Pular para o conteúdo principal

Como a Inteligência Artificial pode ser usada para o mal

Ciberataques armados com AI devem se propagar ainda em 2018; Neste artigo, refletimos sobre a tecnologia em si e como os vilões podem recorrer à tecnologia para lucrar



A Inteligência Artificial (AI, na sigla em inglês) está impactando positivamente nosso mundo de maneiras antes inimagináveis em muitos setores diferentes. Seu uso é particularmente interessante no setor de segurança cibernética por sua capacidade única de dimensionar e prevenir ataques inéditos, também conhecidos como ataques de dia zero. Mas – lembre-se – da mesma forma que cartéis de drogas construíram seus próprios submarinos e torres de celular para fugir da lei e o Coringa surgiu para combater Batman, os cibercriminosos também construirão seus próprios sistemas de inteligência artificial para realizar contra-ataques maliciosos.
Uma pesquisa de agosto de 2017, encomendada pela Cylance, descobriu que 62% dos especialistas em cibersegurança acreditam que ataques armados com AI começarão a ocorrer em 2018. A AI tem sido muito discutida na indústria nos últimos anos, mas a maioria das pessoas não percebe que ela não é uma coisa única, mas composta de muitos subcampos diferentes.
Este artigo abordará o que é a Inteligência Artificial e o que não é, como funciona, como é construída, como pode ser usada para o mal e até defraudada, e como os “mocinhos” podem manter a indústria um passo à frente nessa luta. 
O que é a Inteligência Artificial?
Devemos primeiro desenvolver um entendimento básico de como a tecnologia funciona. A primeira coisa a entender é que a AI é composta de vários subcampos. Um desses é o aprendizado de máquina (Machine Learning, ML), que é como o aprendizado humano, só que em uma escala muito maior e mais rápida.
Para alcançar esse tipo de aprendizagem profunda, grandes conjuntos de dados devem ser coletados para treinar a AI para desenvolver um algoritmo de alta qualidade, que é basicamente uma equação matemática que reconhecerá com precisão um resultado ou característica. Esse algoritmo pode ser aplicado a texto, fala, objetos, imagens, movimento e arquivos. Fazer isso com qualidade requer muito tempo, habilidade e recursos. 
Então, o que não é? A AI é realmente um termo errôneo de marketing que soa incrível e futurista, e é por isso que a expressão é atualmente aplicada a tudo para aumentar as vendas, de carros a cafeteiras automáticas. O que não é atualmente, é uma tecnologia consciente e automotivada como muitos pensam, então não há cenário de Matrix ou O Exterminador do Futuro a temer (não no momento e de qualquer maneira).
Se alguém criar isso no futuro, teremos de revisitar essa declaração. Mas, por enquanto, cada produto de AI lançado é simplesmente uma ferramenta realmente útil e poderosa, que é feita para ter um propósito muito restrito. Como toda ferramenta, a IA tem o potencial de ser usada tanto para o mal quanto para o bem. 
Aqui estão os possíveis passos que os criminosos podem dar para construir sua própria inteligência artificial:
Usando AI para construir algo para o mal
O passo 1 na criação de “AI para o mal” é desenvolver a infraestrutura. É mais difícil para os criminosos obterem o hardware necessário para criar sua própria solução de AI. Isso ocorre devido à importância e à escassez de componentes específicos, como as GPUs, que são recursos-chave para o desenvolvimento de um algoritmo.
Para contornar esse problema, é provável que eles adotem a abordagem tradicional e roubem poder de computação de hosts e datacenters existentes, o que conseguem ao infectar essas máquinas com malware. A partir daqui, eles podem roubar informações de cartão de crédito, máquinas de controle ou criar um botnet.
O passo 2 na criação de AI é começar a desenvolver algoritmos. Como falamos anteriormente, isso demanda muito tempo, dinheiro e talento. Mas o esforço será feito se a recompensa valer a pena. Quando há US$ 1,5 trilhão em jogo, por exemplo, o prêmio vale o empenho para o aspirante a cibercriminoso.
O passo 3 é o lucro com a dimensão. Agora que os bandidos têm um algoritmo, eles podem trabalhar para realizar seus objetivos, permitindo que sua criação de AI seja executada constantemente. Seus fins podem ser qualquer coisa, desde ter acesso a uma organização para roubar segredos comerciais até fazer uma chantagem de milhões de dólares, passando por qualquer outra coisa desejada e lucrativa. 
Aqui estão alguns exemplos de cenários a serem considerados.
Exemplos de AI do mal
Os CAPTCHAs de imagem fazem com que seres humanos ensinem a uma máquina o que é uma imagem. Quando você clica nas imagens CAPTCHA e escolhe as caixas onde as letras são mostradas ou quais contêm veículos, você está realmente ajudando a rede neural a aprender como reconhecer uma carta ou veículo. Os maus atores da Dark Web podem aproveitar essa mesma ideia para que seus fóruns desenvolvam seus próprios algoritmos de inteligência artificial, que reconhecerão com precisão como são as letras e os veículos, a fim de criar seus próprios serviços de inteligência artificial CAPTCHA. 
Na verdade, pesquisadores criaram seu próprio robô de desmantelar imagens, com até 90% de precisão. Isso será expansivo e lucrativo, pois a máquina será capaz de enganar efetivamente o CAPTCHA para categorizá-lo como humano e, assim, poderá ignorar facilmente esse tipo de autenticação de dois fatores (2FA). Há CAPTCHAs mais difíceis, como peças de quebra-cabeça deslizantes e letras dinâmicas, mas estas ainda não são tão populares ou difundidas. 
Outro ataque conduzido por AI pode estar na busca de vulnerabilidades. As vulnerabilidades são rotuladas por números de CVE (common vulnerabilities and exposures, ou vulnerabilidades e exposições comuns, em português) e descrevem as explorações existentes em um software ou hardware. Como mencionamos, a leitura dessas vulnerabilidades cai no campo da AI. Um agente mal-intencionado poderia treinar a AI para se tornar eficiente na leitura dos detalhes da vulnerabilidade e, a partir daí, automatizar a exploração em grande escala dessas vulnerabilidades nas organizações.
As soluções de AI também podem ser fraudadas, se você entender o que essa AI em particular está procurando. Por exemplo, existem soluções de AI que são muito boas para determinar se o tráfego para seu site é ou não um tráfego humano legítimo. Ele baseia isso em vários fatores, como tipo de navegador da Internet, geografia e distribuição de tempo. Uma ferramenta de inteligência artificial criada para fins malignos poderia coletar todas essas informações ao longo do tempo e usá-las com um lote de credenciais comprometidas da empresa.
Por que há esperança?
A boa notícia é que, pela primeira vez, os mocinhos estão anos à frente dos bandidos por já terem suas próprias soluções de AI prontas para enfrentar essas ameaças.
Mas se você está se perguntando como proteger a si e sua empresa contra esse tipo de ameaça, a primeira coisa que precisa fazer é começar a se informar sobre o que é a AI e o machine learning realmente são e comprometer-se a olhar mais fundo um produto do que apenas lendo o folheto de marketing. Se você fizer sua devida diligência, aprenderá rapidamente que há muitos produtos de segurança por aí alegando que “têm AI” – mas a pergunta que você precisa fazer às equipes técnicas é “Que tipo de IA e como o produto a usa?” Ainda que canoas e navios de guerra possam tecnicamente ser comercializados como barcos, eles não são a mesma coisa.
O mesmo conselho também se aplica a qualquer peça de hardware ou software comercializada com as palavras “inteligência artificial” e “aprendizado de máquina”, que você encontra nas descrições de muitos produtos antivírus tradicionais. Certifique-se de sempre fazer sua própria pesquisa, ler as letras miúdas, fazer perguntas aos clientes anteriores e, finalmente, testar por si próprio, usando amostras de malware de sua própria escolha.
Os mocinhos precisam continuar criando e melhorando suas ferramentas de AI. Se nos apoiarmos em nossos louros, os bandidos não apenas nos alcançarão como também sairão na frente.
*Josh Fu, CISM (Certified Information Security Manager) e CISSP (Certified Information Systems Security Professional), é engenheiro de segurança da Cylance. Tem experiência como gerente de canal, consultor em infraestrutura de nuvem e engenheiro de vendas em segurança cibernética. Josh fundou o capítulo da Costa Oeste do Consórcio Internacional de Profissionais de Cibersegurança e apresenta-se para audiências do setor em todos os EUA.
Fonte: IdgNow

Comentários

Postagens mais visitadas deste blog

Como a ausência da ANPD cria entraves para empresas instituírem a LGPD

A constituição da Autoridade Nacional de Proteção de Dados é peça-chave para a regulação da lei e fiscalização das práticas Por Lucas Paglia e Mateus C. Bacchini* A  Lei Geral de Proteção de Dados (LGPD)  só poderá começar a multar as empresas, por meio da  Autoridade Nacional de Proteção de Dados  (ANPD) , a partir de agosto de 2021, conforme lei no. 14.010/2020 sancionada pelo Presidente da República. Prevista na Lei Geral de Proteção de Dados, a ANPD tem como função zelar, implementar e fiscalizar o cumprimento da lei em todo o país.   Além disso, serve para regulamentar mais de 20 pontos da legislação e emitir diretrizes sobre o tratamento de dados pessoais. Por isso, é importante a criação da ANPD para regulação do tema. Mais de um ano após a sanção presidencial de Michel Temer, a ANPD, até o presente momento, não saiu do papel e a sua ausência tem causado grandes desafios não apenas na adequação de empresas e órgãos públicos à LGPD, mas também no cenário a...

Chinês faz live dormindo e ganha mais de 18 milhões de visualizações

Em apenas duas noites de sono, jovem conseguiu mais de R$ 46.700 em moeda virtual, o equivalente a R$ 18 mil em dinheiro de verdade. Um chinês conseguiu o que muita gente quer e acha impossível: ganhar dinheiro dormindo. Yuan San, username do rapaz no Douyin, versão chinesa do  TikTok , começou a fazer lives dormindo e viralizou com o conteúdo inusitado. Em apenas duas transmissões, o jovem recebeu 76.800 yuanes em recompensas virtuais, o equivalente a R$ 46.700 pela cotação atual da moeda chinesa. Convertendo em dinheiro de verdade, o rapaz dorminhoco conseguiu sacar aproximadamente R$ 18.600, tudo em apenas duas noites de sono, transmitidas ao vivo neste mês. Morador da província de Jiangxi, sudeste da China, Yuan San é um ator amador que originalmente publicava vídeos curtos com esquetes na plataforma. Sua decisão de transmitir a si mesmo dormindo foi tomada com o propósito de verificar se ele roncava, o que foi feito pela primeira vez dia 9 de fevereiro.  A...
Câmara aprova lei de crimes na internet Projeto segue para o Senado, mas já desperta críticas A primeira lei brasileira voltada especificamente para punir cibercrimes começa a sair do papel. Até hoje, o país não tem mecanismos legais para lidar com crimes cometidos nos meios digitais, e a justiça tem agido baseada em leis de caráter geral. O projeto aprovado pela Câmara dos Deputados na  última quarta-feira (23/05) pode se transformar na primeira lei criada para combater delitos virtuais. Mas, o caminho para o texto final foi mais que tortuoso. As discussões em torno da nova lei seguiram uma velocidade nada digital: nada menos que 13 anos se passaram desde que a primeira proposta foi apresentada. Essa primeira proposta ficou conhecida como Lei Azeredo, em referência ao deputado Eduardo Azeredo, do PSDB de Minas Gerais, que a encabeçou. O projeto original tinha 23 artigos mas, para conseguir a aprovação da Comissão de Ciência e Tecnologia da Câmara, acabaram restando apena...