculável de variáveis ​​desconhecidas e indetermináveis: doenças, acidentes, incidentes de segurança, colapsos, desentendimentos entre a equipe, outros projetos mais urgentes, demissões, esgotamento imprevisto de fundos, greves, são tantas coisas imprevisíveis que podem acontecer! Infelizmente é impossível se antecipar a todos estes possíveis incidentes, o que está claro é que a probabilidade de algo dar errado aumenta quanto mais ambicioso o projeto é. E desta forma, subestimamos o que não sabemos.
  • Por outro lado, ao adotar um ponto de vista externo, você verá par além de si mesmo: além da sua experiência passada e além dos detalhes do atual problema em particular, para prestar atenção a informações objetivas adicionais como, por exemplo, a taxa básica. Em vez de acreditar que seu projeto é único, você procura projetos semelhantes para ter dados prévios sobre seu orçamento e duração média de projetos similares.

Infelizmente, você tende a descartar e até desprezar a visão externa. Quando as informações estatísticas de casos semelhantes entrarem em conflito com sua percepção pessoal, você descartará os dados que te incomodam. Afinal, esses projetos duraram e custaram tanto porque foram executados por outros, mas você é diferente e consegue superar e fazer melhor o que os outros fizeram de errado no passado, certo? Não?

Então vamos ver esta questão de uma outra forma, usaremos um trecho de uma conversa qualquer entre pais:

– Vou mandar meu filho para a escola tal.

– Está certo disto? É uma escola muito elitista. A probabilidade de entrar nessa escola é muito baixa, apenas 8%.

– Pois bem, há a probabilidade do meu filho estará perto de 100%, ele tem excelentes notas sempre.

O pai, pensando somente em seu filho, pensa que a probabilidade do mesmo entrar na tal escola é muito alta, pois a criança é inteligente e tem excelentes notas, assim como centenas de outras crianças que solicitam a matrícula nessa escola todos os anos, das quais apenas 8 de cada 100 filhos são admitidos. Veja que o pai usa apenas sua visão interna para avaliar a situação. Para sua surpresa, a estimativa da probabilidade de seu filho entrar continua sendo a de 8,8%, ou seja, o fato de seu filho ser inteligente não altera a probabilidade, não altera a taxa base.

Resumindo, a visão externa busca situações similares que possam proporcionar uma base estatística para assim poder se tomar uma decisão. Outros já enfrentaram problemas semelhantes no passado? O que aconteceu? Qual foi o resultado?  Naturalmente, perceba que este modo de pensar, esta visão externa é um modo de raciocinar incomum, para nós humanos é mais fácil acreditar que nossa situação é única.

Kahneman afirma “Na luta entre visão interna e externa, a visão externa não tem chance”.
 

Bem-vindo ao Lago Wobegon, onde todas as crianças são superiores à média.
Temos que reconhecer uma característica humana, a de que nossa percepção de eventos é assimétrica. Segundo vários experimentos psicológicos você:

  • Atribui seus sucessos às suas habilidades e suas falhas à sua má sorte, exatamente o oposto de como você entende os sucessos e fracassos dos outros.
  • Se considera mais inteligente que os outros.
  • Acha que é um motorista melhor que os outros.
  • Acredita que seu casamento durará mais que os outros.

Ou seja, você crê que é especial, mas isso é um erro que a psicologia chama de “pensamento do cego otimista”. Este viés de percepção é intimamente ligado à ilusão de superioridade de cada um de nós que, em nosso íntimo, acreditamos sem diferentes quando, em realidade, somos muito similares.

«Sob a influência da falácia do planejamento, gerentes tomam decisões baseadas em um otimismo delirante e não em uma ponderação racional de ganhos, perdas e probabilidades. Eles superestimam os benefícios e subestimam os custos. Involuntariamente tecem cenários de sucesso e ignoram o potencial de falhas e de erros de cálculo. Como resultado, seguem iniciativas e vias que dificilmente levarão os projetos a saírem dentro do orçamento ou dentro do prazo, ou que ainda produzirão os retornos esperados «.

Nem tudo é culpa do nosso pensamento imperfeito
O otimismo dos gerentes e das tomadas de decisão não é a única causa desses aumentos e atrasos no custo de projetos. Kahneman aponta outros fatores:

«Erros nos orçamentos iniciais nem sempre são inocentes. Os responsáveis por planos irrealistas são freqüentemente movidos pelo desejo de ter seu plano aprovado por seus superiores ou por um cliente. Eles têm a confiança de que os projetos raramente serão abandonados antes de sua conclusão só porque os custos aumentaram ou os prazos não foram cumpridos.«

Com o afinco de conseguir finalizar o projeto a todo custo, acaba sendo normal exagerar os possíveis benefícios de um projeto e menosprezar os riscos e custos. Bent Flyvbjerg fornece uma fórmula que enfatiza essa espiral sinistra em que os projetos mais bem vistos no papel são aqueles que obtêm mais financiamento:

Custos Subestimados + Benefícios Sobrestimados = Financiamento

Afinal não se avalia projetos reais, mas sim versões idealizadas com benefícios superestimados, custos e prazos escondidos debaixo do tapete.

O que você pode fazer para planejar melhor seu próximo projeto?

Informações estatísticas sobre projetos semelhantes podem nos salvar de falácias no planejamento. Não importa o quão otimista você seja, você deve esperar encontrar, em média, dificuldades semelhantes àquelas enfrentadas pelas equipes de outros projetos.

Bent Flyvbjerg propôs o método conhecido como previsão por classe de referência para eliminar o viés otimista, prevendo a duração e o custo dos projetos. O método requer três passos para um projeto em particular:

  1. Identifique uma classe de referência relevante de projetos anteriores. A classe deve ser ampla o suficiente para ser estatisticamente significativa, mas restrita o suficiente para ser verdadeiramente comparável ao seu projeto. Claro, este passo será mais difícil quanto mais raro for o problema que você tenha entre as mãos. No caso de decisões comuns (pelo menos para os outros, mas não para você), a identificação da classe de referência é imediata.
  2. Estabeleça uma distribuição de probabilidades para a classe de referência selecionada. Isto requer ter acesso a dados empíricos corretos, para um número suficiente de projetos, dentro da classe de referência para se obter conclusões estatisticamente significativas.
  3. Compare teu projeto com a classe de referência distribuída, para estabelecer um resultado mais provável ao seu projeto.

Ao avaliar planos e prognósticos, temos a tendência de nos concentrar no que é diferente, ignorando que as melhores decisões geralmente se concentram no que é igual. Enquanto esta situação que você tem em suas mãos parece um pouco diferente, no momento da verdade, vê-se que é quase sempre a mesma. Mesmo que doa, temos que admitir que não somos tão diferentes assim, nem tão especiais.

Aprenda com os antigos filósofos estoicos, pense primeiro sobre o que pode dar errado: faça uma análise pré-morte de seus possíveis projetos.

Se atribui ao filosofo Séneca um exercício de meditação que os estoicos chamavam de Premeditatio Malorum, uma reflexão prévia sobre o que pode sair mal antes de se iniciar uma empreitada, projeto ou ideia. Por exemplo, antes de uma viagem ao mar, o que pode dar errado? Podemos encontrar uma tempestade, o piloto da embarcação pode adoecer, o barco pode ser atacado por piratas ou até mesmo naufragar! Pensando desta maneira nos preparamos para eventualidades e se, ao se deparar com elas, não pudermos fazer absolutamente nada, ao menos seremos pegos de surpresa.

O psicólogo norte-americano Gary Klein retoma este antigo pensamento e recomenda realizarmos uma análise pré-morte do projeto em estudo, antes de nos lançarmos a aceitação do mesmo:

«O pré-mortem em um ambiente de negócios ocorre no início de um projeto e não no final, assim o projeto pode ser melhorado em vez de se realizar uma autópsia quando ele falhar. Ao contrário de uma sessão típica de crítica, onde os membros da equipe do projeto são questionados sobre o que poderia dar errado, o premortem opera sob a suposição de que o «paciente» já morreu e, portanto, pergunta o que saiu de errado. A tarefa dos membros da equipe é identificar as razões que expliquem de forma plausiveil o fracasso do projeto

Se você deseja experimentar a ideia, tente aplicar o seguinte exercício à sua equipe:

“Imaginem que já se passou um ano. Nós seguimos o planejamento do projeto ao pé da letra, passo-a-passo. Mas o resultado é um verdadeiro desastre. Escrevam nos próximos 5 minutos todas (e cada uma) das razões que possam vir a explicar este desastre. Em especial aquelas que normalmente não teríamos listadas como um problema em potencial”.

As razões apontadas pela equipe te mostrarão como as coisas podem sair durante o processo de implantação do projeto. Saiba que um exame de pré-morte pode ser muito melhor do que um doloroso pós-morte do projeto.

Falha no WhatsApp: grandes erros e conclusões piores ainda

ElevenPaths    7 junio, 2019

Os eventos que ocorrem (bons ou ruins) nos permitem avançar e melhorar graças às conclusões e lições aprendidas ou experiências que podemos extrair deles. Sem aprender, os eventos, em si próprios ou outros, permaneceriam como simples perda de tempo em vez de servir como experiências enriquecedoras.

Portanto, é interessante tirar as conclusões apropriadas de cada evento relevante, para que se possa tirar o máximo de proveito de tudo o que acontece ao nosso redor.

Há algum tempo, soubemos de uma falha muito grave no WhatsApp, que permitia executar códigos no telefone a partir apenas de uma chamada telefônica à vítima. Todavia as conclusões da mídia foram diversas.

Alguns sugeriram que qualquer usuário do WhatsApp poderia estar infectado, afinal ninguém iria «desperdiçar» uma falha tão grande, certo?

As vítimas de interesse são poucas e escolhidas a dedo, mas não custa nada manter o aplicativo atualizado em seu aparelho telefônico para poder se prevenir de ataques similares num futuro, fechando um possível backdoor existente.

Por um outro lado, o criador do Telegram não poderia perder esta oportunidade de colocar na mesa os benefícios de seu próprio software que, por coincidência, é o concorrente direto do WhatsApp. Embora em seu blog ele venha a explicar corretamente alguns pontos (e é indubitável que o Telegram priorizou a privacidade e segurança desde o primeiro momento) ele não pode deixar de mencionar que devido ao fato de que o WhatsApp não abre seu código, ninguém pode ter certeza de que não contenha backdoors.

Infelizmente, mesmo no programa de código aberto foram detectadas falhas que pareciam verdadeiros desfiladeiros: backdoors que podem ser achadas facilmente, o que até aparentou ingenuidade, dado a simplicidade com que foram detectadas. O código aberto TrueCrypt por exemplo, precisou de um complexo investimento de tempo e financiamento e uma enorme dose de paciência para ser auditado.

O código aberto facilita a investigação, mas não é garantia de nada. Mesmo que fosse completamente aberto (e compilável em casa), quando as mensagens passam por certos servidores, cujo código interno é desconhecido, ou por causa de bibliotecas de terceiros, pode-se especular a vontade sobre a possibilidade de backdoors abertas, que podem vir a ser exploradas.

O prêmio quanto a uma conclusão precipitada referente às notícias sobre o WhatsApp se dá a Bloomberg, que chamou a criptografia ponto-a-ponto de fraude, devido a esse incidente. A agencia confundiu e assustou os usuários mais leigos e sem muito conhecimento sobre, mostrou de passagem, que eles também não tinham ideia do que estavam falando.

Todo software possui falhas de segurança, sem exceção, mas confundir medidas (já comprovadas matematicamente como invioláveis) como a criptografia destinada à privacidade com vulnerabilidades no código, chega a ser um crime. Tanto viram que se equivocaram que tentaram reescrever às pressas e alteraram o título, mas erraram novamente e depositaram de novo a culpa na criptografia e acrescentaram “ Não é tão seguro quanto você pensa que é”.

Difícil afirmar se a razão é uma ignorância sobre o assunto ou uma expressão ideológica, política (como aconteceu quando qualificaram como «malicioso» o antivírus. Uma coisa é certa, notícias e textos com este tipo de sutileza não fazem bem a ninguém.

Quais conclusões são mais precisas, então?
Um evento deste tipo, que salta para a mídia generalista é sempre uma faca de dois gumes. Pois ao mesmo tempo que pode vir a alertar a população, também pode confundir e assustar, causando mais prejuízos do que benefícios.

Este tipo de falha tão séria, em um software tão grande não é novidade. De tempos em tempos encontramos APTs (Advanced Persistent Threat) que empresas utilizam para atacar outras empresas específicas, (muitos destes ataques no próprio Windows), graças a simples possibilidade de se valer do zero-day, mesmo que os ransomwares propagados possam vir a paralisar hospitais ou outras organizações prioritárias, ou de emergência.

No entanto, estes ataques não estão no dia a dia das notícias, enquanto uma situação análoga como foi a do Whatsapp, em dispositivos móveis, surpreende a população. Desta forma a população recebe a notícia como se fosse uma grande novidade (quase como um tipo de magia negra), apesar do trabalho de conscientização feito ao longo de anos sobre os potenciais perigos do malware e a necessidade de atualização continua em todas as plataformas, incluindo os celulares.

Manchetes inadequadas e irresponsáveis, como esta sobre o WhatsApp acabará por se tornar uma piada simples no imaginário coletivo e não se tornará uma experiência, de onde se possa tirar conhecimentos, e que possa nos indicar qual será o próximo grande bug em sistemas populares?

Chegaremos ao ponto de ter alguma ameaça realmente preocupante que possa se propagar através do celular? E aí? Estaremos prontos? Ou será que receberemos, de novo, com a mesma surpresa, estranheza e … inexperiência.

Este ponto nos faz pensar, embora haja muitas deficiências no trabalho de conscientização feito no passado, estamos ainda fracassando no trabalho de conscientização atual! E esta questão pode nos levar a um caminhar sem saber para onde.

Em segurança cibernética, onde parece que estamos sempre um passo atrás dos agressores, onde as tecnologias recaem sobre nós antes das fórmulas para protegê-las, é essencial e de estrema importância saber como tirar grandes conclusões de grandes erros. Assim, evitamos passos falsos e esse desejo de nos atingir repetidamente com a mesma pedra.

Implementando cibersegurança desde o zero

ElevenPaths    4 junio, 2019

Quando ainda não se implementou cibersegurança ou mesmo se começou a investir nela, várias perguntas surgem. Como começar? Que padrões utilizar? Que controles escolher? A tecnologia que eu escolhi realmente me protegerá dos ataques atuais?

O conceito de cibersegurança não é novo, apesar da palavra ser amplamente conhecida há pouco tempo, e ela pode ser definida como segurança da informação: proteger e gerenciar o risco relacionado com a infraestrutura computacional e a informação armazenada por essa infraestrutura, ou seja, a Matrix. 😉

Figura 1: Cybersecurity

Para além da responsabilidade de implementar a cibersegurança, as empresas têm que adquirir consciência de segurança, todas as equipes devem saber que o risco é real, devem crer. Se não creem que a cibersegurança é necessária, ou melhor fundamental, lamentavelmente não haverá orçamento suficiente destinado a essa frente de trabalho. Em 2019, causa estranheza que ao mesmo tempo passo em que consumimos informação através dos nossos smartphones, de um canal totalmente digital (a internet) e através do qual vejamos notícias aos montes de ataques e incidentes, ainda seja necessário desenvolver consciência. Mas confiem em mim, desenvolver a consciência é o primeiro passo. Afinal, crer é poder.

Um recurso muito utilizado para se vender segurança é através do medo, fornecedores utilizam sem cerimônia frases como “isso acontecerá, caso você não invista em segurança”, “se você não comprar minha tecnologia estará totalmente exposto”. Na ElevenPaths pensamos que a melhor ferramenta é a educação e este é o nosso foco de atuação, nos concentramos em ensinar sobre as ameaças atuais e como sua empresa pode mitigar, prevenir e responder quando ocorre um incidente.

Uma ferramenta que indicamos para educar é o site Information is Beautiful, um portal popular com várias pesquisas transformadas em infográficos, ou como o site costuma chamar, “a arte da visualização dos dados”. O nosso blog também é um repositório em que você pode encontrar diferentes posts sobre investigações relacionadas a falhas de segurança, não deixe de ler o texto sobre a palestra apresentada por nossos colegas Jaime e Pablo na RootedCON 2019.

Figura 2: World´s biggest data breaches&hacks

Análise e Gestão
Em cibersegurança, esses conceitos devem andar sempre de mãos dadas, um tratando de aspectos mais técnicos como, por exemplo, vulnerabilidades e o outro mais de gestão, ou, por exemplo, os riscos.

Vamos focar neste último, para começar a implementar a cibersegurança é necessário que se tenha bem claro qual é o contexto geral de segurança da informação na companhia. Você pode assistir à palestra sobre Análise de Riscos que foi parte da primeira temporada do nosso 11Paths Talks.

Figura 3: contexto geral da segurança da informação

Uma vez que entendamos o contexto geral da cibersegurança, podemos começar a implementá-la, mas como? Hoje em dia é possível encontrar muitos padrões, modelos de trabalho, metodologias e melhores práticas sobre a adoção de cibersegurança. É sempre mais seguro utilizar os mais reconhecidos e, a nosso ver, é primordial que você entenda e aplique o Framework de Cibersegurança do NIST (que acaba de cumprir 5 anos), já que ele trata das fases básicas mais importantes: identificar > proteger > detectar > responder > recuperar.

Figura 4: fases del framework de ciberseguridad

Esse modelo conta com padrões, diretrizes e boas práticas para gerenciar os riscos relacionados à segurança da informação e foi criado com foco prioritário ao Marco de Segurança Cibernética dos EUA que visa garantir a resistência e infraestrutura crítica e outros setores para a economia e segurança nacional do país.

Uma iniciativa que também recomendamos é o Secure Control Framework, que tem a missão de funcionar como um catalisador para a forma com que os controles de privacidade e cibersegurança são aplicados nas camadas estratégica, operacional e tática de uma organização, independentemente de seu tamanho ou indústria. Basicamente a ferramenta é um portal na internet que agrupa mais de 100 padrões, ISO, controles, frameworks etc., ao selecionar o padrão são mostrados quais controles implementar de maneira integral.

Figura 5: portal web SCF (Secure Control Framework)

Continuaremos desenvolvendo esse assunto no segundo post da série, não perca e, enquanto isso, te convidamos a acessar a 5ª temporada do ElevenPaths Talks.

A importância da cibersegurança nas empresas e também para as PMEs

ElevenPaths    31 mayo, 2019

Os gestores de negócio já têm em conta que a cibersegurança é um dos principais riscos para o negócio e que eles demandam investimentos contínuos. No entanto, para as pequenas e médias empresas ainda é um desafio saber o que fazer, implementar e manter para proteger seus negócios protegidos.

Por esse motivo, vemos um número cada vez maior de guias e padrões para adoção de segurança destinado às pequenas e médias empresas, que ajudam seus gestores a avaliar e reduzir os riscos de segurança dos seus negócios.

Alguns desses guias são públicos e trazem informações sobre as ferramentas que devem ser utilizadas para melhorar a postura de segurança das PMEs, entendendo que essas companhias têm recursos limitados e pouco conhecimento sobre seus desafios. Alguns exemplos dessas publicações são o NIST ou a FTC, ambos com foco em gestão de riscos e custo/benefício vantajoso.

Os guias têm alguns detalhes em comum, classificados como conceitos básicos em segurança, onde se explicam os riscos que devem ser considerados e como resolve-los, o entendimento de ameaças, mas, sobretudo, a capacidade de identificar os problemas de forma simples.
Em termos gerais, os guias sempre destacam a importância de gerenciar a segurança do website corporativo como um dos elementos mais importantes da postura digital da empresa. Nesse item, devemos ter em conta ao menos três conselhos básicos:

  • Acesso controlado ao sistema de administração do website, utilizando duplo fator de autenticação e gerando qualquer mudança de conteúdo aos diretores da empresa. Esse conselho visa prevenir mudanças não autorizadas e a tomada de controle da gestão por possível roubo de identidade do administrador
  • Gerar confiança dos usuários do site através da implementação e mecanismos seguros de transferência de informações e validação de usuários. As empresas têm que entender a importância da sua reputação digital, sobretudo se realizam transações bancárias online ou recebem informações pessoais de clientes
  • Ter um plano de continuidade para o website, que garanta a usabilidade e mínima perda de informações em caso de comprometimento da aplicação. Deve-se ter uma aplicação para recuperação de incidentes que permita recolocar o website no ar o mais rápido possível depois de um incidente

Outro fator que devemos levar em conta é a proteção dos dispositivos que gerenciam e transmitem as informações utilizadas pela empresa, já que a integridadee a confiabilidade desses ativos é o que permite garantir que a informação é verdadeira. Abaixo estão três conselhos que devemos aplicar nesse rol:

  • Todo dispositivo que armazena informações deve ser considerado como crítico e, por isso, deve ser protegido. Deve-se instalar ferramentas de proteção em todo os smartphones e dispositivos móveis usados por funcionários, isso inclui a instalação de software que proteja os equipamentos contra malware e que permita recuperar a informação em caso de perda, roubo ou dano ao equipamento
  • Softwares e equipamentos de rede devem ser permanentemente atualizados, realizando as configurações necessárias de segurança em cada um deles. A empresa deve prestar atenção, principalmente, a redes sem fio, aplicando controles de identificação dos usuários que se conectam a ela e protocolos de segurança restritos
  • Validar o software utilizado em dispositivos, além de não permitir a instalação de nenhum software não autorizado para minimizar a possibilidade de incidentes por uso de programas maliciosos ou que tenham falhas de segurança. Uma boa prática é a implementação de mínimos privilégios aos usuários e validação de qualquer software antes de sua instalação

Por último, mas não menos importante, prestar atenção no elo mais fraco (e mais importante) da segurança: os usuários. São eles que manipulam a informação e devem reconhecer seu valor para a empresa, protegendo-a de maneira correta seguindo os seguintes conselhos:

  • Planejar a segurança da informação como um componente integrado ao negócio da empresa. Os diretores devem passar a ver a segurança da informação como um ativo crítico, vital para o seu negócio, que deve estar alinhado com todas as necessidades e planos estratégicos das companhias
  • segurança deve ser implementada segundo a criticidade da informação para o negócio, ou seja, devem ser adotados mecanismos de controle como criptografia de dados, para garantir que informações sensíveis e vitais da empresa estejam protegidas. Uma vez mais, os funcionários são chave para esse processo, devem ser treinados para saber o que é crítico e o que não é
  • A segurança é um trabalho conjunto de todos na empresa e requer participação ativa. Não adianta implementar os melhores controles e softwares de proteção, se um usuário não entende que conectar um pen-drive suspeito ao seu laptop é um risco tremendo ao negócio

A publicação desses guias traz conselhos ricos para a proteção de pequenas e médias empresas, com uma linguagem simples e exemplos práticos que atendem suas necessidades específicas. Isso permite mitigar os riscos que a digitalização dos negócios criou, a invasão dos sistemas e dispositivos, roubo de informação, além do uso das estruturas das PMEs para afetar empresas maiores.

Diego Samuel Espitia
Chief Security Ambassador at ElevenPaths
[email protected] 
@dsespitia

O lado obscuro da impressão 3D: desafios, riscos e usos maliciosos (parte 1)

ElevenPaths    22 mayo, 2019

A tecnologia de impressão 3D está revolucionando os processos de fabricação, seus entusiastas já imaginam um futuro onde cada casa e empresa terá, ao menos, ima impressora dessas, o que transformará a forma como produzimos, consumimos e reciclamos objetos. No entanto, quais são os riscos de cibersegurança prováveis nesse novo cenário? Espionagem, malwares, destruição e criação de armas estão entre eles, vamos analisa-los a seguir: 

Tabela de impressão 3D

A impressão 3D é um grupo de tecnologias de fabricação por adição, na qual se cria um objeto tridimensional a partir de modelo CAD ou 3D, através da superposição de camadas sucessivas de material. As impressoras 3D, em geral, são mais rápidas, econômicas e fáceis de usar do que outras tecnologias de fabricação por adição, além disso podem imprimir em materiais com diferentes propriedades físicas e mecânicas, que podem ser criadas facilmente. 

Existem vários tipos de impressoras 3D e elas se diferenciam principalmente pela técnica empregada para sobrepor as diferentes camadas, os materiais utilizados e seus suportes. Alguns métodos fundem o material ou o amolecem para produzir as camadas, como por exemplo na sinterização seletiva a laser (SLS, na sigla em inglês) ou na modelagem por deposição fundida (FDM, em inglês). Outros métodos utilizam materiais líquidos que são depositados e logo se solidificam. Cada uma dessas tecnologias tem suas próprias vantagens e inconvenientes. 

A impressão 3D, porém, tem um lado obscuro, que incluem os riscos de segurança causados pela sua utilização em si e os usos maliciosos do que se pode produzir com essas máquinas. Vamos analisar cinco desses aspectos, aqueles que achamos mais representativos:

  1. Modificação não autorizada de arquivos de impressão
  2. Vulnerabilidades em softwares e firmwares 
  3. Exposição de dispositivos à Internet ou redes inseguras 
  4. Roubo de modelos ou arquivos de impressão confidenciais
  5. Impressão de peças com fins maliciosos 

Modificação não autorizada de arquivos 
Para imprimir em 3D usando a técnica FDM, ocorre a alimentação de um filamento termoplástico em um extrusor, que derrete o material e o deposita em camadas, seguindo a forma do objeto projetado a cada altura. Para dar as instruções de deposição do material derretido e, assim, construir a forma final desejada, pode ser usado o G-Code, uma linguagem de programação que determina o que a impressora 3D deve fazer. O G-Code é um padrão muito difundido para programar máquinas de controle numérico, como tornos e fresadoras, e indica à impressora quais os movimentos ela deve realizar através de um sistema cartesiano em três dimensões, quanto material deve depositar, qual a temperatura dele, etc. 

Exemplo de G-Code

O problema com este tipo de linguagem de programação é que seus arquivos não possuem nenhum recurso de verificação de integridade. Se um atacante for capaz de intercepta-los antes de sua execução pela impressora, é possível que ele faça alterações sem ser detectado, o que pode causar danos graves. Os objetos industriais impressos em 3D têm estruturas internas que, geralmente, não podem ser visualizadas quando a impressão estiver concluída. Muitos desses projetos incluem elementos de desenho específicos, cruciais para a resistência e integridade estrutural do objeto impresso. Um atacante que acesse os arquivos G-Code, pode modificar o projeto original ou sabotá-lo, introduzindo pontos frágeis que só seriam percebidos depois da impressão, quando o projeto apresentasse uma falha crítica de funcionamento, imagine o prejuízo para uma fábrica de peças industriais.
 
Um grupo de pesquisadores de várias universidades lançou em vídeo uma prova de conceito do ataque denominado dr0wned. No vídeo estão demonstradas as técnicas da invasão que encontra o modelo de impressão 3D (no caso um projeto de hélice de avião não tripulado) para alterá-lo e gerar falhas durante o uso. 

Vulnerabilidades em software firmware
Mesmo havendo diferentes aspectos entre as impressoras 3D, elas compartilham atributos similares que as tornam vulneráveis a ataques, como o uso de software e firmware que podem estar infectados.

Quanto ao firmware, as impressoras 3D do it yourself (DIY) mais simples e baratas, como por exemplo os clones da conhecida Prusa I3 MK2 e as impressoras 3D da RepRap, utilizam um firmware open source chamado Marlin. Em junho de 2018, um pesquisador descobriu uma vulnerabilidade buffer overflow nesse firmware, que foi corrigida em suas últimas versões. Se um cibercriminoso convence ao operador da impressora (seja em ambiente doméstico ou industrial) a carregar um arquivo de impressão 3D malicioso com instruções específicas em G-Code, pode-se permitir a exploração da vulnerabilidade para executar código arbitrário na máquina da vítima.

Sobre o software, existem ferramentas de software 3D específicas que são utilizadas em etapas distintas do processo de impressão, como o desenho dos modelos (modeling) e a conversão desses projetos em camadas (slicing) e podem conter vulnerabilidades de segurança. O Blender, por exemplo, é um software usado para slicing que possui várias vulnerabilidades de buffer overflow detalhadas nesses CVEs a partir das quais um atacante poderia convencer o operador da impressora a abrir um arquivo .blend malicioso, permitindo a execução de código arbitrário no equipamento.

Interface do software Blender

Interface do Software Blender Fique atento à segunda parte deste artigo para conhecer os detalhes de outros riscos atribuídos a impressão 3D. Até lá!

Segunda parte do artigo: O lado obscuro da impressão 3D – Parte II

Yamila Levalle
@ylevalle
Innovación y Laboratorio
[email protected]

Não confunda a frequência de um incidente com a facilidade com a qual você se lembra dele

ElevenPaths    20 mayo, 2019

Imagine que dois assaltos violentos tenham acontecido em parques de sua cidade e que, durante alguns dias, a imprensa esteja focando todos os esforços para noticiá-los. Imagine também que, nesta tarde, você gostaria de sair para correr no parque perto da sua casa. Inevitavelmente, as notícias sobre os assaltos fazem você pensa na probabilidade de ser vítima de um roubo (ou algo pior) nesse mesmo parque. Sua mente fará a associação:

Parque: perigo!

As imagens que você viu na TV e na internet fará com que você sobrestime a probabilidade de que algo aconteça em qualquer um dos parques de sua cidade. Como resultado, você evitará correr no parque próximo a sua casa, pelo menos até que a memória sobre as notícias se apague. Somente quando você deixar de associar “parque” a “perigo”, você voltará a correr novamente.

Esse é um comportamento irracional sob todos os aspectos. Na verdade, sua mente está usando a seguinte heurística: se me vem a mente vários exemplos de algo, então aquilo deve ser comum. Nesse exemplo, pensar em “parque” cria imagens de violência, então a probabilidade de que algo violento aconteça é muito alta. Porém, você conhece as estatísticas reais sobre roubos em parques? Duas pessoas foram assaltadas em parques, isso significa que parques são perigosos, não importa o que digam as estatísticas, certo?

Bom, não. Os psicólogos chamas esse juízo de valor de viés de disponibilidade: quanto mais fácil é relembrar de algo, mais frequente cremos que este algo aconteça.

Tendemos a sobrestimar a frequência de algo sensacional e subestimar aquilo que é mundano 
Os seres humanos são realmente ruins com números, quem dirá calculando probabilidades. São raras as vezes em que nossa percepção de risco coincide com a realidade, temos a tendência de dar mais atenção a riscos espetaculares, vívidos, recentes ou emocionais e o resultado é que nos preocupamos com riscos que poderíamos ignorar e deixamos de prestar atenção naqueles que realmente importam.

A tabela a seguir, adaptada por Bruce Scheneier a partir de literatura científica sobre o tema, descreve como as pessoas percebem os riscos de maneira geral:

A heurística da disponibilidade explica a maioria dos comportamentos listados na tabela e, com a mesma influência, tomamos decisões diariamente (grandes e pequenas) com implicações diretas na segurança da informação:

  • Devo me conectar a essa rede Wi-Fi pública? 
  • Conecto esse pen-drive na porta USB do meu computador? 
  • Envio esse arquivo confidencial como anexo nesse e-mail? 

Calculamos os riscos de maneira automática sem prestar atenção consciente neles, afinal não usamos uma calculadora e dados estatísticos para determinar as probabilidades. Nos deixamos guiar pela heurística da probabilidade. Se não me vem à cabeça nenhum incidente relacionado com esse desafio de segurança, então é pouco provável que ele aconteça. Do contrário, se eu me lembro de vários incidentes relacionados ao desafio, então o risco é alto.

Mas porque alguns acontecimentos são mais fáceis de lembrar do que outros? Conhecer a razão nos ajudará a tomar melhores decisões de segurança e a não nos deixará influenciar tão facilmente por influenciadores externos.

As histórias vividas são gravadas a fogo na memória 
Pesquisadores identificaram alguns fatores que fazem com que um acontecimento seja gravado de maneira duradoura em nossa memória, mais do que outros:

  • Qualquer conteúdo emocional faz com que a memória dure mais. Umas das emoções mais poderosas nesse sentido é o medo. Algo que você poderá notar em muitas notícias sensacionalistas sobre cibersegurança.
  • As palavras concretas são mais facilmente lembradas do que as abstrações como números. Por isso, as histórias tem impacto muito maior do que as estatísticas. Ainda que seja difícil admitir (afinal somo animais racionais, não?), nossas decisões são afetadas pelo que vivemos, mais do que pelo que sabemos ou somos informados. 
  • Rostos humanos tentes a gravar memórias mais fortes, ao menos quando expressam alguma emoção e é por essa razão que anúncios de sucesso tem personagens com características marcantes.
  • Os acontecimentos mais recentes são mais bem recordados do que os antigos já que a memória se degrada com o tempo. Se você está dirigindo por uma estrada e passa por um acidente, será mais consciente do risco de sofrer o mesmo tipo de acidente e reduzirá a velocidade do seu carro. Mas pouco tempo depois, basta que a conversa no veículo mude de assunto e você esquecerá completamente do que aconteceu.
  • Do mesmo jeito, algo que nunca aconteceu será gravado de maneira mais forte na memória. O que é cotidiano passa desapercebido, aquilo que é extraordinário chama a atenção.
  • Como todos os estudantes sabem, a concentração e a frequência ajudam na memorização. Quanto mais vezes você é exposto a uma informação, mais ela será gravada. Que o diga os publicitários!

Todos esses efeitos são cumulativos e, segundo o psicólogo Scot Plous:

Em termos muito genéricos: (1) quanto mais disponível é um evento, mais frequente ele parecerá para nós; (2) quanto mais vívida seja a experiência, mais fácil e convincente ela será e (3) quanto mais proeminente (diferente do resto) é algo, mais provável seja que ele aconteça.

E onde você encontra todos esses requisitos? Nos meios de comunicação!

Se é notícia, não se preocupe! 
Como ocorre com muitos outros vieses de pensamento, a heurística da disponibilidade se mostrará válida na maioria das situações de nossa vida cotidiana. Se podemos recordar de exemplos, então aquilo aconteceu muitas vezes.

Seguramente, todos nós pensaremos que há mais cientistas homens do que mulheres, ou franquias norte-americanas do que espanholas, ou mesmo em jogadores espanhóis presentes na Champion’s League do que malteses. A heurística da disponibilidade é útil na maioria das vezes e facilita estimar probabilidades de maneira rotineira.

No entanto, essa estratégia não é infalível. Alguns fatos de nossa vida podem ser mais memoráveis do que outros, razão pela qual calcularemos incorretamente a probabilidade de que eles aconteçam. Podemos dizer que os meios de comunicação alimentam a criação desse viés, algo só é notícia se for raro ou marcante, tem que atrair a atenção. Assim, as notícias informam aquilo que é, estatisticamente, irrelevante, enviesando nossa percepção sobre a frequência dos acontecimentos.

O resultado é que as pessoas avaliam riscos através da facilidade com que se recordam do perigo, se preocupam especialmente dos perigos aos quais estão expostos através dos meios de comunicação e não tanto com perigos reais, que podem até ser mais letais.

Por esse motivo, tendemos a crer que é mais provável morrer de um acidente do que de uma doença, isso porque uma batida entre dois veículos em cima de uma ponte ao lado de um precipício recebe maior cobertura midiática do que as mortes por asma, apesar de que morrem 17 vezes mais pessoas da doença do que de acidentes.

Alguns pesquisadores dizem que a heurística da disponibilidade nem seque leva em consideração que algo tenha ocorrido realmente, nossas percepções podem ser fruto de algo fantasioso que vimos em uma série ou filme, mas que nos marcou. É normal que nossa mente vá misturando o que é real com aquilo que é fantasioso. Nas palavras de Daniel Kahneman:

O mundo que imaginamos não é uma réplica precisa da realidade. Nossas expectativas sobre a frequência dos acontecimentos estão distorcidas pela prevalência e intensidade emocional das mensagens que chegam até nós.

Como sobreviver à heurística da disponibilidade na segurança da informação 
O primeiro passo é combater o viés, conhecendo sua existência real. Si você chegou até aqui, já entende como funciona a heurística da disponibilidade e poderá tomar algumas ações baseadas nela para melhorar a segurança da informação em sua empresa:

  • Como você já sabe, os usuários tendem a sobrestimar a probabilidade de eventos vívidos e surpreendentes e vão focar em informações que sejam facilmente recordadas. Você pode explorar esse efeito explorando histórias simples no lugar de informações ou dados estatísticos. Por exemplo, compartilhar histórias sobre como a extração de dados de um protótipo secreto levou a importante caso de espionagem industrial (partir do roubo de um dispositivo USB) será mais efetivo do que dizer que “metade dos empregados disseram ter copiado informações secretas em dispositivos USB, apesar de que 87% das empresas contavam com políticas que impediam essa ação”.
  • Faça uso da repetição, quanto mais você repetir uma mensagem e seus exemplos, mais facilmente essa informação será recordada. 
  • Preste mais atenção em dados estatísticos do que no perigo das manchetes do dia. Não baseie suas decisões em pequenas amostras de casos representativos, mas em grandes números. Se algo é notícia corriqueira, não significa que seja frequente ou de alto risco, só que chama a tenção e cria uma boa história.
  • Não confie em sua memória. Faça uso de dados antes de decidir sobre a frequência ou magnitude de um acontecimento.
  • Seguindo a heurística, somo impulsionados a instalar contramedidas de segurança somente após ter sofrido um incidente. Consulte as estatísticas para entende quais são os riscos reais que você ou sua empresa correm. Não espere que haja um incidente para se proteger, se o risco para o seu negócio for grande, não se atenha às notícias, proteja-se já!
  • Nos lembramos mais de um incidente do que da falta deles, afinal todo incidente de segurança é uma histórica, enquanto a ausência deles não é algo lá tão sedutor. Quer um exemplo? Nos cassinos, quando há um jackpot, as máquinas tocam a todo volume sons e músicas, mas não fazem qualquer barulho quando o jogador perde. Essa assimetria te fará pensar que é muito mais fácil obter um jackpot do que perder. Preste atenção não somente naquilo que você pode ver, mas naquilo que não é visível também. É muito mais fácil relembrar de um vírus que obteve êxito do que milhões deles que não tiveram sucesso algum, mas eles ainda estão lá.
  • Esteja rodeado de uma equipe com diversas experiências e pontos de vista. A diversidade vai, por si só, limitar a heurística da disponibilidade porque os membros da equipe se desafiarão de maneira natural. • Utilize sua rede de contatos par além da sua organização em busca de informações para tomar decisões. Permita que outros demonstrem suas perspectivas, se elas forem diferentes da sua melhor. Grupos diversos terão vieses de juízos diferentes dos seus.

Assim, da próxima vez que você tomar uma decisão pare e pergunte: estou tomando essa decisão porque me vem à mente um acontecimento recente ou estou levando em consideração fatores que não posso recordar facilmente? Quando melhor entendermos nossos vieses pessoais, melhor tomaremos decisões.

Biometria: como funciona o reconhecimento facial e quais são suas aplicações?

ElevenPaths    14 mayo, 2019

biometria é a tecnologia que compara padrões físicos das pessoas e permite diferenciar um indivíduo do outro, estabelecendo seu perfil com informações pessoais de idade, sexo e estado emocional. Para realizar um teste biométrico precisamos partir de um modelo de identificação, com motores treinados com dados classificados. Esse treinamento consiste em adicionar dados catalogados com informações que adicionam valor aos mesmos, por exemplo uma foto armazenada pode ter informação de idade, gênero, se a pessoa está doente ou sadia, localização etc. Geralmente, se captura múltiplas fotos para se confirmar essas informações. Quando concluímos o treinamento dos motores de identificação, podemos estabelecer processos de comparação com dados novos, ou seja, uma nova imagem. O resultado dessa comparação será obtido com o grau de semelhança ou diferença entre este novo registro e o modelo original, a partir do qual podemos extrair conclusões relacionadas. Estes modelos são definidos seguindo regras de inteligência artificial que nos permitem desempenhar certas operações:

  • Perfilar: pode-se obter características como sexo, idade, estamos emocional etc. Com um modelo básico treinado, os dados novos podem ser comparados automaticamente.
  • Verificação: comprovar a identidade real do indivíduo. Com um modelo que está treinado para comparar e avaliar as similaridades entre o dado novo e aquele gravado.
  • Identificação: comprovar se a imagem identifica um membro de um grupo pré-definido. O modelo avaliará todos os elementos do grupo, tentando encontrar semelhanças entre eles e o indivíduo registrado.

Para definir um perfil, é necessário um banco de dados com características comuns entre grupos e indivíduos. Para a verificação e identificação, o treinamento deve ser feito com base na foto do próprio indivíduo, que serão comparadas no futuro: O processo varia um pouco:

O que é o #10YearChallenge?
Foi um desafio que viralizou na internet nos últimos meses e que, apesar de parecer inocente, tinha como objetivo final conseguir uma quantidade enorme de dados categorizados que puderam ser usados para treinar motores de reconhecimento facial das gigantes de tecnologia facebook, Google, Amazon e Microsoft. Essas empresas têm, com certeza, a maior quantidade de dados pessoais etiquetados para treinar seus motores de reconhecimento, o desafio permitiu fortalecer os negócios dessas empresas com base na melhoria da identificação dos seus usuários para uso próprio ou venda a terceiros. Como dissemos antes, os modelos de reconhecimento ficam cada vez mais precisos à medida em que são treinados com novos dados categorizados. Além disso, as empresas podem criar ferramentas para projetar os modelos futuros de rostos de seus usuários. O processo tem consequências sérias:

Segurança

  1. Sistemas que não contem com ferramentas de detecção de spoofing (imitação ou suplantação) podem, com essa foto, serem enganados para permitir acesso de terceiros às contas dos usuários.
  2. Usando as características físicas ou de envelhecimento de uma pessoa, se pode inferir como seriam seus parentes, ou seja, identificar filhos, bastando um estudo rápido de rotina para descobrir onde e em que horário eles estarão.

Privacidade

  1. A publicidade dirigida é outra consequência clara do desafio. Por exemplo, se nesses 10 anos o usuário tiver sofrido mudanças físicas, engordou ou emagreceu, sofreu algum acidente ou doença que alterou seu aspecto físico, isso pode ser usado em publicidade, como clínicas de estética e indústria farmacêutica
  2. Algo mais relacionado com os últimos escândalos do facebook, o desafio #10YearsChallenge poderia ser usado para formar padrões comuns ao longo do tempo entre grupos com similaridades em relação a religião, tendência política, dentre outras, para direcionar campanhas de propaganda ou publicidade. Por exemplo, se você vota em um determinado candidato, por estar usando uma camiseta de campanha, poderia ser influenciado por propaganda do candidato opositor
  3. Se poderia analisar mudanças comuns em segmentos de população associados a movimentos sociais, políticos e religiosos, estabelecendo critérios e análises comuns para aplicar ações controladas sobre esses segmentos. Além disso a quantidade de dados recebida no desafio poderia ser utilizada para criar projeções para se avaliar como, passados mais 10 anos, o usuário envelheceria. Por exemplo, o facebook deve ter milhões de fotos com marcação de data dos seus usuários, o que permite analisar como esse usuário envelheceu em determinado período, se o envelhecimento acelerou ou não. A partir do treinamento de modelos, pode-se criar imagens falsas de pessoas reais que não poderão ser diferenciadas. Além disso podemos ser alvo publicidade dirigida de acordo com demanda futura, ou seja, em função de certos aspectos de nosso envelhecimento poderíamos ser impactados com publicidades para resolver problemas que nem sabemos que temos, vivendo em um déjà-vu constante.

Conclusão
Depois dos últimos escândalos de uso indevido de dados pessoas, deveríamos ser mais conscientes sobre o valor das informações que subimos para a internet, saber o tamanho de vulnerabilidade que isso pode criar para nós mesmos e se as empresas fazem uso ético desses dados.
Temos que levar em conta que essa engenharia de dados pode ser a alavanca para determinados setores lucrarem pesado com modelos antiquados e pouco éticos de negócios. A falta de consciência nos faz delegar a responsabilidade do uso de nossos dados, o que dá poderes que não imaginamos para as empresas, que decidirão se vão utilizar essas informações de maneira correta, lícita e ética. Por isso precisamos de uma postura crítica, entender o papel das empresas e limites na utilização de nossos dados.Temos que fazer isso agora, porque a digitalização do mundo será cada vez maior, assim como o uso dos nossos dados.