Uma onda internacional de sentimentos anti-vigilância avançou contra o emprego de sistemas de reconhecimento facial na segurança pública. Grupos de ativistas e vigilantes nos EUA e na Europa, alarmados com o potencial da tecnologia em eventualmente infringir aspectos de liberdade civil, levantaram sua voz. Seus esforços criaram impulso para as proibições de uso em alguns locais e um resumo destas ações é o foco do artigo.

Cabe destacar que o intuito aqui não é defender ou atacar a tecnologia ou o seu uso. Deve estar claro, pela nossa posição de ofertadores de tal tecnologia, que confiamos no seu emprego para resolver diversos problemas, muitos dos quais de enorme impacto para as sociedades de maneira geral.

Sobre os fatos: algumas cidades dos EUA aprovaram leis de reconhecimento facial, enquanto o governo federal ponderava as questões. A União Europeia está trabalhando em suas próprias restrições.

Em maio, São Francisco se tornou a primeira cidade dos EUA a proibir o reconhecimento facial pela polícia e outras autoridades do governo, seguida pelo subúrbio de Somerville, em Boston, MA. Nos próximos meses, os vizinhos de São Francisco, Oakland e Berkeley, aprovaram leis semelhantes. Essas leis foram lideradas pela União Americana das Liberdades Civis, que visa a criar impulso para a legislação nacional.

Em Washington, membros do Congresso dos EUA questionaram o Departamento de Segurança Interna sobre o plano da agência de usar a tecnologia nos aeroportos e na fronteira. Os legisladores do Senado e da Câmara dos Deputados apresentaram alguns projetos de lei - tendo um subconjunto deles apoio bipartidário - buscando restringir o uso do reconhecimento facial para suprimir liberdades, negar moradia e gerar lucro, entre outras coisas. Nada mais óbvio, se forem considerados os objetivos descritos.

Algumas entidades européias pressionaram para classificar imagens faciais como dados biométricos sujeitos a regulamentos de privacidade existentes. A Comissão Européia está considerando uma legislação voltada para o "uso indiscriminado" do reconhecimento facial por organizações privadas e órgãos públicos. No entanto, a França, em outubro, preparou um programa nacional de identificação baseado na tecnologia. Cada leitor que tire suas conclusões sobre porque justamente a França.

O uso de reconhecimento facial na China provocou oposição nos EUA, onde as autoridades federais de comércio proibiram as exportações de tecnologia dos EUA para várias empresas chinesas.

Nos bastidores: em 2016, a Administração Nacional de Telecomunicações e Informações dos EUA publicou diretrizes de reconhecimento facial, pedindo às empresas que sejam transparentes, pratiquem o bom gerenciamento de dados e permitam ao público algum controle sobre o compartilhamento de dados faciais com terceiros. Embora os principais fornecedores da tecnologia sejam membros da NTIA, não está claro se eles seguem essas diretrizes.

Em termos práticos: em junho, Andy Jassy, ​​CEO da Amazon Web Service, disse: “Gostaria que o [Congresso] se apressasse... Caso contrário, teremos 50 leis diferentes em 50 estados diferentes.” 

A história da humanidade é capaz de apresentar diversos eventos nos quais a dissimulação foi empregada como ferramenta de guerra. Acredito, sem nenhum estudo muito aprofundado, que a dissimulação como estratégia de guerra, tenha nascido juntamente com o primeiro exemplo de guerra. Desde esta primeira tentativa de enganar o adversário, as técnicas de dissimulação com toda certeza ganharam relevância e se aprimoraram seja nas ações defensivas, seja nas ações ofensivas.

A dissimulação, em geral, é obtida por meio da ocultação de informações, que passa por técnicas como camuflagem e criptografia/esteganografia. Mas também pode ser alcançada a partir de divulgação proposital de informações falsas, configurando um típico caso de isca com objetivo de induzir o inimigo a um erro ou descobrir algum modus faciendi adotado por ele.

"Toda guerra é baseada em dissimulação. Por isso, quando capaz, finja ser incapaz; quando pronto, finja grande desespero; quando perto, finja estar longe; quando longe, faça acreditar que está próximo." (Sun Tzu - A arte da Guerra)

As estratégias de guerra convencional estão sendo aplicadas por equipes de segurança cibernética para enganar os atacantes. Técnicas de "enganação" para desviar e inviabilizar invasões cibernéticas têm alterado um pouco o engajamento entre hackers e defensores ao mesmo tempo que se torna uma fonte de inteligência sobre os alvos, métodos e motivação dos invasores. Assim como na guerra convencional, esta estratégia é uma tentativa, por parte do lado da defesa, de sair da condição de estar sempre um passo atrás.

No jogo de gato e rato entre equipes de segurança de TI e hackers (no sentido maligno da palavra), são os atacantes que geralmente têm vantagem. Uma vez contornadas as defesas de perímetro, eles podem ficar muito tempo sem serem detectados ampliando o acesso a informações até chegarem aos alvos que estão buscando. Por mais que empreguem as mais sofisticadas defesas, as organizações tendem a estar sempre correndo atrás dos atacantes, que têm a vantagem de decidir quando, onde e com quem vão se engajar.

O conceito de deception (que estou traduzindo como dissimulação) surge como uma tentativa de equilibrar esta assimetria, mudando a maneira como as equipes de segurança se envolvem, respondem e forçam os invasores a revelar seu modus faciendi. A dissimulação funciona com o emprego de chamarizes que parecem ser ativos reais. Associado a iscas se tornam atrativos para os cibercriminosos - como dados, aplicativos ou credenciais - que os redirecionam para o ambiente dissimulado, projetado para parecer idênticos ao ambiente de produção, rodando nos mesmos sistemas operacionais e serviços.

O que há de novo?

Para os que já conhecem as honeynets, isto pode parecer mais do mesmo. Porém a abordagem mais recentes oferece uma solução mais sofisticada, eficiente e escalável, com recursos automatizados para detectar e responder às ameaças. Security deception (ou cyber deception) é um termo recente, amplamente utilizado a partir de 2017 e que se baseia em ferramental voltado para automatizar uma série de ações de configuração para detecção precoce e aprendizado com base em medidas forenses.

A título de comparação falo abreviadamente sobre as principais técnicas associadas à dissimulação: sandboxing e honeynet.

Sandboxing

Permite a instalação e execução de malware em um ambiente hermético, onde os pesquisadores podem monitorar suas ações para identificar riscos. Atualmente, são realizados com mais frequência em máquinas virtuais dedicadas, o que permite que o malware seja testado com segurança em várias versões diferentes de sistema operacional e em máquinas separadas da rede. Os pesquisadores de segurança usam sandboxing ao analisar malware e muitos produtos avançados antimalware empregam para determinar se os arquivos suspeitos são ou não realmente maliciosos com base em seu comportamento. Esses tipos de soluções antimalware estão se tornando mais importantes porque muitos dos malwares modernos são ofuscados para evitar antivírus com base em assinaturas.

Porém, muitos malwares detém, hoje em dia, meios para identificar que estão em uma sandbox e, desta forma, também dissimularem suas ações. Vento que venta lá, venta cá!

Uma questão que atenta para a dificuldade de escala desta abordagem é que análises de malware bem feitas costumam depender de um pesquisador dedicado.

Honeynet

São as redes que usam os chamados potes de mel (honeypots), hosts únicos, com sistemas deliberadamente vulneráveis, destinados a chamar a atenção dos atacantes. Conceito difundido pouco antes dos ano 2000 e voltado principalmente para a compreensão da estratégia dos atacantes.

Honeypots permitem que os pesquisadores observem como os atores de ameaças reais se comportam, enquanto o sandboxing revela apenas como o malware se comporta. Os pesquisadores preocupados com a defesa, podem usar essas informações para melhorar a segurança de suas organizações, observando novos métodos de ataque e implementando novas defesas correspondentes.

Honeynets também sofrem com dificuldades para escalar a solução visto que demandam de um especialista em segurança capaz de configurar ou manter os honeypots, bem como capturar o aprendizado obtido e implementar as soluções decorrentes.

Cyber Deception

A grosso modo podem ser considerados honeynets modernas e dinâmicas, que oferecem mais automação para detecção e implementação de defesas baseadas no dados que coletam.

É importante observar que existem diferentes níveis nas tecnologias de cyber deception. Alguns são pouco mais do que um honeypot, enquanto outros imitam redes completas que incluem dados e dispositivos reais. Os benefícios incluem a capacidade de falsificar e analisar diferentes tipos de tráfego, fornecer acesso falso a contas e arquivos e a capacidade de imitar uma rede interna de "forma mais autêntica".

Soluções novas com conceito antigo...

Se você, quando criança, já brincou de mentir com os dedos cruzados, vai entender a metáfora perfeitamente.

A substância primordial da era digital são os #dados. Não é à toa que que gastam-se uma enormidade de recursos para processá-los e armazená-los. Também não é à toa que gastam-se recursos para protegê-los e, no outro extremo, também sejam gastos recursos para se quebrar as proteções afim de se obtê-los.

As violações de dados têm se tornado um problema crescente para indivíduos e entidades em todos os países: governos, indústrias, organizações, universidades, dentre tantos outras. Desde as pequenas violações até os mais significativos ataques de alto nível, violações de dados, roubo de dados e manipulação de dados estão se tornando um assunto comum em âmbitos nacionais e globais. Não parece ser uma tarefa fácil, deter essa onda crescente de ataques cibernéticos oriundos de qualquer lugar. Como resultado, independentemente de dados pessoais, dados corporativos, dados governamentais, big data ou dados de IoT, nenhum indivíduo ou entidade parece estar imune aos desafios da segurança de dados.

Falando em dados governamentais ou problemas de âmbito nacional, abro parêntesis para mencionar que o Governo Americano, por intermédio do FEC (Federal Election Commission), acaba de aprovar uma medida que permite que as campanhas políticas aceitem serviços de segurança cibernética de empresas sem entrar em conflito com as leis de financiamento de campanhas existentes, que proíbem contribuições corporativas. A falhas com segurança de dados, como o vazamento dos emails da conta profissional de John Podesta, chefe de campanha de Hillary nas eleições de 2016 talvez tenham servido de aprendizado e influenciado para esta medida.

Aqui no Brasil estamos vendo, quase que diariamente, notícias sobre supostos vazamentos que recaem sobre membros do governo. É impossível não ficar chocado com o potencial de perturbação que a aparentemente simples divulgação de conversas pessoais pode acarretar a um nação. É ainda mais chocante se considerarmos os casos nos quais tais exposições sequer precisam ser comprovadas em termos de autenticidade e muito menos divulgadas a autoria e formas de obtenção.

Um problema de cada um ou de todos?

Acredito que, nos dias atuais, possamos dizer, sem receio de cometer erro por extrapolação, que as nações enfrentam ameaças de destruição, exclusão e manipulação de dados. Este é um risco crítico para qualquer indivíduo ou entidade de qualquer âmbito. Em meio à interconexão e interdependências de uma era global digital, os limites entre dados pessoais, dados corporativos, dados do consumidor, dados do cidadão, dados de segurança nacional, big data e dados da IoT tendem a se tornar indefinidos, as fronteiras se tornam nebulosas.

À medida que o número de coisas e dispositivos adicionados à Internet das coisas (IoT) aumenta a cada dia, o mesmo acontece com as potenciais ameaças à segurança. Não se trata mais apenas da natureza das coisas conectadas e da conectividade de uma empresa ou infraestrutura crítica; a realidade hoje é que a internet das coisas agora está conectando todos e tudo. Como resultado, todos estão vulneráveis a ameaças de segurança.

Agora os hackers podem acessar as redes de qualquer pessoa por meio de um termostato, fechaduras digitais, geladeiras, monitores de bebês, lâmpadas, medidores inteligentes dentre tantos outros dispositivos comuns que ocupam nossas casas ou nossos bolsos. Isto ocorre principalmente porque os dispositivos conectados geralmente usam pequenos processadores para funções incorporadas. Embora estes processadores sejam econômicos e eficientes, estes dispositivos não têm o poder de computação e memória necessários para incorporar soluções de segurança robustas e resilientes. Nem sempre é simples atualizá-los quando novas informações são disponibilizadas sobre qualquer ameaça de segurança emergente do ciberespaço. Além disso, na ausência de padrões globais, a interoperabilidade e a integração estão se tornando complexas. O baixo custo das "coisas" (things da IoT) e a produção em massa resultante também contribuem para a falta de controle. Já falei um pouco sobre esta problemática em "dispositivo IoT: não testado e perigoso"; sobre movimentos de algumas nações em "Regulamentações para Segurança da Informação: vem tsunami por aí?"; icluindo o Brasil em "Segurança da Informação e movimento (ou falta de) no Brasil".

O Pentágono acaba de anunciar os resultados de um protótipo chamado Jetson, uma máquina capaz de identificar a identidade de uma pessoa por meio da leitura de seu batimento cardíaco. É isso mesmo, o coração de cada indivíduo é diferente e pulsa de forma única, estabelecendo uma assinatura biométrica, assim como a íris ou a impressão digital. Adicionalmente, assim como no reconhecimento facial e análise da marcha (que identifica alguém pela maneira como caminha), a biometria baseada nos batimentos cardíacos pode ser feita à distância por meio de um processo não invasivo. O Jetson tem alcance útil de 200m, podendo a distância ser ampliada a partir da melhoria do laser utilizado. 

Deep fake é um termo novo que vem sendo empregado para caracterizar a manipulação de áudio e vídeo de pessoas reais, dizendo ou fazendo coisas que nunca disseram ou fizeram. A tentativa de definição pode ser simples (e até meio atabalhoada pela nossa descrição), mas as técnicas e tecnologias envolvidas são muito complexas. E os impactos do emprego dela podem ser gigantescos.

O Senado Americano, por exemplo, incluiu o tema em sua pauta por considerar que deep fake pode representar uma séria ameaça à Segurança Nacional. Por lá, a indústria já começou a estudar e desenvolver algumas contramedidas biométricas de reconhecimento facial. Um termo em voga na língua inglesa para tratar este problema é biometric de-facializing countermeasures, que não temos intuito algum de tentar traduzir, porém, até o final do texto pretendemos passar a ideia com mais clareza a todos os leitores que tiverem paciência e curiosidade de seguirem lendo o artigo.

"Acredito que esta é a próxima onda de ataques contra as democracias americanas e ocidentais [...] a capacidade de produzir vídeos falsos que [...] só podem ser caracterizados como falsos após exaustivas análises."        Marco Rubio - Senador Americano

Quando o mercado se volta contra si mesmo

O mercado de reconhecimento facial, assim como toda a grande área de Inteligência Artificial está crescendo rapidamente. De acordo com um relatório publicado pela Markets and Markets em 2017 (o mais recente e específico que eu encontrei), o mercado global de reconhecimento facial foi estimado em pouco mais de 3,3 bilhões de dólares em 2016 e deve crescer até pouco mais de 7,5 bilhões de dólares até 2022, com uma taxa de crescimento anual de quase 14%. Mas, como nem tudo são flores, pode ser prejudicado pelo também crescente mal uso da tecnologia biométrica, uma vez que a indústria existente possa ser forçada a trabalhar no desenvolvimento de contramedidas "antifaciais".

O termo entre aspas (antifaciais) é uma tentativa de cumprir minha promessa e explicar o complexo problema das contramedidas a serem adotadas. Até mesmo para nós, letrados em reconhecimento facial, soou confuso e só se esclareceu após um pouco de aprofundamento (que não é um trocadilho com o deep do deep fake, que fique bem claro - :)).

Existe hoje, uma dificuldade muito grande de se desmascarar (também sem intenção de fazer trocadilho) deep fakes, justamente por causa do avanço assustador da Inteligência Artificial (IA). Diversos órgãos governamentais americanos vêm se preocupando com esse "emprego malígno" de IA, incluindo o Departamento de Defesa (DoD), Escritório do Diretor de Inteligência Nacional (ODNI), Atividades Avançadas de Projetos de Pesquisa em Inteligência (IARPA), dentre outros. A Agência de Projetos de Pesquisa Avançada de Defesa (DARPA) do Pentágono financiou um projeto de Mídia Forense como intuito de explorar e desenvolver tecnologias para eliminar automaticamente vídeos falsos em mídia digital.

Resumidamente, eu diria que existe um jogo de gato e rato entre os avanços em IA e o medo desses avanços, algo parecido com os Axiomas de Zurique do Max Gunther. O Ocidente é especialmente preocupado com esta questão. Kai-Fu Lee em seu livro, AI Superpowers: China, Silicon Valley, and the New World Order (English Edition), apresenta o duelo entre China (Nação e suas "corporações") e EUA (corporações do Vale do Silício) pela supremacia mundial em IA e coloca a ética como um dos empecilhos para o desenvolvimento ocidental a pleno vapor. Os binômios privacidade/segurança e privacidade/comodidade são discutidos de forma mais arrastada, sem sombra de dúvidas, no lado ocidental do planeta. Seja por questão cultural, seja por menor quantidade (ou importância) de regimes de governo mais totalitários, o culto à liberdade tende a travar um pouco a velocidade dos avanços. Já tratei um pouco deste tema em "Reconhecimento Facial versus Privacidade" e destaquei algumas de suas motivações históricas em "o que a lei de proteção de dados vai proteger e de quem" que remontam do período Nazista.

Retomando o foco para deep fake e biometric de-facializing countermeasures e tentando finalizar o artigo, interpreto a questão, de forma grosseira, como a criação de uma inteligência artificial para identificar o uso da inteligência artificial mal empregada. Essa corrida do cachorro atrás do próprio rabo não deixa dúvidas sobre quantidade de dúvidas que qualquer pessoa engajada em IA deve estar tendo sobre como resolver a questão. :)

Fofoca anabolizada

Ampliando o quadro para fake news em geral, eu diria que é tão antiga quanto a história da humanidade, pois pode ser comparada à fofoca. Um dia, espalhar fake news foi apenas fazer fofoca. Hoje, com o nível da digitalização que alcançamos, considerando a escala potencial da fofoca, pode ser um problema de segurança nacional. O ser humano tem uma capacidade incrível de transformar em problema tudo que ele próprio cria como solução.

Para preparar as forças armadas para o futuro campo de batalha (da próxima década de 30) o Exército dos EUA está estabelecendo uma parceria com  a Universidade Carnegie Mellon. O Exército ativou sua nova Força Tarefa de Inteligência Artificial no Centro Nacional de Engenharia Robótica, em Lawrenceville, diante de uma multidão de políticos e pesquisadores de quase uma dúzia de universidades. De acordo com relatórios do Pittsburgh Post-Gazette as tecnologias a serem desenvolvidas pela Universidade também servirão para missões de resgate e proteção civl.

Uma delas, o reconhecimento facial, poderia ser implantado em situações de combate no futuro. O general John Murray, comandante do Futures Command do Exército, disse que pode imaginar o reconhecimento facial sendo usado em combate para permitir aos militares distinguir entre combatentes inimigos e civis em situações nas quais eles não estão usando uniformes. 

Outra aplicação óbvia de Inteligência Artificial para as Forças Armadas é direção autônoma de veículos. Mark Esper, secretário do Exército, observou que muitos soldados morreram no Iraque dirigindo em comboios que poderiam ser movidos com inteligência artificial no futuro. Ele declarou:

"No final do dia, prefiro não lutar uma guerra. E então, se conseguirmos dominar a IA… então eu acho que isso realmente nos posicionará melhor para garantir que protegeremos o povo americano”.

O presidente da CMU Farnam Jahanian se recusou a dizer se a universidade estabeleceu um comitê de ética para supervisionar sua parceria com os militares. Ele observou que os membros do corpo docente são livres para participar de apenas projetos que escolherem. Jahanian disse também:

“Um dos benefícios importantes de ter esta força-tarefa baseada aqui é que ela nos dará a capacidade de ter discussões sobre IA e outras tecnologias emergentes e aplicações éticas dessas tecnologias, tanto em um contexto militar quanto em um contexto civil."

O anúncio foi feito na frente de políticos e pesquisadores de dezenas de universidades, e a força-tarefa deve evoluir para uma rede nacional, incluindo acadêmicos e especialistas do setor.

Um relatório recente mostrou que os americanos tendem a ter mais fé nas forças armadas e na academia para desenvolver de forma responsável as tecnologias da IA ​​do que a indústria privada. O exército também está olhando para a indústria para fornecer tecnologia biométrica para forças de operações especiais .

O secretário Mark Esper também falou das vantagens a serem alcançadas a partir daqueles estudos.

É bastante comum vermos o emprego de ferramentas de biometria, como reconhecimento facial por exemplo, para controle de fronteiras e tarefa de força de aplicação da lei em geral. Também, mundo a fora, percebemos ferramentas desta natureza invadindo o mercado de varejo, sistemas de pagamentos e também sendo muito empregada em dispositivos móveis para controle de acesso a celulares, por exemplo.

Já existe uma tendência nos hospitais americanos voltada para o emprego da biometria 

Os Sistemas de saúde se agigantaram, contendo hoje milhões de pacientes em seus registros. A consequência natural é a possibilidade de existirem muitas pessoas com um mesmo conjunto de dados identificadores. Pode parecer exagero, mas existe nos EUA um caso documentado de 500 mulheres em um sistema que compartilham o mesmo nome e data de nascimento. Fica claro o desafio que é, nos dias de hoje, se identificar corretamente o paciente que dá entrada em um hospital.

Nos EUA, em 2012, o Colegiado de Executivos de Informações de Saúde, o Chime, pesquisou junto a diretores de informações médicas e constatou que quase um quinto dos entrevistados disseram ter conhecimento de pelo menos um incidente, ocorrido no ano anterior, no qual uma incompatibilidade na identificação levou o paciente a ser prejudicado. De lá pra cá os números vêm aumentando.

Por lá, centenas de hospitais passaram a usar tecnologia biométrica para identificar corretamente os pacientes e de acordo com um relatório da Pew Charitable Trusts, juntamente com o Gartner, existe uma previsão de que 40% dos profissionais de saúde usarão biometria para identificação de pacientes até 2022.

O gerenciamento dos dados é cada vez mais desafiador

Hoje em dia é relativamente comum hospitais e clínicas que permitem algum tipo de interação com pacientes por diversas meios de comunicação e dessa forma permitem entrada em suas redes das mais diferentes maneiras. Abreviatura de nomes, atualização de endereços, telefones, inserção incorreta de dados etc contribuem para potencializar os possíveis enganos na hora de identificar um paciente. A unificação correta desses registros pode ser uma questão vital se considerarmos, por exemplo, um paciente com dois registros diferentes no qual apenas um deles menciona a existência de alergia a determinado tipo de medicamento.

As pesquisas sobre o sistema de saúde nos EUA estimaram entre 5% e 10% de duplicidade de registros, de acordo com uma publicação do Jornal Ahima, um periódico mensal da American Health Information Management Association. O mesmo artigo aponta problemas de duplicidade em torno de 20% no caso de sistemas de saúde com múltiplos hospitais ou que tenham passado por algum processo de fusão.

Solução de problemas e melhoria no atendimento

O sistema de saúde enxerga o uso de soluções biométricas não apenas como ajuda para o desafio da redução de errros de identificação de pacientes. O sistema pode ser empregado também como uma ferramenta para melhorar a experiência do paciente. O reconhecimento facial acelera a ideintificação, criando condições de atendimento mais personalisado e humanizado. 

A Northwell Health, sediada em New Hide Park, Nova Yorque, vem empregando com sucesso o reconhecimento facial em suas 23 unidades hospitalares e mais de 700 consultórios médico e centros de atendimentos de urgência. O otimismo por lá é bastante grande com respeito ao emprego deste tipo de tecnologia no âmbito da saúde. Que nossos hospitais por aqui não demorem muito a implantar ferramentas desta natureza.

Entrem em contato para obter mais informações sobre nossas soluções.

Fonte: Wall Street Journal

Você é varejista? Já parou para pensar o que o Reconhecimento Facial pode fazer pelo seu negócio? Então vamos a 5 razões pelas quais você deveria contar com esta tecnologia.

1. A prevenção é o melhor forma de combate ao crime 

O reconhecimento facial oferece a capacidade de reconhecer um criminoso (previamente registrado) no exato momento que este entra na loja e alertar a segurança. A experiência dos próprios varejistas nos diz que é mais seguro e eficaz se antecipar à possibilidade do crime do que observar a circunstância do flagrante. Esta antecipação inclui um "atendimento especial" que dificulte a ação ilícita sem necessariamente alarmar explicitamente a condição de risco.

2. Retorno sobre o investimento bastante consistente

O sistema começa a se pagar desde o primeiro dia. A partir do momento em que se integra com um banco de dados de reconhecimento facial com imagens de clientes desonestos os crimes começam a ser prevenidos. Toda vez que o sistema de reconhecimento facial reconhece um cliente desonesto, alerta instantaneamente os profissionais de prevenção de perdas, capacitando-os a evitar um crime. A prevenção de perdas no varejo, é mais efetiva do que reagir  após a ocorrência de crimes. O ROI começa a ser sentido com pouquíssimo tempo após a implantação. 

3. Maior segurança para o lojista

As ocorrências de segurança pública no país têm alcançado níveis estratosféricos, incluindo assaltos a lojas de varejo, muitos deles com uso de violência. A prevenção contra roubos em geral também contribui para a diminuição dos índices de violência. Esta correlação faz ainda mais sentido, uma vez que incidentes violentos geralmente ocorrem depois que um cliente desonesto rouba mercadorias. Em muitos casos é possível impedir os indivíduos de roubar, monitorando-os de perto e oferecendo-lhes um “atendimento agressivo ao cliente”. 

4. Efeito rede

Um dos benefícios mais importantes do reconhecimento facial, que está impulsionando a adoção, é algo que chamamos de efeito de rede. Estudos provam que clientes desonestos tendem a realizar roubos de forma rotineira em vários locais dentro da mesma rede de varejo. Mas o reconhecimento facial ajuda as lojas a criar uma rede eficiente de inteligência contra ameaças em centenas de lojas da cadeia. O compartilhamento de dados em diferentes locais é nativo da solução, oferecendo benefícios a toda cadeia independente de onde já tenha ocorrido um ilícito previamente. 

5. Melhoria no atendimento

Um efeito ainda não muito estudado, mas para o qual o senso comum indica que resulta no aumento de receita é a melhoria de atendimento. A partir do reconhecimento facial, um cliente previamente registrado é reconhecido e atendido como VIP. O sistema é capaz de sugerir produtos a serem oferecidos conforme uma análise sobre o seu perfil de consumo. Desta forma o lojista é capaz de chamá-lo pelo nome e conduzir a venda de maneira a maximizar o seu valor.

Foi impressionante ler, no mês passado, a notícia de que o Zerodium estava pagando 1,5 Milhões de dólares por explorações remotas (cadeia completa, do recconhecimento do alvo ao estabelecimento do canal de C2) sobre o iOS. Pois bem, a tabela de preços acaba de sofrer uma correção! :o

De US$ 1,5Mi para US$ 2Mi por jailbreaks do iOS que podem ser executados remotamente sem qualquer interação do usuário (zero cliques).

De US$ 1Mi para US$ 1,5Mi por um jailbreak remoto do iOS que requer interação mínima do usuário (ou seja, clique único).

De US$ 0,5Mi para US$1Mi para explorações de execução remota de código com zero cliques no Windows.

De US$ 0,25Mi (Windows) e US$ 0,20Mi (Android) para US$ 0,5Mi para explorações de execução remota de código no Chrome, com inclusão de um escape de sandbox.

De US$ 0,25Mi para US$ 0,5Mi para RCEs do Apache ou Microsoft IIS, ou seja, explorações remotas por meio de requisições HTTP.

De US$ 0,2Mi para US$ 0,5Mi para ataques de escalada de privilégios sobre o Safari, incluindo um escape de sandbox.

De US$ 0,15Mi para US$ 0,25Mi para RCEs do Outlook, ou seja, explorações remotas por meio de e-mails maliciosos.

De US$ 0,15Mi para US$ 0,25Mi para RCEs sobre PHP ou OpenSSL.

De US$ 0,15Mi para US$ 0,25Mi para RCEs sobre Microsoft Exchange Server.

De US$ 0,1Mi para US$ 0,2Mi para escalada de privilégios para o sistema operacional Android ou iOS.

De US$ 0,1Mi para US$ 0,2Mi para o escape de uma VMWare ESXi Virtual Machine.

De US$ 15K para US$ 100K para PIN ou Touch ID para Android ou iOS.

De US$ 50K para US$ 80K para escalada local de no Windows ou escape de sandbox.

Em artigo anterior já havíamos destacado a complexidade e consequente custo do ataque desferido ao iPhone do ativista Ahmed Mansoor pelo NSO Group conforme relatório do Citzen Lab. Pra quem não se recorda, sugerimos uma revisita em "Guerra 4.0 e os cibermercenários".

O título do relatório é " The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender", numa referência à ordem de grandeza do custo de desenvolvimento de uma ferramenta ofensiva desta natureza.

Também já havíamos falado um pouco sobre os números e volume financeiro movimentado e previsto para o mercado em "Quem esquentou o mercado de Segurança da Informação?".

Mais um ano se inicia e, como prática comum, especialistas das mais diversas áreas comentam as suas visões sobre tendências para o ano. Temos acompanhado alguns especialistas na área de Segurança da Informação e propomos um apanhado dos principais tópicos que lemos (e concordamos), bem como introduzimos alguns pontos de vista particulares sobre posicionamento, potencial ou participação do Brasil frente a essas tendências e seus respectivos desafios.

Iniciamos por um tópico no qual temos dedicado bastante tempo de estudo e que já publicamos alguns artigos aqui.

Ataques avançados e persistentes patrocinados por Estados/Nações

Acreditamos que haverá avanços significativos na dissimulação e ocultamento, dificultando sobremaneira o trabalho de computação forense. Grupos como Shadow Brokers, Lazarous Group, Fancy Bear, Carbanak, Iron Tiger, Equation Group, dentre outros, buscarão técnicas aprimoradas para encobrir seus rastros, minimizando suas assinaturas de ataque, e tornando a detecção e a atribuição de autoria mais difíceis. É provável que surjam no próximo ano novas ferramentas adaptadas a alvos específicos, aumentando a especialização dos ataques direcionados.

Atribuição de autoria em ataques avançados já é tarefa bastante difícil e em alguns casos a investigação leva bastante tempo. Este artigo comenta um caso de atribuição a um grupo da Rússia. Dá para ter uma ideia da dinâmica da investigação e dos desafios. Além disso, atribuições podem gerar problemas diplomáticos, então, às vezes parece melhor silenciar e realizar alguma ação de represália também dissimulada. Pode ser que algumas grandes potências declarem mais abertamente eventos desta natureza neste ano, sobretudo os EUA de Trump, com menos papas na língua. Temos ainda a incógnita da Inglaterra pós Brexit e sua postura com respeito às relações internacionais.

Acreditamos também em uma consolidação da tendência da priorização dos ataques sobre as empresas de telecomunicações e provedores de serviço de internet, pois servem de ponte para ataques secundários. O acesso à infraestrutura de tais empresas também facilita a dissimulação de novas intrusões e fornecem outros insumos que podem ser interessantes para outros tipos de atividade como dados de usuários, telefonemas, mensagens de texto, histórico de localização geográfica, contatos e muito mais. É uma prato cheio para serviços de inteligência estrangeiros e é bastante provável que este tipo de atividade se intensifique em 2019.

Atividades de inteligência com foco em contrainformação também devem se expandir, como por exemplo, campanhas de influência direcionadas utilizando mídias sociais. Influência política parece estar se tornando uma arma cada vez mais importante neste novo cenário de guerra 4.0. Ainda dentro do quesito influência política, acreditamos que veremos também um aumento na "qualidade" das noticias falsas (fake news) pelo mal emprego da inteligência artificial e de tecnologias avançadas de renderização de rostos humanos, por exemplo. Lembre-se que na guerra da informação, muitas vezes, é difícil saber que é realmente seu aliado.

Em relação ao Brasil, existe claramente um recente movimento de reconstrução das atividades de inteligência em nível institucional, voltada para segurança de Estado. Vemos com extrema importância o emprego de instrumentos, ferramentas e mecanismos que possam ampliar a escala de tais atividades.

Não temos dúvidas que já existem portas abertas para acesso estrangeiro dentro de nossas redes institucionais, algumas delas escondidas e apenas esperando a necessidade de serem exploradas. Prudência e canja de galinha não fazem mal a ninguém. Há que se trabalhar a favor dos nossos interesses como Nação.

Ataques a Infraestruturas Críticas Nacionais

Na carona do tópico anterior eu apontaria as Infraestruturas Críticas (em geral) dos países como alvos principais dos grupos patrocinados, além das já citadas infraestruturas de telecomunicações.

Nos parece que em 2019 o ataque a Infraestruturas Críticas pode ser uma das formas mais comuns de se concretizar ações baseadas rivalidades intra-estatais. O espaço cibernético, além de facilitar o limite do emprego da violência (selecionando-se os alvos e os efeitos) é um ambiente propício para "anonimização". Ainda que seja possível impactar na perda de vidas humanas, ataques cibernéticos a infraestruturas críticas tendem a ser vetores de perda financeira, seja pela interrupção de serviços ou mesmo pelo atraso no desenvolvimento científico-tecnológico, no caso de sabotagens específicas.

O aumento dos dispositivos conectados a Internet amplia a superfície de ataque e muitos destes dispositivos ("coisas" de Internet das Coisas) advém de prestadores de serviços ligados a infraestruturas críticas como sistemas de telemetria e outras tecnologias conectadas às redes (elétricas, hidráulicas, de gás etc). Cada vez mais os controles físicos vão sendo trocados por controles virtuais apoiados por redes de dados, na sua grande maioria a Internet e dessa forma potencialmente acessíveis, mesmo com todas as proteções que sejam colocadas, de qualquer lugar do planeta. O benefícios do mundo em rede são gigantes, porém o risco inserido é proporcionalmente maior quanto maior é a interconexão. Para entender um pouco mais leia Sistemas de Controle Industrial (ICS) e demandas de segurança.

Para esta esta inexorável marcha rumo a digitalização é importante tomar os devidos cuidados e, principalmente, incluir bons planos de recuperação de desastres de maneira a aumentar a resiliência das Infraestruturas Críticas.

Em relação ao Brasil, tivemos recentemente publicada a Política Nacional de Segurança das Infraestruturas Críticas, que já foi um avanço, mas é preciso prosseguir na implementação dos mecanismos de implementação e controle da Política. Falamos um pouco sobre isto no final deste artigo.

Expansão das Botnets

Uma das pesquisas que lemos, falava sobre um número que me chocou imensamente, mas que nós confessamos desconfiar da veracidade: 1/4 das máquinas pessoais no mundo fazem parte de alguma botnet. Independente do número que já tenha sido alcançado, dizer que este número irá aumentar parece uma previsão óbvia. Considerando o crescimento explosivo da Internet das Coisas essa previsão se torna um barbada. Cabe destacar que dispositivos IoT tendem a ser mais inseguros em comparação a computadores pessoais (para saber mais leia "dispositivo IoT: não testado e perigoso!").

Além da expansão em quantidade de máquinas, enxergamos uma ampliação da inteligência destas redes também. Com os avanços da inteligência artificial os agentes destas redes se tornarão cada vez mais autônomos e as ações conjuntas deles cada vez melhor coordenadas. Não será surpresa o aumento de regulamentações referentes à segurança de dispositivos IoT. Já mencionamos um pouco sobre isso em "Regulamentações para Segurança da Informação: vem tsunami por aí?".

Com respeito às regulamentações, acreditamos que o Brasil precise ampliar um pouco seu cabedal de instrumentos. Temos muito o que evoluir nesse tema.

Outros tópicos

Em 2017 vimos a explosão dos ransomwares (WannaCry e NotPetya) e em 2018 vários casos de violação e vazamento de dados. Os crimes associados à chantagem digital continuarão existindo em 2019, previsão também óbvia. Não dá pra cravar se haverá ampliação, mas não chutaríamos que algo semelhante à febre de 2017 voltará a acontecer mesmo com a facilidade de acesso a scripts de utilização simples de ransomwares sendo vendidos a preço de banana na Dark Web. Talvez possa ocorrer uma consolidação neste tipo de ameaça, tornando os ataques mais robustos e menos acessíveis a newbies.

Outro ponto que cabe destaque é a faca de dois gumes do aumento de tráfego criptografado na Web. O remédio usado para segurança também facilita a passagem de mais agentes nocivos. Há que se lembrar que a dificuldade das ferramentas de segurança em inspecionar tráfego criptografado é também potencialmente geradora de aumento nas infecções, já que malwares podem ser escondidos no tráfego criptografado.

Mais um capítulo dos benefícios que o reconhecimento facial pode trazer em termos de conveniência nos serviços. Desta vez serão os aluguéis de carro. Confira a matéria:

Você já esteve no interior de uma sala de controle de uma grande indústria? Se a resposta é sim, sabe que, atualmente, em pouquíssimos casos existe uma pessoa que vai até o maquinário girar manualmente uma manivela para aumentar a vazão de água e esfriar uma caldeira ou fechar o fluxo de água que passa por um a turbina usada para geração de energia. Hoje em dia, pressão, temperatura e "outras sensações" são coletadas diretamente por máquinas (sensores) e enviados para cérebros eletrônicos capazes de acionar bombas, motores ou outros circuitos eletromecânicos (atuadores) para que estes tomem alguma atitude necessária para o bom funcionamento da indústria em questão. A necessidade do tato, visão e outros sentidos humanos, bem como da musculatura de braços e pernas vem diminuindo drasticamente.

Até mesmo o controle de tráfego aéreo, que ainda demanda bastante em recursos humanos está passando por uma transformação em sua automação com alguns aeroportos sugerindo e empregando torres de controle remotas. O controle de tráfego aéreo possui uma particularidade que é a necessidade (que vem morrendo mais lentamente) de pessoas falarem com pessoas, diferente de outras indústrias na qual pessoas falam diretamente com máquinas ou até mesmo na qual as máquinas se falam e as pessoas ocupam a posição apenas de supervisão. Enquanto a tecnologia não evolui o suficiente para criar confiança nos pilotos de falar diretamente com máquinas a situação vem evoluindo no sentido de que o controlador de voo não necessite mais utilizar seus próprios olhos, de dentro de uma torre de controle, para passar as informações para o piloto. Exageros a parte, em tese, o controlador já poderia fazer isto vestindo pijamas no interior de sua própria casa. Provavelmente é o mesmo que acontecerá com os próprios pilotos de caça em ações de guerra no futuro.

Porém, todo este cenário expande a demanda por segurança. Já falamos aqui no blog sobre o aquecimento do mercado de segurança em outro artigo e com os sistemas de controle industrial não é diferente.

Recentemente, palestrei para o Curso de Mestrado e Doutorado em Defesa no IME e numa tentativa de justificar o crescimento das ameaças cibernéticas sobre as infraestruturas críticas (em termos globais) apresentei a figura abaixo. Explicando a origem e a orientação do raciocínio a partir dela, digo que foi retirada de um relatório da Kaspersky Lab ICS CERT, e tenta demonstrar com números que as tentativas de ataque à máquinas ligadas a infraestruturas críticas espalhadas pelo mundo vem aumentando.

As ameaças cibernéticas em constante evolução, como ransomware e vírus, podem afetar negativamente os processos de produção em ambientes de infraestrutura crítica, resultando em perdas financeiras em grande escala para as empresas. As preocupações de segurança aumentaram consideravelmente após a revolução da Indústria 4.0 (para saber mais leia Guerra 4.0 e os Cibermercenários), já que a tendência de conectar equipamentos ICS (Industrial Control System) à Internet cresceu significativamente nas indústrias. A estratégia de defesa via air gap, que é a separação completa entre a rede de tecnologia de automação (TA) e a rede de tecnologia da informação (TI) já não parece mais tão viável em vista da necessidade de comunicação entre as diversas entidades que participam de um sistema, como o setor elétrico, por exemplo.

Nós temos falado também sobre a necessidade de regulamentações voltadas para segurança cibernética em diversos artigos ("Dispositivo IoT: não testado e perigoso" e "Regulamentações em Segurança da Informação: vem tsunami por aí?" foram os últimos). No âmbito das infraestruturas críticas, isto fica mais gritante, já que, por definição do termo, uma simples interrupção seria capaz de provocar sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade.

Em resumo, proteger os componentes do ICS dos riscos de ataques cibernéticos é altamente crítico, pois as conseqüências de incidentes cibernéticos em um ambiente industrial podem ser muito mais graves do que as perdas financeiras associadas. Algumas dessas conseqüências incluem um impacto duradouro no meio ambiente, multas de reguladores ou parceiros ou clientes, que foram colocados em risco, e perda de um serviço ou produto devido a uma violação de dados.

Iniciativas do governo (na nossa opinião, necessárias aqui no Brasil) e da indústria para estabelecer padrões e regulamentações para garantir a segurança aprimorada de ICS deverão impulsionar ainda mais o crescimento do mercado de segurança de sistemas de controle industrial num futuro próximo.

Dando uma olhada na grama do vizinho, vemos que nos EUA existe O Centro Nacional de Integração da Cibersegurança e Comunicações (NCCIC), que esforça-se continuamente para reduzir os riscos associados à segurança cibernética à infraestrutura nacional crítica. Com o foco consistente na manutenção de uma infraestrutura de comunicações e cyber segura e robusta, essas agências governamentais estão incentivando o desenvolvimento da implantação de soluções avançadas de segurança do ICS.

De acordo com um relatório da Global Market Insights, a América do Norte detinha cerca de 50% do mercado de segurança de sistemas de controle industrial em 2017 e está projetada para deter uma parcela significativa do mercado global entre 2018 e 2024. Com a disponibilidade de padrões extensivos do setor, diretrizes regulatórias e iniciativas governamentais nos EUA. Espera-se que a adoção de soluções de segurança da ICS cresça de maneira estruturada em diferentes verticais do setor, como energia, fabricação avançada, mineração e transporte.

Muita coisa pode ser apenas informação para dissuasão, mas o caso Stuxnet, por exemplo, acende um alerta gigante sobre as possibilidades. O governo brasileiro acaba de publicar a Política Nacional de Segurança de Infraestruturas Críticas. É um belo primeiro passo, pois atribui alguns papéis e responsabilidades. Que não fique só nisso!

Para um olhada rápida no caso Stuxnet, sugerimos este filmete de 5 minutos produzido pelo NatGeo:

Seguindo os passos do Centro Universitário de Georgetown sobre a recente avaliação sobre Privacidade & Tecnologia que a biometria não é uma tecnologia precisa ou eficaz para abordar desafios de segurança nacional e imigração para viagens nos EUA, a  International Biometrics + Identity Association (IBIA) publicou um paper sobre o emprego de reconhecimento facial no controle de saída do país.

O IBIA relata que nos testes da tecnologia, que começou em 2017, os passageiros que partiam em vôos internacionais tinham suas fotos tiradas junto com seus cartões de embarque e a foto era automaticamente comparada à fotografia em arquivo do passaporte ou outra documentação de viagem para confirmar identidade. O paper relata que a taxa de precisão da tecnologia de reconhecimento facial foi muito maior do que as inspeções visuais ou comparações de nomes.

O Cali Group traz uma novidade para os clientes: pagamento de hambúrgueres baseado em reconhecimento facial na CaliBurger, sua subsidiária operacional e base de testes para prova de conceito Quick Serve Restaurant em Pasadena, Califórnia. O cliente poderá pagar por seus hambúrgueres, bebidas ou batatas fritas sem passar um cartão de crédito, e seu rosto será usado para verificar e validar a transação.

O sistema de reconhecimento facial CaliBurger requer um processo de autenticação de duas etapas, em que, além de ser capturado pela câmera e estar previamente registrado, o cliente também precisará inserir um número CVV de três dígitos do cartão de crédito para processar a transação. Olhando para o futuro, o Grupo Cali procura eliminar a etapa de CVV depois de ganhar a confiança de seus clientes.

Um login de lealdade baseado na face tem sido usado em alguns quiosques de auto-atendimento da cadeia de fast food desde o final de 2017, mas agora, além de acessar sua conta de fidelidade olhando para a câmera, eles podem comprar itens suportados pelas soluções de varejo da NEC.

"A reação positiva do cliente em fazer login com base na lealdade nos quiosques nos incentivou a implantar rapidamente pagamentos baseados em face nos quiosques", disse John Miller, CEO do Cali Group. "Até onde sabemos, esta é a primeira vez na América que os clientes em um ambiente de varejo podem pagar sem precisar de uma carteira física ou digital".  

O Cali Group é conhecido por sua plataforma C-Vision, que une produtos de software desenvolvidos pelas empresas afiliadas do Cali Group para permitir que um restaurante inteiro seja controlado e operado a partir de um único tablet. Os novos pagamentos baseados em reconhecimento facial também fazem parte de outras iniciativas tecnológicas inovadoras, como a robótica, incluindo um robô de lançamento de hambúrguer chamado Flippy.