terça-feira, 31 de dezembro de 2024

Os dragões de 2025

Graças ao papa Gregório XIII, com a reforma do calendário em 1582, estamos terminando 2024, um ano bissexto, também resultante do ajuste. Tudo isso cerca de um século depois do que consideramos o fim da Idade Média, com a queda de Constantinopla em 1453.

Nos mapas medievais, quando se saía da região conhecida, havia um alerta aos navegantes sob a forma de desenhos de dragões e monstros marinhos, às vezes acompanhado da frase "Hic sunt dracones". “Aqui há dragões!, se quer ir além do já mapeado, siga por sua conta e risco”. Mais que um alerta, talvez fosse um desafio: um convite aos temerários que ousássem enfrentar o desconhecido. Sabemos que muito do que desfrutamos hoje se deveu à audácia dos que aceitaram ver-se frente a frente com os tais dragões.

Um dos “dragões tecnológicos” mais óbvios de 2024, foi a Inteligência Artificial, que passou de ferramenta a pleno ambiente. Não apenas ela provou seu controle amplo da linguagem, português incluído, como manteve com os usuários uma interlocução bastante crível, que aparenta razoabilidade e sensatez. É fácil constatar o grau de surpresa de um neófito ao conversar com versões avançadas de LLM, que não apenas respondem às suas perguntas, mas passam a auxiliares importantes (e eventualmente perigosos…) na tomada de decisões. O aprofundamento dessa interação poderá fazer com que, em curto tempo, tenhamos até dificuldade em definir “humano”, ou “consciência”. O velho crivo que Alan Turing propôs em 1949, com o seu teste, é hoje claramente insuficiente para diferençar o humano da máquina.

Em campos como apoio a diagnósticos em medicina, consultas à jurisprudência, aumento da eficácia de processos, a IA, através do aprendizado de máquina e do processamento de imagem e texto, muitas vezes supera os resultados hoje obteníveis por humanos, especialmente quanto se trata de digerir imensas quantidades de dados.

Outra analogia possível é com o mito da Caixa de Pandora. A tecnologia, com IA e novas ferramentas, abriu a tal caixa. Dentro dela pode haver maravilhas, cura de doenças, acesso ainda mais amplo a conhecimento, otimização de recursos e, até, criação sintética de imagens e vídeos. Mas saem também estorvos, como o aumento da desinformação usando IA, a criação sintética de “realidades”, a vigilância ubíqua sob o controle dos poucos que dominam o ferramental, o aumento de desigualdade que qualquer tecnologia usualmente produz, os novos dilemas morais e éticos. Como no mito, restará sempre oculta, no fundo da caixa, a “esperança” à qual nos aferraremos. Afinal, uma vez aberta, a caixa não se fechará novamente.

"Hic sunt dracones" assim, além de um aviso, é um chamado à exploração responsável e ética dos artefatos que estamos criando, na esperança de usá-los para curar e progredir, … sem nos perdermos dos valores humanos. Domemos os dragões que surgirem, aprendamos com eles, e não seremos vítimas de seu hálito mefítico.

Essa navegação perigosa seguirá cada vez mais acelerada em 2025. Que seja um ano propício à humanidade e nos traga boas surpresas!. Até o ano que vem… e com os 150 anos do Estadão!.

===
https://pt.wikipedia.org/wiki/Hic_sunt_dracones




Um dos mapas de aproximadamente 1510 é Globo de Lenox. Nele há a frase citada
"Hic Sunt Dracones", próxima à costa leste da Ásia:
https://en.wikipedia.org/wiki/Hunt%E2%80%93Lenox_Globe

===
sobre a caixa de Pandora:
https://pt.wikipedia.org/wiki/Caixa_de_Pandora

terça-feira, 17 de dezembro de 2024

O Dono da Chave


Estamos em meio à discussão sobre o Marco Civil, com polarizações que nem sempre levam em conta conceitos básicos. Como exemplo, a necessidade de definição de “intermediário”, sem a qual podem ser baldados esforços de convergência. Um ponto simples: o “intermediário” deve saber do conteúdo que transporta? A resposta clássica seria “não”. Em contos como “Miguel Strogoff, o correio do Czar”, de J. Verne, o carteiro faz das tripas coração para levar o envelope ao destino. Telefonia e correios ainda hoje trazem essa vedação, agora com o suporte de uma agência de proteção a dados pessoais e ao sigilo. O conceito é antigo: o histórico lema do correio americano reza que “nem a chuva, nem o sol, ou a nevasca impedirão o carteiro…”, e parece ter sua origem em Homero.Hoje há muitos atores que não se encaixam na definição clássica acima, mas isso não significa que os primeiros desapareceram. O risco é o inverso: na avidez de querer “proteger” a comunidade, há tendências de não mais vedar ao intermediário o conhecimento do que transporta. Aliás, estimula-se que entre ativamente no circuito, decidindo o que deve permitir, ou não. Não se pretende aqui examinar a plêiade de diferentes atores e papéis que existem, mas apenas preservar o que nos resta de privacidade. E a ferramenta que nos dá alguma proteção ainda é a criptografia forte, sem esquecermos que a tecnologia, alvo móvel, em sua incorporação do quântico, pode enfraquecer seriamente processos criptográficos antes seguros.

A boa notícia é que, recentemente, notou-se uma reversão na gana de agências de diversos países – notadamente os que compõem os “cinco olhos”, EUA, Inglaterra, Canadá, Nova Zelândia e Austrália – na busca do acesso às chaves criptográficas, via uma “porta dos fundos”. Em um documento conjunto, “Enhanced Visibility and Hardening Guidance for Communications Infrastructure”, apontam riscos de que outros países, abusando da tal “porta dos fundos”, comprometam em larga escala as redes de comunicação. O relatório recomenda que cidadãos e organizações evitem comunicações em texto aberto, e incentiva o uso de criptografia forte. Se antes esses países buscavam formas de quebrar sistemas de criptografia justificando a prática como “algo essencial para a aplicação da lei e o combate ao crime”, recentes ataques de espionagem, como a operação "Volt Typhoon", expuseram os riscos inerentes à criação de vulnerabilidades propositais nos sistemas.

O uso de TLS, Segurança na Camada de Transporte, tem sido a aplicação mais utilizada de criptografia, e é essencial no uso seguro de redes públicas. Se antes os governos citados resistiam à aplicação aberta da criptografia - ela aumentaria seus custos na aplicação da lei - a nova orientação representa uma guinada em favor da segurança e da privacidade. Mantenhamos o otimismo!

(como curiosidade em criptografia resistente, há o manuscrito Voynich, que desafia especialistas há mais de 500 anos. Jorge Stolfi, professor na Unicamp, é renomado pesquisador do Voynich)

===


O texto citado:
https://www.cisa.gov/resources-tools/resources/enhanced-visibility-and-hardening-guidance-communications-infrastructur

Intelligence and Cybersecurity Agencies Urge Use of Encrypted Communications(December 4 & 5, 2024)
Cybersecurity and intelligence agencies from Australia, Canada, New Zealand, and the US have jointly published Enhanced Visibility and Hardening Guidance for Communications Infrastructure. The document serves to underscore the threat posed by Chinese state-sponsored threat actors who have compromised telecommunications networks. The guidance notes that “although [it is] tailored to network defenders and engineers of communications infrastructure, this guide may also apply to organizations with on-premises enterprise equipment.” The US Cybersecurity and Infrastructure Security Agency (CISA) and the FBI have also advised US citizens to avoid using plain text communication channels, recommending encrypted phone and messaging apps "prevent[ing] anyone -- including the app makers -- from accessing the communications of its users."


Editor's Note
[Ullrich] It’s kind of ironic that agencies who lobbied in the past against encrypted communications realize now that the surveillance mechanisms they built into telecom networks are being used against them. This “Volt Typhoon” compromise of multiple telecommunications providers (even outside the US) is the best argument for strong end-to-end encryption.


[Pescatore] Lack of end-to-end encryption of email and attachments still increases overall risk more than this issue. But ideally the publicity around this issue and China’s ease of compromising the major telecom carriers will give politicians the courage to pass badly needed legislation to force major improvements in security at all telecoms and messaging providers – which is needed if email is ever to become safe and trustable. Historical note: logins over the Internet were originally in the clear. In the early 1990s, telecoms providers were routinely compromised with network sniffers that harvested bulk account names and passwords. The growth of the World Wide Web and browsers raised the stakes, and in 1994 Netscape introduced SSL and the US Government released FIPS 140-1 standards for crypto. Finally, in 2001 or so, the US government required all web browsers and servers procured to be FIPS 140 compliant – SSL use for transport security exploded across all industries.


[Murray] Transport Layer Security (TLS) has been the most widespread application of encryption. It is essential to the safe use of public networks. Governments, including the so-called "five eyes" nations have historically resisted the more widespread application of encryption because it raises the cost of law enforcement. This guidance represents a change in favor of national security at the expense of law enforcement.


[Honan] Let this be a case study to those advocating backdoors into encryption protocols for lawful interception purposes: once you introduce a backdoor you have no guarantee that it will not be abused by various actors.


Read more in:
- www.cisa.gov: Enhanced Visibility and Hardening Guidance for Communications Infrastructure https://www.cisa.gov/resources-tools/resources/enhanced-visibility-and-hardening-guidance-communications-infrastructure
- www.zdnet.com: FBI, CISA urge Americans to use secure messaging apps in wake of massive cyberattack https://www.zdnet.com/article/fbi-cisa-urge-americans-to-use-secure-messaging-apps-in-wake-of-massive-cyberattack/
- www.forbes.com: FBI Warns iPhone And Android Users—Stop Sending Texts https://www.forbes.com/sites/zakdoffman/2024/12/06/fbi-warns-iphone-and-android-users-stop-sending-texts/
- www.helpnetsecurity.com: 8 US telcos compromised, FBI advises Americans to use encrypted communications https://www.helpnetsecurity.com/2024/12/05/us-telcos-compromised-fbi-advises-use-of-encrypted-communications/

===
Referência sobre o manuscrito Voynich:
https://revistapesquisa.fapesp.br/o-codigo-voynich/
https://www.ufrgs.br/frontdaciencia/2021/10/25/t12e34-o-manuscrito-voynich/


https://www.nationalgeographic.pt/historia/o-codice-voynich-o-manuscrito-mais-estranho-do-mundo_2944





terça-feira, 3 de dezembro de 2024

Quem é você?

A tendência é que, cada vez mais, nossos bens estejam depositados em dispositivos virtuais, e não físicamente. O costume de nossos ancestrais, de guardar suas economias no colchão ou no baú, é hoje apenas folclórico e motivo de sorrisos. A contrapartida é que. cada vez mais, precisamos de uma forma segura e clara que garanta nossa identidade junto aos entes virtuais que gerenciam nossas interações, e que armazenam nossos bens. Se não houver garantia de que a transação almejada é realizada estritamente entre as partes legitimamente envolvidas, riscos de golpes aumentam enormemente.

Recomendam os bons procedimentos que se use autenticação com dois fatores. A segurança da nossa identificação ficará bem mais resguardada do que com o uso de uma simples senha, como era comum. Um dos fatores pode ser biométrico: ligado a nossos fatores físicos. A impressão digital era a forma tradicional de identificação biométrica, mas hoje há outras maneiras, como o reconhecimento facial, a identificação pela íris ou pela voz do indivíduo, e até mesmo o DNA. E aí entram em cena novos motivos de preocupação: se já havia alertas para que cuidemos da exposição de nossas impressões digitais, que podem ser mecanicamente recuperadas de objetos manuseados, ou mesmo de fotografia de alta resolução em que a posição dos dedos permita isso, a IA consegue, com bastante eficiência, não apenas fazer reproduções muito fieis de nossa face, como consegue imitar nossa voz, a ponto de burlar os sistemas de autenticação, e já há notícias disso ocorrendo... Com um pouco de treino, e tendo acesso a algumas amostras de nossa fala, obteníveis pela internet, um sistema de IA pode mimetizar nosso timbre e inflexões, de forma conseguir fazer-se passar por nós.

Antes de adotarmos um fator de biometria há que verificar sua solidez e, se for o caso, buscar alternativas de biometria mais segura. O exame da íris, por enquanto, segue seguro, mas nada garante que permanecerá assim. Já DNA, certamente, é seguro porém incômodo e pouco prático, além do risco de vazamento desse dado tão pessoal.

Poderíamos optar por um segundo fator não biométrico: uma chave armazenada fisicamente num dispositivo em nosso poder. Ela pode valer-se de criptografia forte mas, sempre, a segurança acabará umbilicalmente ligada à do dispositivo que a armazena. Há formas eletrônicas que ajudam a guardar com segurança senhas em nossos dispositivos - TPM “trusted plataform module”, um circuito eletrônico, é exemplo delas. Mas a integridade do dispositivo em si, bloqueando-se invasões e monitoramentos, continua aspecto crítico.

O contraponto é que a IA, fator de risco conforme descrito acima, pode ser usada também defensivamente. Ela nos ajudaria a avaliar a solidez das chaves escolhidas, a lembrar da necessidade de rodízio dessas chaves, e detectar eventuais tentativas de acesso aos dispositivos. Se as novas tecnologias trazem ameaças, elas também podem ser ferramentas de proteção. O que não devemos é ignorá-las. Afinal “não devemos ter medo do que vem pela frente… desde que venha pela frente!”

===
https://www.estadao.com.br/link/demi-getschko/como-proteger-a-identidade-digital-na-era-das-ias/

Sobre voz humana imitada por IA:
Cloned customer voice beats bank security checks:
https://www.bbc.com/news/articles/c1lg3ded6j9o

===
Impressões difitais:
What Is a Fingerprint? Definition, Types, Trends (2024)
https://www.aratek.co/news/what-is-a-fingerprint

Obtendo impressões digitais de outrem, através de fotografias:
Fact-check: Can hackers steal fingerprints from selfies?
https://www.euronews.com/my-europe/2024/04/29/fact-check-can-hackers-steal-fingerprints-from-selfies