A Inteligência Artificial (AI, na sigla em inglês) está impactando nosso mundo de maneiras antes inimagináveis em muitos setores diferentes. Seu uso é particularmente interessante no setor de segurança cibernética por sua capacidade única de dimensionar e prevenir ataques inéditos, também conhecidos como ataques de dia zero. Mas – lembre-se – da mesma forma que cartéis de drogas construíram seus próprios submarinos e torres de celular para fugir da lei e o Coringa surgiu para combater Batman, os cibercriminosos também construirão seus próprios sistemas de inteligência artificial para realizar contra-ataques maliciosos.
Uma pesquisa de agosto de 2017, encomendada pela Cylance, descobriu que 62% dos especialistas em cibersegurança acreditam que ataques armados com AI começarão a ocorrer em 2018. A AI tem sido muito discutida na indústria nos últimos anos, mas a maioria das pessoas não percebe que ela não é uma coisa única, mas composta de muitos subcampos diferentes.
Este artigo abordará o que é a Inteligência Artificial e o que não é, como funciona, como é construída, como pode ser usada para o mal e até defraudada, e como os “mocinhos” podem manter a indústria um passo à frente nessa luta.
O que é a Inteligência Artificial?
Devemos primeiro desenvolver um entendimento básico de como a tecnologia funciona. A primeira coisa a entender é que a AI é composta de vários subcampos. Um desses é o aprendizado de máquina (Machine Learning, ML), que é como o aprendizado humano, só que em uma escala muito maior e mais rápida.
Para alcançar esse tipo de aprendizagem profunda, grandes conjuntos de dados devem ser coletados para treinar a AI para desenvolver um algoritmo de alta qualidade, que é basicamente uma equação matemática que reconhecerá com precisão um resultado ou característica. Esse algoritmo pode ser aplicado a texto, fala, objetos, imagens, movimento e arquivos. Fazer isso com qualidade requer muito tempo, habilidade e recursos.
Então o que não é? A AI é realmente um termo errôneo de marketing que soa incrível e futurista, e é por isso que a expressão é atualmente aplicada a tudo para aumentar as vendas, de carros a cafeteiras automáticas. O que não é atualmente, é uma tecnologia consciente e automotivada como muitos pensam, então não há cenário de Matrix ou O Exterminador do Futuro a temer (não no momento e de qualquer maneira).
Se alguém criar isso no futuro, teremos de revisitar essa declaração. Mas, por enquanto, cada produto de AI lançado é simplesmente uma ferramenta realmente útil e poderosa, que é feita para ter um propósito muito restrito. Como toda ferramenta, a IA tem o potencial de ser usada tanto para o mal quanto para o bem.
Aqui estão os possíveis passos que os criminosos podem dar para construir sua própria inteligência artificial:
Usando AI para construir algo para o mal
O passo 1 na criação de “AI para o mal” é desenvolver a infraestrutura. É mais difícil para os criminosos obterem o hardware necessário para criar sua própria solução de AI. Isso ocorre devido à importância e à escassez de componentes específicos, como as GPUs, que são recursos-chave para o desenvolvimento de um algoritmo.
Para contornar esse problema, é provável que eles adotem a abordagem tradicional e roubem poder de computação de hosts e datacenters existentes, o que conseguem ao infectar essas máquinas com malware. A partir daqui eles podem roubar informações de cartão de crédito, máquinas de controle ou criar um botnet.
O passo 2 na criação de AI é começar a desenvolver algoritmos. Como falamos anteriormente, isso demanda muito tempo, dinheiro e talento. Mas o esforço será feito se a recompensa valer a pena. Quando há US$ 1,5 trilhão em jogo, por exemplo, o prêmio vale o empenho para o aspirante a cibercriminoso.
O passo 3 é o lucro com a dimensão. Agora que os bandidos têm um algoritmo, eles podem trabalhar para realizar seus objetivos, permitindo que sua criação de AI seja executada constantemente. Seus fins podem ser qualquer coisa, desde ter acesso a uma organização para roubar segredos comerciais até fazer uma chantagem de milhões de dólares, passando por qualquer outra coisa desejada e lucrativa.
Aqui estão alguns exemplos de cenários a serem considerados:
Exemplos de AI do mal
Os CAPTCHAs de imagem fazem com que seres humanos ensinem a uma máquina o que é uma imagem. Quando você clica nas imagens CAPTCHA e escolhe as caixas onde as letras são mostradas ou quais contêm veículos, você está realmente ajudando a rede neural a aprender como reconhecer uma carta ou veículo. Os maus atores da Dark Web podem aproveitar essa mesma ideia para que seus fóruns desenvolvam seus próprios algoritmos de inteligência artificial, que reconhecerão com precisão como são as letras e os veículos, a fim de criar seus próprios serviços de inteligência artificial CAPTCHA.
Na verdade, pesquisadores criaram seu próprio robô de desmantelar imagens, com até 90% de precisão. Isso será expansivo e lucrativo, pois a máquina será capaz de enganar efetivamente o CAPTCHA para categorizá-lo como humano e, assim, poderá ignorar facilmente esse tipo de autenticação de dois fatores (2FA). Há CAPTCHAs mais difíceis, como peças de quebra-cabeça deslizantes e letras dinâmicas, mas estas ainda não são tão populares ou difundidas.
Outro ataque conduzido por AI pode estar na busca de vulnerabilidades. As vulnerabilidades são rotuladas por números de CVE (common vulnerabilities and exposures, ou vulnerabilidades e exposições comuns, em português) e descrevem as explorações existentes em um software ou hardware. Como mencionamos, a leitura dessas vulnerabilidades cai no campo da AI. Um agente mal-intencionado poderia treinar a AI para se tornar eficiente na leitura dos detalhes da vulnerabilidade e, a partir daí automatizar a exploração em grande escala dessas vulnerabilidades nas organizações.
As soluções de AI também podem ser fraudadas, se você entender o que essa AI em particular está procurando. Por exemplo, existem soluções de AI que são muito boas para determinar se o tráfego para seu site é ou não um tráfego humano legítimo. Ele baseia isso em vários fatores, como tipo de navegador da Internet, geografia e distribuição de tempo. Uma ferramenta de inteligência artificial criada para fins malignos poderia coletar todas essas informações ao longo do tempo e usá-las com um lote de credenciais comprometidas da empresa.
Por que há esperança?
A boa notícia é que, pela primeira vez, os mocinhos estão anos à frente dos bandidos por já terem suas próprias soluções de AI prontas para enfrentar essas ameaças.
Mas se você está se perguntando como proteger a si e sua empresa contra esse tipo de ameaça, a primeira coisa que precisa fazer é começar a se informar sobre o que é a AI e o machine learning realmente são e comprometer-se a olhar mais fundo um produto do que apenas lendo o folheto de marketing. Se você fizer sua devida diligência, aprenderá rapidamente que há muitos produtos de segurança por aí alegando que “têm AI” – mas a pergunta que você precisa fazer às equipes técnicas é “Que tipo de IA e como o produto a usa?” Ainda que canoas e navios de guerra possam tecnicamente ser comercializados como barcos, eles não são a mesma coisa.
O mesmo conselho também se aplica a qualquer peça de hardware ou software comercializada com as palavras “inteligência artificial” e “aprendizado de máquina”, que você encontra nas descrições de muitos produtos antivírus tradicionais. Certifique-se de sempre fazer sua própria pesquisa, ler as letras miúdas, fazer perguntas aos clientes anteriores e, finalmente, testar por si próprio, usando amostras de malware de sua própria escolha.
Os mocinhos precisam continuar criando e melhorando suas ferramentas de AI. Se nos apoiarmos em nossos louros, os bandidos não apenas nos alcançarão como também sairão na frente.
