Sign up to save your podcasts
Or
Share Episódio #351 – Café Segurança Legal
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Episódio #351 – Café Segurança Legal
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
Neste episódio falamos sobre a segunda sanção da ANPD e um vazamento de 38TB de dados na Microsoft. Você irá descobrir os riscos da IA que clona vozes no Spotify e a importância da segurança de dados. Aprofundamos na mais recente sanção da ANPD, que expõe falhas de governança de dados e a importância do cumprimento da LGPD. Analisamos como uma vulnerabilidade de SQL injection no software Moveit causou um massivo vazamento de dados, e discutimos um incidente de cloud security no Microsoft Azure que expôs 38TB de informações. Além disso, debatemos sobre a nova inteligência artificial (IA) do Spotify que clona vozes, seus riscos para a privacidade e o futuro da produção de conteúdo. Para não perder futuras análises sobre cibersegurança e proteção de dados, siga, assine e avalie nosso podcast na sua plataforma preferida.
ShowNotes
Transcrição do Episódio
(00:00) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 351, gravado em 13 de outubro de 2023. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês um pouco do que ocorreu na última quinzena. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Hoje, não temos exatamente uma convidada, mas eu tenho uma companhia que vocês estão vendo. Daqui a pouquinho aparece o olho dela embaixo. As crianças hoje não têm aula, e estou eu aqui com a pequena que não quer
(00:33) ficar longe, então ela vai participar da gravação hoje, acompanhando atentamente a nossa conversa. Está prestando muita atenção aqui. Ótimo! Este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café de verdade. Pegue o seu café e vem conosco. Para entrar em contato e enviar suas críticas e sugestões é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, ir lá no X (Twitter) @segurancalegal e
(01:04) também no Mastodon @[email protected]. Já pensou em apoiar o projeto Segurança Legal? Acesse o site picpay.me/SegurancaLegal ou apoia.se/segurancalegal, escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Vinícius, temos aí algumas mensagens de ouvintes e abraços também. Logo no início, temos. Fiquei muito feliz conversando com o nosso amigo — não vou dar os sobrenomes deles aqui —, o nosso amigo
(01:40) Rafael. Fiquei muito feliz. A gente já sabe que a nossa audiência é bastante qualificada, então vocês, nossos ouvintes, são pessoas bastante qualificadas que acompanham o nosso trabalho. Mas eu fiquei especialmente feliz em saber, através do nosso amigo Rafael, com quem eu estava conversando essa semana que passou, que nós temos um grupo de pessoas que nos acompanham com bastante assiduidade lá dentro da IBM, pessoal que trabalha com segurança da informação. Então, eu não sei o nome de todos eles,
(02:24) vai rolar um ciuminho, alguma coisa assim lá dentro, mas aí vocês se resolvem. Vou mandar um abraço para o Éber. Então, por meio do Éber — eu tenho o sobrenome, o nome inteiro completo aqui, Éber, mas por questões de privacidade não vou citar o sobrenome —, um grande abraço para ti e para todos os teus colegas que nos acompanham no podcast no Segurança Legal. A gente fica bastante feliz em saber que temos vocês aí nos acompanhando, acompanhando o nosso trabalho. E fiquem sempre à vontade para entrar em contato,
(03:03) dar um toque em algum assunto interessante que gostariam que fosse tratado, alguma crítica, alguma coisa assim. Fiquem sempre à vontade para não só ouvir, mas interagir com a gente. Um abração para o Éber e para toda a equipe que trabalha junto com ele aí na IBM e acompanha o nosso podcast. Um abração para vocês, galera. Valeu. A gente também tem notado, Vinícius, um certo fluxo de pessoas vindas de Moçambique e Angola para ouvir o podcast. Então, primeiro, ficamos muito felizes. Gostaria de mandar um abraço para os nossos ouvintes irmãos africanos que estão nos
(03:43) acompanhando. E também gostaríamos muito de ter e manter um contato, conversar com essas pessoas, eventualmente até trazer algumas delas aqui para dar um pouco da sua visão dos temas que a gente trata aqui. Então, se você nos ouve de Moçambique, Angola ou de outros países, nos contate. Mande um e-mail para a gente lá no podcast@segurancalegal.
(04:08) com, para a gente, de repente, alinhavar alguma participação de vocês e saber um pouco más do que vocês acham do podcast e também de como é o cenário da segurança da informação e da comunidade de segurança nesses lugares. Seria muito legal ouvi-los e dar voz também para vocês aqui, se tiverem interesse. Então, por favor, nos contatem. Também temos, Vinícius, duas mensagens. Uma do Mastodon, do Paulo Henrique Pinheiro. Quer ler para nós, Vinícius? Leio. Bom, acho que devido à elevação das temperaturas, alguma geleira se desfez lá no Mastodon e a gente recebeu a mensagem lá.
(04:48) Tem bastante interação lá, tem bastante. OK. O Paulo, então, nos diz o seguinte: “E qual não é a minha surpresa quando, ouvindo meu podcast favorito — muito obrigado, Paulo, pela parte que nos toca —, escuto uma referência a João Gilberto Noll. Que nossos colegas ouvintes, se ainda não o conhecerem, o João Gilberto Noll, possam entrar nesse capítulo incrível da literatura brasileira que são as obras do Noll. No mais, parabéns pelas informações tão importantes que vocês, o Segurança Legal, sempre nos mandam.” Olha só, muito obrigado, Paulo, de verdade.
(05:29) Fico feliz em perceber que é o podcast preferido dele, porque o que tem de podcast interessante por aí não está no mapa. A concorrência está acirrada. Sabe que é só um detalhezinho sobre isso, a responsabilidade que a gente tem, tanto para o bem quanto para o mal, e é um pouco também algo que pertence e faz parte da rotina dos professores. Às vezes, a gente fala coisas muito pequenininhas, detalhezinhos, e aquilo que a gente fala marca de forma muito intensa as pessoas — repito, para o bem e para o mal. E, claro,
(06:05) eventualmente nós vemos essas manifestações de como pequenas partezinhas do nosso discurso aqui agradam os ouvintes. Eu até separei aqui, ó, Vinícius. O que você separou? O livro. Separei aqui um do Noll, “Mínimos, Múltiplos, Comuns”, que é um livro atípico dele. Não são contos, mas este livro está muito inteirinho, muito novinho. Estou começando a ler. E sim, ele é um gaúcho, um escritor gaúcho bastante famoso, importante para a literatura. Mas só para deixar
(06:41) destacada essa parte de como, às vezes, pequenas coisas que a gente diz tocam as pessoas de formas diferentes. Então, obrigado aí, Paulo Henrique, pela tua mensagem. Mas isso não é só coisa de professor. Acho que qualquer conversa que valha a pena rende alguma coisa, para o bem ou para o mal, mas mais para o bem. Não, eu digo mais pelo fato de a gente falar muito, tanto em sala de aula quanto aqui no podcast, e essa responsabilidade que a gente tem na comunicação. Nós acabamos nos transformando em comunicadores por meio do podcast,
(07:19) então é uma responsabilidade muito grande. A gente fica feliz de receber esses retornos. Sem dúvida. E, Vinícius, a próxima mensagem eu vou ler. É do nosso querido amigo ouvinte Ricardo Berlin, que já começa — ele mandou a mensagem pelo site do podcast — e começa dizendo assim: “Pessoal, postando por aqui porque pelo Mastodon vocês acabam demorando para olhar”. É brincadeira, puxão de orelha. Tem que olhar se tem Mastodon. Tem que olhar. E, inclusive, a gente vai falar um pouco hoje sobre uma das notícias, que vai ser do rival do
(07:54) Mastodon. Ou o Mastodon é o rival, não sei se são rivais. Enfim, diz o Ricardo Berlim: “Bom, quanto ao problema do zero-day afetando a biblioteca do WebP, queria saber a opinião de vocês sobre este artigo que saiu na Ars Technica”. Daí ele posta ali o link do artigo. Acho que tu tens ele aí, né, Vinícius? Tenho. Sobre o qual… Não está aparecendo. Mas eu já sei o que é, já vou ajeitar aqui, pera aí. Então, sobre o qual ouvi no excelente podcast 2.
(08:26) 5 Admins — não sei se esse é exatamente o nome, Ricardo —, em que eles discutem o disclosure irresponsável do problema pelo Google e pela Apple, que acabou gerando múltiplos CVEs para o mesmo problema, e como isso afeta aplicações web, tipo Electron e outras coisas que podem nunca ser ou podem ser nunca atualizadas. E aí, Vinícius? Cara, é o seguinte, eu estou aqui me dividindo entre minha pequena… mas, enfim. O que acontece? Essa foi uma vulnerabilidade que nós comentamos no nosso último café. Então, nós estamos no 351,
(09:03) o 350 foi com a Raquel e com a Marina, e no 349 foi o episódio que a gente comentou sobre essa vulnerabilidade. A gente comentou sobre a vulnerabilidade dentro da perspectiva da biblioteca, que atinge diversos softwares, entre eles o Google Chrome. Foi a maneira como nós comentamos no episódio 349, no penúltimo café. E a notícia que o Ricardo traz aqui é a seguinte: a essência dela é que a Apple e
(09:50) a Google reportaram a notícia do ponto de vista das suas aplicações que têm que ser corrigidas. Acho que foi a Apple e o Google. Me corrija se eu estiver errado. Mas o fato, a essência é: as empresas devem divulgar as vulnerabilidades do ponto de vista das suas
(10:28) aplicações ou, como foi nesse caso, deveria ter sido feito um CVE, a criação de uma vulnerabilidade vinculada à biblioteca que atinge todas essas aplicações? E o argumento que o autor aqui da matéria coloca — está aqui no headline, Apple e Google — é o seguinte: quem depende de scanners de vulnerabilidade automatizados, ou seja, que procuram por softwares com versões atrasadas, com vulnerabilidades, acaba sendo prejudicado. Porque, por
(11:14) exemplo, o software vai pegar a partir de um CVE de uma vulnerabilidade para o Google Chrome, vai pegar o Google Chrome com aquele problema, mas não vai pegar as diversas outras aplicações que estão usando aquela biblioteca. A saber, ele traz uma listinha aqui, que ele já cita, a lista que teria sido compilada na Wikipedia, dos produtos… Fonte muito confiável. Não, não vamos entrar nessa. Não faz isso. Nem vou puxar esse negócio, depois a gente cria um episódio só para isso. Mas, assim, tem outras aplicações que
(11:46) são também atingidas, e vocês podem ver que a listinha não é pequena. Então está aí para quem quiser depois acessar, vai estar lá no show notes. Os navegadores atingidos, os sistemas operacionais, todos. Nossa, é muita coisa. Outros softwares e tal. Então, a gente tem coisa que já sofreu patch: o Slack, o 1Password, o Telegram. Tem várias situações aí. E a pergunta é se isso aqui é correto, se faz sentido ou se é correto fazer o reporte de vulnerabilidades desse jeito. É um tanto delicado. Se a vulnerabilidade atinge de forma pontual
(12:28) um determinado software, algo específico daquele software, daquele ambiente, faz sentido ter um CVE só daquilo. Agora, no momento em que eu tenho uma vulnerabilidade, não importa por quem tenha sido reportada — Apple, Google ou Microsoft também têm seu time de segurança —, no momento que eles identificam uma vulnerabilidade que atinge diversos softwares porque está numa biblioteca específica, me parece, de pronto, sem muita reflexão, que o mais correto sim é reportar as coisas de
(13:00) uma maneira unificada, e não cada um no seu produto, senão vira uma bagunça. Então, num primeiro pensamento, o que me parece é que é inadequado realmente fazer o reporting nesse sentido. Mas como é algo que é lançado aqui para discussão pelo Dan Goodin, que é o autor desse artigo, fica lá no show notes para quem quiser saber um pouco mais, dar uma lida e tirar suas próprias conclusões. E, quem sabe, de repente, mandar sua opinião para a gente, para contribuir com essa discussão. Mas me parece que o correto seria realmente fazer a criação da
(13:40) vulnerabilidade pelo problema fundamental, a raiz, e não pelo produto em si. Está bom. E também coloca em xeque o próprio modelo dos… não sei se coloca em xeque, mas talvez nos faça refletir um pouco sobre o próprio modelo de notificações via CVE. Não, não acho que colocar em xeque seja um pouco forte demais, mas não é algo que esteja escrito em pedra que não possa ser discutido. Claro que não. Tudo pode sofrer modificação e melhoramento. O CVE tem espaço para melhorar, sem dúvida. Tudo tem. Mas aqui é
(14:19) mais uma questão de como se faz o reporte mesmo, como se deve considerar essa coisa. Está bom. Um abraço, Ricardo. Muito obrigado pela tua mensagem e vamos tentar ser mais rápidos lá no Mastodon, Vinícius. A primeira notícia que eu trago diz respeito a uma atuação da ANPD, que aplicou a sua segunda sanção. Olha só! Palmas para a ANPD! Efeitos sonoros esses que eu vi depois, que só você que nos assiste no
(14:57) YouTube consegue vê-los, porque na gravação aqui ele não capta. Enfim, veio a ANPD e concluiu esse processo administrativo sancionador contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo, de sigla IAMSPE, que é como vou me referir a ele. E vou ler aqui também alguns elementos desse processo. A descrição da infração foi que, além de não informar adequadamente sobre a natureza dos dados que poderiam ter sido afetados ou a natureza do incidente, ou seja, eles passaram, na verdade,
(15:31) por uma vulnerabilidade, Vinícius, que permitia o acesso a dados pessoais sem autenticação ou de forma inadequada. Dito e identificada essa vulnerabilidade, a descrição da infração, conforme o processo da ANPD, é que, “além de não informar adequadamente sobre a natureza dos dados que poderiam ter sido afetados ou a natureza do incidente, não utilizou uma forma adequada para alcançar os titulares. Por essa razão, entende-se que o controlador violou o comando do artigo 48, em razão de não ter realizado no
(16:05) prazo concedido a comunicação individual à totalidade dos titulares afetados, conforme determinado pela ANPD, sem que o mesmo tenha apresentado justificativa razoável para proceder de forma diversa”. Essa falha envolveu, então, como eu disse, a possibilidade de acessar dados pessoais sem o uso de credenciais válidas, ou seja, era um problema de autenticação e autorização. Em um primeiro momento, diz a ANPD, esse acesso poderia ser feito inclusive por terceiros não autorizados, que poderiam consultar não só o conjunto de dados pessoais descritos na
(16:40) documentação, como nome completo, estado civil, data de nascimento, CPF, RG, endereço e telefones, como também cópias de documentos como RG, CNH e comprovante de residência. Essa vulnerabilidade foi comunicada à Prodesp, a companhia que mantém o sistema, em janeiro de 2022. Olha o tempo que passou, isso me chamou a atenção. Só que, segundo eles, não havia dados suficientes que pudessem comprovar as alegações ou sequer identificar a entidade pública a que se referia.
(17:20) Notemos aí que também houve aquele problema que já comentamos com frequência aqui, que é como as instituições, e aqui no caso o controlador de dados pessoais, reagem às comunicações de vulnerabilidades e de incidentes. Lembrando que, a partir de agora, as empresas não podem mais se dar o luxo de se manterem inertes diante de comunicações de incidentes ou de vulnerabilidades, sobretudo quando esses incidentes e vulnerabilidades envolvem dados pessoais. Elas, na verdade, precisam manter um processo de gestão de comunicações e de incidentes bem sério a partir
(17:59) de agora, com a LGPD. Na verdade, sempre precisaram disso, mas com a LGPD as consequências são outras. Esse comunicante, quem comunicou a vulnerabilidade à ANPD, logo depois, em fevereiro, comunicou que ela não tinha sido corrigida. A resposta do instituto foi que teria implementado, a partir de fevereiro de 2022, controles para restringir o acesso aos dados e que somente usuários autenticados, a partir de março de 2022, conseguiam ter acesso aos seus dados. O problema é que eles utilizavam, Vinícius, identificadores (IDs)
(18:40) sequenciais acerca dos dados, aquela vulnerabilidade clássica que permitia que, uma vez que você estivesse no sistema, conseguisse, a partir da alteração desses IDs sequenciais, ter acesso a dados de outras pessoas. Uma das formas que eles acharam para a solução do problema foi transformar isso em hashes. E tudo isso culminou em duas advertências, e não multas, Vinícius. Claro, vai ficar lá o documento para quem tiver interesse em ter mais detalhes, não temos como descrever tudo exatamente o que aconteceu, mas isso culminou em duas advertências: uma pelo descumprimento do
(19:20) artigo 48, com uma medida corretiva de manter um aviso de comunicação no próprio site da IAMSPE por 90 dias, e outra advertência pelo descumprimento do 49, que é o cumprimento de dever de segurança nos sistemas que mantêm os dados pessoais, com medida corretiva para apresentar um cronograma de adequação de segurança com um prazo máximo de um ano. Ou seja, eles vão precisar refazer e readequar, reajustar a segurança de seus sistemas nesse prazo de um ano. Aqui, Vinícius, eu quero aproveitar essa circunstância para comentar um pouco também sobre os serviços que a Brown-
(19:55) Pipe presta. E você, acho que todos aqui que nos escutam, já deve ter percebido como, a partir da LGPD, a segurança da informação se tornou um requisito imposto legalmente para as empresas. E um dos diferenciais da BrownPipe e de outros players no mercado é contar com consultores e líderes técnicos que têm condições de avaliar os aspectos de segurança da informação conforme e de acordo com os ditames da LGPD. Ou seja, já há essa necessidade imposta pela lei de você cuidar e aplicar esse
(20:34) e cumprir esse dever de segurança de uma forma qualificada. Então, caso você tenha dúvida sobre esse tipo de problema, também procure, converse conosco, nos acione aqui em brownpipe.com, vá verificar lá os nossos serviços, entre eles esse apoio qualificado em segurança da informação para atender àquilo que a LGPD prevê. Perfeito, Guilherme. Tu queres trazer outra ou já trago uma minha aqui? Pode ser uma sua. Então, eu vou falar de uma que, de novo, como já falamos sobre isso, as nossas notícias têm mais a ver
(21:17) com o fundo da notícia, com a lição que ela nos traz, do que com a novidade em si. E eu queria trazer um pouquinho uma situação que a gente teve e que está se mostrando cada vez mais complexa, que é uma situação que está envolvendo o software chamado MOVEit. É um software da empresa Progress. E esse software, entre outras coisas, ele permite que tu faças transferência de arquivos, que é algo que volta e meia tu tens que fazer. É uma solução para quem, se alguém não conhece o MOVEit
(21:59) em si, tem um outro que é mais para o usuário final, digamos assim, que é o WeTransfer, também uma plataforma para se trocar arquivos. Então existe o MOVEit Transfer, que é uma solução on-premises. Tem outras soluções em cloud e tal, mas o foco aqui é a solução on-premises, que é o MOVEit Transfer. O que aconteceu com esse software? Apareceu uma vulnerabilidade neste software, que eu já vou dizer qual foi — para quem já sabe, não sopre para os coleguinhas se estiver ouvindo junto. Mas a gente tem alguns exemplos aqui de um
(22:39) banco chamado Flagstar, que teve aí os dados de mais de 800.000 clientes vazados. A gente tem… Opa, tinha outra aqui, eu abri duas vezes a Flagstar, parabéns, Vinícius. A outra é a Sony. Então, outra notícia com relação à Sony. A Sony também teve dados vazados de funcionários, diversos funcionários, e informações vazadas nesse sistema. E tem várias outras empresas que foram atingidas por isso. Qual foi a vulnerabilidade? SQL injection. Uma vulnerabilidade há muito não vista no mercado de segurança, que ninguém conhece, que não
(23:25) aparece no top 10 da OWASP já há muitos anos. Então, um SQL injection permitiu que se acessasse, na solução instalada on-premises, não na solução de nuvem, permitiu então que se fizesse o acesso a esses dados. O que chama a atenção, e aqui é uma coisa que, sem avisar o Guilherme, eu me organizei para isso, mas não avisei, que chama a atenção no âmbito da questão da proteção de dados, LGPD: essas empresas, a Flagstar, a Sony e outras que foram afetadas e se manifestaram sobre essa questão do MOVEit, elas têm se limitado a
(24:08) dizer que “os nossos sistemas seguem operacionais, nós não temos problema nenhum, o problema foi lá da MOVEit”. O problema não foi nosso. Beleza, OK, fica claro de quem é a responsabilidade do que aconteceu. Mas a MOVEit, nesse caso, é uma operadora, né, Guilherme? Provavelmente, no âmbito da situação, por tudo que a gente pode olhar, como ela está sendo utilizada para movimentar esses dados, seja a Sony, a Flagstar e outras empresas que a utilizam para movimentar seus dados por ali, ela acaba sendo operadora. E, então, o problema que aconteceu lá na MOVEit
(24:48) vai gerar a necessidade da Sony, Flagstar e tal de tratar isso como um incidente de segurança seu, embora o problema seja lá no terceiro. Então, o problema é seu com relação aos seus clientes. Ela não consegue simplesmente jogar a coisa para dentro da MOVEit, tipo: “Ó, clientes, o negócio é com a MOVEit”, porque, no final das contas, quem selecionou a solução, quem passou a utilizar a solução, foi a Flagstar, foi a Sony, etc. Aqui, o que é interessante nessas notícias — e no show notes vão estar as duas, inclusive a da Sony —, o que chama atenção
(25:28) é o fato de que, ao contratar um serviço para você utilizar na sua infraestrutura, seja para transferência de arquivos, para hospedar um banco de dados, contêineres, etc., você tem que ter um acompanhamento muito próximo do que você está utilizando e de eventuais problemas. Ou seja, solicitar para essas empresas — embora o contrato seja mais de adesão e tu não tenhas muito o que falar em muitas situações —, garantir que essas empresas tenham um mínimo de preocupação com relação à segurança dos seus sistemas. Então, ao utilizar um serviço de um terceiro — e várias vezes a gente entrou em
(26:04) discussões internas nossas, né, Guilherme, lá na BrownPipe, com relação a nós utilizando produtos de terceiros: “Poxa, será que isso aqui é seguro? Será que eles cuidam?”. E a decisão, quando tu vais usar um software desses, é meio às cegas. Tu não tens como entrar em contato e pedir aos caras uma demonstração de que eles são auditados e tudo mais. Quando eles publicam que são… É exatamente aqui no caso da MOVEit, a solução que ela diz aqui é que ela permite que a organização
(26:42) se submeta a PCI, HIPAA, GDPR. Então, é complexo esse negócio. Tem que se analisar com muita calma quando tu vais integrar qualquer tipo de sistema, qualquer tipo de solução de terceiros ao teu ambiente, principalmente quando vais mover dados. E quando eu falei do WeTransfer, por exemplo, você pode usar o WeTransfer para alguma coisa, mas não precisa confiar no WeTransfer. Então você pode, por exemplo, cifrar todos os teus dados de uma maneira independente, à parte, para daí mandar via WeTransfer, e para daí,
(27:23) no caso do WeTransfer, é mais para um uso pessoal que a gente faz, de passar um arquivo para outra pessoa diretamente. E você pode também, mesmo nesse uso desse tipo de serviço, fazer esse tipo de medida de segurança: não confia, cifra. Eu lembro, há bastante tempo, a gente estava acompanhando um cliente que estava implementando uma conexão entre unidades usando MPLS. No caso, MPLS é um circuito virtual, por dentro da telefonia, do sistema de comunicação, que te permite compartilhar
(28:01) meios de comunicação físicos. E o pessoal: “Não, mas aqui é privado, não tem como ninguém mexer”. Cara, simplesmente não confia, você cifra igual. A mesma coisa continua valendo para serviços em que você vai confiar na infraestrutura de terceiros para movimentar dados. Se for possível, claro, adote sempre uma opção em que você controla a proteção dos dados com uma camada adicional ao que o fornecedor já dá, independente do fornecedor. Lembrando que existe também aquela ferramenta do Sync, o Resilio Sync, antigamente chamado de BTSync, que também realiza a transferência
(28:42) de grandes arquivos e funciona muito bem com contêineres criptografados. Ele não transfere todos os dados de novo quando você altera. Tem que ver caso a caso. A solução da MOVEit aqui, ela é especificamente criada para o ambiente corporativo, por exemplo. Então, tudo depende de como a ferramenta funciona, como o sistema funciona, e ver que medidas é possível colocar em cima disso. Mas, de novo, se você
(29:15) pode cifrar, cifre. “Ah, vou usar um bucket lá na AWS para guardar backup”. Cifra o backup. “Ah, mas o bucket já tem proteção”. Cifra o backup antes de mandar para o bucket. Qual o problema? Como já vamos ver a seguir, para não ficarem os seus backups expostos. É isso aí. Quer trazer a tua aí? Sim. E é uma pergunta, na verdade: ainda há esperança para o X/Twitter? No sentido de: estamos diante de uma ferramenta, de uma rede social que ainda merece ser usada e que oferece um ambiente saudável e seguro? E quando digo saudável e seguro, estou me referindo inclusive à própria qualidade da informação que está lá,
(29:58) nesse sentido, e também sobre como temos visto uma série de discursos criminosos, muitas vezes, florescendo por meio de decisões que se tomou nessa ferramenta. Sobretudo, histórias como Elon Musk despedindo grupos que faziam toda a atividade de monitoramento de discursos de ódio. O que está acontecendo é que, na Alemanha, a Agência Federal Antidiscriminação alemã decidiu fechar a conta deles na plataforma X, devido ao aumento de intolerância contra minorias. E esse movimento se dá numa
(30:42) esteira de disseminação de informações enganosas, inclusive também de imagens falsas relacionadas à guerra entre Israel e Palestina. E o comissário da agência, Ferda Ataman, afirmou que o X já não é um ambiente sustentável para órgãos públicos e citou, para justificar essa ideia, o aumento de conteúdos de ódio. A plataforma tomou medidas recentemente para conter a disseminação dessas postagens. O governo alemão ainda resiste em alguns pontos, entendendo que ela é, sim, uma ferramenta importante de comunicação, mas o Ataman sugeriu que
(31:22) outras agências e outros órgãos reavaliem a sua presença no X/Twitter, diante dessa rede de desinformação que passa a crescer lá dentro. A gente tem visto muito conteúdo, como os alemães já perceberam, relacionado a essa guerra. E, nessa semana também, nosso querido amigo e pesquisador de segurança, Diego Aranha, decidiu deixar a rede. Ele disse, em inglês: “This network was already on a toxic spiral. The last few weeks have made it a living hell. So long, and thanks for all the fish. Hoping to not be back”. Mas nós temos a sorte do Diego Aranha estar lá no Mastodon, então você consegue, quem gosta do Diego e quer segui-lo, pode
(32:15) segui-lo e fazê-lo lá no @[email protected]. Mas eu realmente acho, Vinícius, que não há esperança mais para o Twitter. Realmente, ele foi implodido. E a gente conversava antes aqui, aquele ideal de que as redes sociais, lá de 2013, 2012, início dos anos 10 deste século, serviam como um espaço livre — e livre no sentido de que as pessoas poderiam livremente se organizar sem interferências —, essa ideia, o próprio Castells falava sobre isso, mas ela precisa ser revisitada, porque os interesses dessas empresas passaram a
(33:00) estar dentro do próprio código que faz as atividades de moderação e de organização dos feeds. Então, aquela ideia de você só ver aquilo que você escolhia ver, ela passou a ser, por uma série de razões, eu acho que ela não existe mais, pelo menos no Twitter. Isso está muito forte. E a forma como é feita essa, não a moderação, mas a curadoria do que é apresentado para a gente nos feeds, eu acho que realmente tornou essa rede muito difícil de você usá-la e manter a sua saúde mental, e também a sua própria segurança, de maneira geral, diante do que ela tem se tornado nos
(33:46) últimos meses e talvez nos últimos anos. Eu acho que a gente tem um tema aí muito bom para um episódio, envolvendo convidados. Eu acho que é uma coisa bem interessante, essa questão das redes sociais de novo como espaço de discussão. Porque, realmente, o Twitter é mais um desses espaços, mas desinformação, discurso de ódio, haters, essas coisas, a internet de maneira geral potencializa isso, como potencializa as coisas mais nobres, inclusive.
(34:28) Então, eu acho que a gente não tem… E, por exemplo, o Mastodon está tranquilo porque não está no mainstream. Se, vamos supor, amanhã ou depois o Mastodon substitua o X, por exemplo, eu não tenho dúvida que em pouco tempo ele vira o que o X já é. É que o Mastodon não é centralizado, você tem as instâncias, você consegue estabelecer regras mais aplicáveis para cada uma dessas instâncias. Não é uma coisa centralizada que uma pessoa toma a decisão de um jeito ou de outro. Tu vais ter o
(35:06) extrato de coisa nojenta, vai ter esse extrato indo para lá. Não adianta, entende? Tu vais ter algum tipo de limite que tem que ser imposto, aí entra em discussão dos limites e tal. Mas, no final das contas, vai continuar tendo pessoas que não sabem se comportar no ambiente público, digamos assim, atacando umas às outras e com discurso de ódio, e isso vai estar em todo lugar que for mainstream. Todo lugar que tiver muita gente vai chamar a atenção dessas pessoas, desses grupos, dessas iniciativas.
(35:46) Então, para mim, acho que por isso que eu digo que dá um episódio isso. Sabe, não é uma questão de ser distribuído, pertencer a uma empresa ou não. Eu acho que, de um jeito ou de outro, se for público, se tiver um monte de gente, vai ter todo tipo de manifestação, inclusive essas inadequadas. E acho que a maneira de suprimir não está muito na ferramenta em si, embora dê para ter algum tipo de controle, denúncia. Esse tipo de coisa acho que é viável de se implementar, mas não que vá impedir de existir, sabe? O que você coloca é
(36:22) uma constatação. De fato, isso vai acontecer. Aí resta aos Estados saber como eles vão querer e vão poder regular e impor limites, que era uma coisa que se tinha naquela irresponsabilidade ou não responsabilização das redes sociais no início dos anos 2000. Isso já caminha para uma mudança de rumo, seja na Europa, principalmente, pelo Digital Services Act, que vai entrar em vigor em 2024, mas nós temos também iniciativas aqui no Brasil relacionadas a fake news, atividades de controle. Ou seja, os Estados estão começando a se dar conta de que deixar
(37:03) todas essas plataformas, diante de tudo isso que você colocou, à mercê dos próprios interesses das plataformas… a gente viu que isso não está alinhado com a busca do bem comum. Pode concluir. Eu ia dizer que não deixa de ser algumas das contradições do próprio capitalismo. Me parece que hoje nós temos que olhar também para o envolvimento dessas redes sociais numa perspectiva econômica e sociológica também, mas econômica, para a gente verificar essas contradições
(37:34) que o capitalismo traz. A OpenAI, por exemplo, deixando de ser “open” por conta do lucro, ou seja, traindo alguns dos seus pressupostos iniciais. Mas, enfim, é papo para outro assunto. Beleza. Eu fiquei azul agora há pouco para os nossos ouvintes, porque eu percebi que, como a gente teve um probleminha técnico quando começou a gravar, deu uma coisa meio maluca aqui, ia dar um problema iminente que eu tive que mexer. Não adiantava eu ficar azul. Mas foi bem rápido, acho que fiquei azul de
(38:16) raiva. Guilherme, eu até esqueci o que ia comentar. Ah, sim. Essa questão dessa interferência, eu acho muito ruim que fique na mão de empresas privadas esse espaço, entre aspas, público de discussão. Mas eu também não quero um espaço público totalmente controlado pelo Estado. Não é isso que essas legislações… Não, não, eu não estou dizendo que essas legislações estão fazendo isso. Só estou dizendo que é algo novo. Ou seja, a analogia de praça, eu acho que não serve para isso.
(39:01) Como se fosse uma praça e tal, que alguns colocam. Eu acho que não é isso, porque numa praça tu vais lá, a não ser que tenha câmera para te controlar. Sim, começa a ter, mas não tem como se fazer um monitoramento super detalhado do que tu estás fazendo lá, do que estás discutindo. Já no ambiente digital, tudo que a gente fala, nos mesmos detalhes, as vírgulas, os pontos, tudo é passível de monitoramento por diversos atores, sejam eles estatais ou privados. Então, é algo que tem que ser muito bem discutido para realmente
(39:36) não se abrir nem caminhos em que a coisa fique na mão de empresas privadas que fazem o que querem com os nossos dados, sem controle nenhum — acho que isso é muito ruim, e pior, manipulando, como a gente já discutiu algumas vezes aqui no episódio. É muito ruim tu seres manipulado para fins comerciais e tu nem te dares conta disso. E, ao mesmo tempo, tampouco eu quero estar num ambiente em que eu tenha medo de falar ou de me manifestar, porque eu posso ser… isso já
(40:09) acontece, a gente já tem situações assim, porque eu estou sendo monitorado, digamos assim, pelo Estado, que tem muito mais condições de monitorar no ambiente digital do que no físico. Mas é isso, acho que isso aí dá um belo de um episódio sobre o tema. Acho que dá um baita de um episódio sobre este tema. Você quer trazer uma ou eu trago a minha? Eu trago mais uma aqui, que seria a minha última, na real. E os meus links, depois que deu aquele problema,
(40:45) foi tudo para o beleléu. Mas, enfim, eu o tenho aqui. Deixa eu colocar aqui no navegador, que é o Chrome não vulnerável, já atualizado, para compartilhar com vocês. E é esta notícia aqui. Hoje, a coisa do meu lado está meio complicada. Estou cheio de distrações aqui, já fiquei azul. Vamos lá. Aqui é uma outra notícia vinculada a vazamento de dados, no caso, da Microsoft. E a ocorrência foi em 2022, ela foi trazida à tona agora há pouco. Ficaram expostos 38 TB de dados
(41:32) privados relacionados a funcionários da Microsoft num storage inseguro da Azure. Muito parecido com outras situações que a gente já viu do uso de buckets e que eu estava comentando antes, na notícia anterior. Quando você utiliza serviço de terceiros para colocar seus dados lá… no caso, a Microsoft não estava usando de terceiro, estava usando o seu próprio. E ela botou informações num bucket lá da Azure, e ao colocar esse bucket, ela criou um
(42:10) token de acesso com permissões excessivas. Então, isso aqui eu trouxe para a gente dar uma encaixada, digamos assim, com essa parte de cuidar o que nós temos de uso de infraestrutura de terceiros, que é mais ou menos o meu tema de hoje aqui no café, e de você confiar ou não nesse tipo de infraestrutura. Essa notícia aqui é de setembro de 2023, então, do mês passado. Mas, de novo, o que a gente tem? Armazenamento de dados, aqui no caso a Microsoft usando a sua própria infraestrutura. Ela estava
(42:57) compartilhando esses dados por meio da criação de um token, e ela, infelizmente, criou um token com acessos excessivos, então deu acesso demais. Houve um erro ao dar acesso e acabou expondo 38 TB de dados privados. O que acontece? Quando você vai usar algum tipo de infraestrutura de armazenamento externa — no caso aqui, a Microsoft usando a Azure, não dá para dizer bem externa porque é deles, mas enfim —, quando vais usar algum tipo de armazenamento que é passível de compartilhamento, ou seja, que você pode criar alguns
(43:36) compartilhamentos, a gente já tem uma dificuldade inerente das próprias ferramentas, das próprias plataformas de nuvem, que é a complexidade. Ou seja, e isso estou falando de maneira geral, não da Azure especificamente, mas do GCP do Google, da AWS da Amazon. O que acontece? Essas plataformas, elas têm que conseguir abordar, elas têm que conseguir dar os recursos que diversos negócios diferentes precisam ou necessitam. Então, ela tem que ser muito flexível, e para ser muito flexível, tem que ser extremamente configurável. Para ser extremamente configurável, acaba sendo
(44:15) complexa. Então, a questão de cometer erros e expor dados dessa forma, backups e tudo mais… a Microsoft expôs, inclusive foi por meio de backups que ela tinha armazenando lá, que acabaram sendo expostos. Então, quando você faz um backup, coloca o backup na nuvem, ou vai criar algum espaço de armazenamento para arquivos que vai compartilhar com um sistema — a gente vê bastante isso nos sistemas que a gente acaba avaliando, acaba fazendo pentest. A Camila vai ficar feliz com a gente hoje, porque a gente está falando mais da BrownPipe do que costuma falar.
(44:46) Então, quando a gente vai fazer esse tipo de uso desses recursos, nós realmente precisamos ver até que ponto a gente pode confiar na plataforma, mesmo com as configurações todas que podem ser feitas lá, e se a gente pode tomar outras medidas de segurança além de simplesmente confiar no que a plataforma está oferecendo. Então, no caso da Microsoft, se ela tivesse cifrado os seus backups — mesmo a Azure sendo dela —, mas a Azure falhando… na verdade, não foi a Azure que falhou, alguém falhou na hora de configurar o token de acesso.
(45:19) Mesmo que alguém cometa essa falha, ainda assim, os backups vazaram, os arquivos em si, mas eles não seriam acessíveis até que alguém conseguisse quebrar a senha utilizada para protegê-los. Então, é mais um bundle aqui que eu tenho de notícias vinculadas a essas questões de armazenamento de arquivos ou de dados em infraestrutura de terceiros. Tem que se tomar muito cuidado com isso. Sobretudo, a gente já disse, por conta das leis de proteção de dados, no nosso caso aqui, da LGPD. Bom, minha última notícia,
(45:52) talvez um pouco fora desses aspectos mais de segurança, foi uma nova funcionalidade anunciada pelo Spotify na sua plataforma de podcasts. E embora nós estejamos no Spotify, eu não gosto muito dessa questão de você fechar podcasts dentro de plataformas. Eu realmente não gosto da ideia, inclusive, de podcasts exclusivos do Spotify, de forma que você precisa ser assinante do Spotify ou precisa dar seus dados para o Spotify para conseguir ouvir determinados podcasts. Eu acho que a grande graça, e talvez um dos
(46:38) aspectos mais interessantes dos podcasts, é justamente você publicá-los de maneira não centralizada. A questão do feed, o uso do feed, você pode consumir essas mídias das mais variadas formas. Claro, tem a questão do vídeo, que a gente joga no YouTube ainda, para as pessoas conseguirem ter um acesso de uma forma diferenciada, mas muito me agrada essa coisa aberta do podcast. Eu já falei isso aqui várias vezes, mas, para aumentar o alcance cada vez mais, nós vamos entrando e ficando fechados em alguns casos,
(47:16) em algumas plataformas. O que o Spotify fez? Eles criaram uma nova ferramenta de Inteligência Artificial que faz a tradução de podcasts, mas não é uma mera tradução, uma mera apresentação de legendas. É uma tradução em que a voz das pessoas no podcast, a tradução é feita com a utilização da voz dessas pessoas. Então, eles estão utilizando uma nova tecnologia da OpenAI de geração de voz que deixa a voz gerada exatamente igual à voz da fonte original. Eu quero falar sobre os aspectos problemáticos disso bem rapidinho. Primeiro, é como a gente vai regular
(48:02) isso. Toca até naquela própria questão que a gente já falou, já escrevi sobre isso com o professor Cristiano Colombo, que é como a gente vai regular o uso dessas novas produções baseadas em dados pessoais, no caso a voz aqui, em que você consegue virtualmente criar tanto personagens — a questão dos filmes, que isso já começa a acontecer, a própria Madonna alterou o testamento dela para proibir qualquer uso ou produção de novas obras baseadas nas suas obras antigas, proibindo isso. Ou seja, é um tipo de controle de
(48:39) direitos da personalidade muito relevante, muito importante, que vai tratar tanto das necessidades de autorização para que isso seja feito, quanto problemas de uso póstumo. Esse é o primeiro ponto, acerca da proteção dos direitos da personalidade. Eu vejo com isso, caso essa tecnologia se expanda, talvez nós vamos ver o fim do mercado e talvez o fim da profissão de dubladores. Se isso for muito barato, acessível, e o resultado ficar realmente muito próximo com a voz original, exato, sem perder a voz… Eu preferiria, desculpem
(49:18) os tradutores e os dubladores, mas seria muito bom. Eu assisto filme legendado, preferencialmente. Gosto de ouvir a voz original do ator. Só que, obviamente, volta e meia eu assisto coisas dubladas com as crianças e tal. E algumas dublagens são muito legais. Por exemplo, a voz do Wolverine em português é muito legal. Eu não lembro o nome do dublador agora, mas ele dublou vários filmes que eu assisti na minha infância. Tem a voz do Wolverine. Eu não vou arriscar.
(49:58) Ele faleceu, faz bem pouco tempo. Mas é uma situação específica. Em geral, eu prefiro a voz original e acho que se perde um pouco quando tu perdes a voz original. E aí você vai ter problemas de geração desse tipo de conteúdo com a voz. Então, eu não sei como que os termos de uso do Spotify estão lidando com isso. Provavelmente, eles devem ter um acordo, porque eu vi ali que são quatro ou cinco só que estão por enquanto com essa funcionalidade. Então, imagino que tenha um
(50:32) acordo. Eu não sei se esses são podcasts também só do Spotify, acho até que sim, se eu fosse arriscar, mas não tenho essa informação agora. A gente tem que ver que essas plataformas, diante do seu tamanho, poderiam empurrar certos termos e certos contratos com esses podcasters de forma, inclusive, quem sabe, até mesmo de utilizar a criação de novos conteúdos com a voz dessas pessoas sem a sua participação. Então, só para concluir, eu acho que nós temos aí um cenário que ele é sedutor e traz, certamente, vantagens, abre a possibilidade de acesso, mas eu creio que
(51:14) os riscos aí estão sendo subestimados, como ocorre com bastante frequência com a tecnologia, e acho que são riscos muito importantes. Eu vejo, sob pena de estar sendo um pouco negativo, até um encaminhamento e o início do fim dos podcasts produzidos por pessoas. Do tipo: “Ah, eu sou dono da plataforma, eu tenho contratos com todas essas pessoas e eu vou começar a criar conteúdo aqui por Inteligência Artificial, inclusive usando a voz das pessoas”. Eu acho que tem vários problemas,
(51:51) vários gatos nesse mesmo saco aí que a gente tem que separar. Primeiro, a questão da possibilidade da tradução com essa qualidade. A gente já tem tradução de legenda no YouTube, meio capenga, mas tem, que tu podes pegar então esse nosso vídeo aqui, por exemplo, e pedir para ele legendar em inglês na hora. Ele tem algumas coisas assim. Isso a gente já tem, mas não funciona muito bem. Mas, enfim, tem gente usando. Com essa qualidade aqui, por exemplo, eu arriscaria dizer que o nosso podcast
(52:28) traduzido dessa forma, mantendo o nosso tom de voz em outras línguas, para o Segurança Legal seria interessante. A gente atingiria um público… a gente não vai gravar em espanhol, por exemplo, a gente não vai gravar em inglês. A gente grava sempre em português e, com pouquíssimo esforço, atingiria um grupo ainda maior de pessoas com o objetivo do podcast, que é conscientizar com relação à segurança e proteção de dados. Aumentaria o nosso alcance, seria bem interessante nesse sentido. Essa é uma questão. A outra questão é a de
(53:05) acessibilidade. Tu tens muito conteúdo bom, para nós que falamos em português, em outras línguas na área de tecnologia, por exemplo, que tu terias que entender inglês para consumir. Tem muita coisa que só tem em inglês mesmo. Então, tu darias alcance a muita gente que não fala inglês, que não tem condições de fazer um cursinho, não teve condições de aprender inglês. Essas pessoas teriam alcance a esse conhecimento que hoje está restrito a quem consegue ouvir, falar ou ler em inglês.
(53:39) Não, ouvir e ler em inglês. Então, acho que isso é uma coisa interessante, bastante útil nesse aspecto. Outra coisa diferente, aí começa a entrar onde eu julgo realmente haver problemas, que é, não digo nem criar novos conteúdos, um conteúdo original, mas imagina que alguém traduz o nosso podcast para espanhol e, nesse novo conteúdo, injeta propaganda visando públicos específicos de países que falam espanhol, e a gente não ser remunerado por isso.
(54:25) Acho que é o que acontece com o Spotify. Exato. E aí, isso já é um problema. Entende? O nosso podcast está lá no Spotify. Se você não paga o Spotify, você vai ouvir propaganda no meio do nosso podcast, e o Segurança Legal não recebe nenhum centavo por essas propagandas. Nada. A gente não tem escolha de não colocar. Se você paga, é você com o Spotify, e o nosso conteúdo está lá também, porque se a gente não colocar lá — nós temos mais de 3.500 seguidores no Spotify —, se a gente não
(55:00) colocar o nosso conteúdo lá, estamos deixando de ter 3.500 seguidores. A gente pode pedir para vocês nos acessarem diretamente ou por meio de outras plataformas. Tem uma que eu tenho que ver, Guilherme, contigo, que parece que essa sim, ela paga quem produz, ela compartilha o ganho com quem produz, mas eu tenho que dar uma olhada direito. Mas, assim, a gente não tem como não estar no Spotify, porque é uma plataforma mainstream que todo mundo usa, e boa parte dos usuários não paga,
(55:33) paga porque ela ouve… quem paga é quem anuncia na plataforma, e quem anuncia, anuncia no meio de conteúdo como, por exemplo, o nosso. E o YouTube é a mesma coisa. Nós estamos gravando o vídeo aqui, que vai para o YouTube também, que se você não tem uma conta premium lá do YouTube, você vai ver propaganda no meio do nosso episódio, e o Segurança Legal não recebe grana por essa propaganda. Mas o ponto sobre a produção automática… aí eu chego num problema que é ainda mais grave, que daí é outro gato nesse mesmo saco, que é tu fazeres o que tu disseste
(56:13) aí, que é o cara pegar assim: “Seguinte, se eu posso traduzir, eu posso gerar”. Tu estás gerando a partir de um conteúdo, estás gerando com a mesma voz. Ignora a tradução, só pensa na geração do áudio. Tu consegues gerar áudio exatamente com o mesmo tom de voz do cara, do mesmo jeito. E aí, sim, Guilherme, aí nós temos um problema, que é: “O Vinícius e o Guilherme não podem gravar hoje, vamos gerar um episódio automático” ou “vamos gerar conteúdo que nós vamos monetizar”. Claro, teria que ter autorização, até por questões de direitos autorais
(56:51) e tal, mas esse é o problema. Eu acho que sim, que vai acabar acontecendo, e nós vamos, de repente, ver, assim como aconteceu com uma amiga minha que desenha. Ela é uma artista, da área da computação, mas desenha, tem uma veia artística bem interessante. E ela tem um site, eu não lembro agora o nome do site, que ela desenha e vende os desenhos dela. É uma comunidade, uma galera que faz isso. E, há pouco tempo atrás, ela recebeu um aviso de que a plataforma ia começar a usar os desenhos de todo mundo lá dentro para treinar uma IA, e essa IA generativa ia
(57:30) começar a gerar os desenhos para vender. Deve ser o DeviantArt. Eu não lembro. Eu sei que ela e mais um monte de gente saíram da plataforma, porque a concorrência está ficando desleal. A concorrência é uma IA gerando os desenhos com os estilos de todos os artistas que tem lá e vendendo os desenhos no lugar deles. Eles não ganham nada. É o sonho desses caras. Então, daqui a pouco, sim, assim como a Uber quer ter carro que não tem motorista, que é o futuro, só os carros lá andando e não tem problema com…
(58:07) ter que ficar lidando com problema trabalhista com motorista, o Spotify também, imagina, tirar do caminho as pessoas em si. Tu poderes produzir uma variedade de podcasts com tudo quanto é estilo, otimizado e customizado, e tu fazeres isso de uma maneira que tu não dependas de conseguir pessoas ou de talentos para fazer isso. Tu fazes isso com IA. Tu vês que a gente tem aí o aspecto de você ter o controle disso. E a grande questão é: se nós tivéssemos controle de todas essas ferramentas, assim como se os entregadores tivessem mais controle sobre o Uber e o iFood…
(58:50) O problema é que essas empresas, elas tendem ao oligopólio, ao monopólio. E os benefícios, sobretudo da Inteligência Artificial, acabam se voltando contra os produtores de conteúdo, quase como numa tendência à sua eliminação. Então, você acaba com o mercado de dublagem. A dublagem e a tradução também são protegidas por direitos autorais. Transcrição, legendas são protegidas por direitos autorais. Então, o sujeito, retirando os dubladores, ele conseguiria
(59:37) no mercado mundial lançar o seu filme, inclusive com ferramentas de Inteligência Artificial já existentes, modificar os próprios lábios dos atores para que simulassem a fala. Até isso seria tranquilo de fazer. Muito tranquilo de fazer isso em filme. Claro que bem mais especializado, mas em filme já foi feito isso. E, claro, você tem também o problema de determinadas línguas terem palavras maiores, sei lá, o alemão em comparação com o português. Realmente, me preocupa
(1:00:11) a quem será favorecido com isso. E a nossa experiência, pelo menos pelo que eu tenho visto, tem me mostrado que não seremos nós. Vimos ali um pedacinho de um episódio de um podcast com o Yuval Harari, e foi completamente por acaso, não foi uma coisa escolhida, foi o que a gente pegou. O problema que o Harari comenta em “21 Lições para o Século 21”, ele coloca justamente essa questão da IA com uma tendência de concentração ainda maior, além do que já existe,
(1:00:58) de poder e de informações nas mãos de poucos. Então, é algo que é bem mais abrangente. O problema vai muito além do que a gente está discutindo aqui, questão de tradução, questão do Spotify e tal. Mas, de fato, o problema é muito mais amplo. Ele diz respeito à nossa sociedade como um todo, a nível global, dos equilíbrios e desequilíbrios que nós já temos. A maioria, desequilíbrios. A tendência é se intensificar. E eu vou encerrar por aqui para não avançar muito no nosso
(1:01:46) horário e no tema. Mas, como a gente já coloca, o pessoal fica falando de meritocracia e tal, mas onde está o mérito de alguém que herda tudo, e alguém que tem que começar do zero, sem nenhuma condição, e às vezes não consegue nem vencer as dificuldades que tem pela frente por causa dessa falta de condições minimamente adequadas? Não estou dizendo exatamente iguais, mas minimamente adequadas. E o que o Harari coloca com relação à IA é: quem que vai usar os melhores modelos de
(1:02:21) IA, seja lá o que for? Quem que vai ter os melhores implantes de comunicação cerebral e não sei o quê? Quem vai ter acesso às maiores bases de informações? Então, é aquilo que o Paulo Rená disse esses dias: “Quais os problemas que a gente vai resolver com a IA?”. Eu acho que nós vamos criar novos. A gente pode resolver um monte de coisa, a gente pode fazer um monte de coisa boa. Mas, com as pessoas… aí entra um
(1:02:59) problema. Nem queria citar, mas com o egoísmo, com o egocentrismo, com a questão de sede de poder e essas coisas todas, a tendência é se utilizar isso para causar muito mal, além do bem que pode causar. Poxa, a IA hoje já funciona como um tradutor universal de Star Trek. Tu traduzes a língua que tu quiseres, pegas o ChatGPT, tu fazes o que tu quiseres com a língua que tu quiseres. Isso, sendo colocado em vídeo, é uma coisa melhor ainda. Tu poderes assistir a um vídeo sem perceber
(1:03:38) a tradução na tua língua nativa. Poxa, que legal! Imagina agora isso funcionando em tempo real, e a gente fazendo aqui uma reunião ou entrevistando um profissional de segurança da informação que fala grego, por exemplo. E a gente conversando com ele, ele nos compreendendo perfeitamente bem em grego, e a gente compreendendo ele perfeitamente bem em português. Então, as possibilidades de interação, o alcance que isso nos dá é fantástico. Mas, ao mesmo tempo, tu podes usar a IA
(1:04:14) para mastigar uma quantidade gigantesca de dados e ver nisso uma vantagem competitiva com relação a outras empresas, outros países, não sei o que mais, e tu usas isso para ti, e os outros que se explodam. Então, nós vamos vivenciar isso, eu acho que não tem muito como fugir, mas, por causa da natureza humana, acho que a coisa vai muito mais… acho que é muito filosófica a discussão. Não, eu não acho que a gente deva se conformar: “Ah, é da natureza humana e vamos nos conformar”. É difícil essa mudança, né, cara?
(1:04:52) É difícil. Para terminar, a gente falou desse tal de Lex Fridman aqui, mas nunca tinha ouvido falar desse cara. Não é nenhuma recomendação. Até fui procurar algumas críticas sobre ele aqui, o pessoal falando que deixaram de ouvi-lo por conta do seu amor incondicional por personalidades como Elon Musk e Joe Rogan. Então, foi meramente exemplificativo, não é nenhum… Não sei quem é essa pessoa. Eu conheço, nunca ouvi o podcast. Já vi, acho que para não dizer que nunca vi, entrevistas que ele fez com uma ou duas pessoas que me interessaram, que eu
(1:05:33) vi no YouTube. Aí eu descobri que era um podcast, vi que tinha um podcast dele, mas eu também não acompanho. Então, independente do que tu viste aí, não é nenhuma recomendação. É um exemplo do que o Spotify está fazendo. E se o que está dito aqui for verdade, inclusive, eu acho que eu não recomendaria. Enfim, estou lendo algumas avaliações aqui. Se quiser, ouça. Não vamos nós dizer o que você deve ou não escutar, mas só não vamos recomendar. Café Frio e Café Quente? Ficou frio, o
(1:06:11) Café Expresso e Café Frio. Desculpa, sempre esqueço. O Café Frio ou o Café Morno? O meu Café Frio vai para o Twitter. OK. O meu Café Frio vai para quem acha que basta usar a nuvem e os problemas de segurança estão todos resolvidos, não tem que cuidar de nada. O solucionismo da nuvem. Café Frio vai para quem usa bucket de maneira genérica na internet com os dados escancarados lá dentro. E o Café
(1:06:52) Expresso? O meu Café Expresso… eu não sei. Jogou para mim. Eu não sei qual é o Café Expresso. Acho que a gente pode mandar para o pessoal lá da IBM que nos escuta. Vamos mandar um Café Expresso para eles. Mas aí, o que vai acontecer? Se tu mandares o café… tá, agora como é que eu vou dizer que não? Manda teu Café Expresso para eles. Vai começar um monte de equipes a entrar em contato: “Eu também, nós também queremos!”. Então, façam
(1:07:26) isso. Vamos fazer o seguinte, vou formalizar esse negócio agora. Você tem uma equipe que trabalha com segurança que ouve o podcast, ou que não trabalha com segurança mas ouve o podcast, nos acompanha, etc., você pode, a partir deste momento, pedir o Café Expresso para o Segurança Legal. A gente manda um Café Expresso para você. Manda, diz em que situação que você ouve, se você gosta do podcast, se não gosta, há quanto tempo acompanha. Conta um pouquinho da tua história com o
(1:08:00) Segurança Legal. “Ouço há muito tempo”, “Descobri agora e está muito legal”. Entra em contato e a gente manda um Café Expresso virtual para toda a equipe. O meu Café Expresso, eu não vou dar para o Spotify, por aquelas razões que a gente já comentou aqui. Mas eu quero mandar o meu Café Expresso, de uma forma… não vou conseguir pontuar as pessoas, mas para todas as pessoas que trabalham visando o uso da tecnologia para melhorar de verdade a nossa vida e a vida de todos, sem
(1:08:40) exceção. Boa, gostei. A gente tem coisas muito boas que têm que ser feitas, e essas são iniciativas que têm que prosperar. Não só iniciativas de empresas privadas que têm, obviamente, como a nossa, o direito de ter o seu lucro, de ter o seu negócio e tudo mais. Mas tem certas coisas que nós devemos empregar de uma maneira que beneficie a todos e que não gere cada vez mais diferença, cada vez mais problemas sociais do que nós já temos. Ao contrário, que facilite. A IA, por exemplo, traduzindo podcasts,
(1:09:22) traduzindo vídeo, traduzindo coisas com conteúdos muito bons — não estou dizendo que é o caso do Lex Fridman. Esse tipo de aplicação pode tornar mais fácil ou tornar uma coisa que antes era inacessível, acessível a pessoas que não têm a mesma condição de entender material, conteúdo muito bom em outras línguas, acessar professores, institutos, museus, etc., na sua língua nativa, que de outra forma ela não
(1:10:02) poderia absorver aquele conteúdo, aprender com aquilo. Então, meu Café Expresso, a máquina inteira de Café Expresso, vai para essas pessoas anônimas, nesse momento pelo menos, que trabalham para esse tipo de emprego da tecnologia, não só da IA especificamente. É na linha dos princípios da IA, todas aquelas tentativas de você estabelecer princípios para o uso dessa tecnologia, visando, no final das contas, o bem comum. Só que agora eu vou fazer um… não adianta o princípio ser da IA, o princípio tem que ser do ser humano,
(1:10:37) da humanidade. Porque senão, não adianta nada. Pode botar o princípio que quiser lá que não vai rolar. Vai chegar na hora e o cara vai torcer a coisa. Bom, então fiquem agora, Vinícius, com o “Há 10 Anos do Segurança Legal”, que a gente vai ter que ver aqui depois na pós-produção qual vai ser, porque eu já vi que tem umas datas que não estão casando ali. Então, a gente vai ter que pegar talvez um pouquinho antes ou um pouquinho depois. Tem uns intervalos um pouco maiores entre episódios. A gente
(1:11:07) na época não seguia, às vezes gravava uma vez por mês, então eventualmente isso pode acontecer. Mas fique com… acho que vamos nos despedir de quem está acompanhando no áudio e fica o convite para você vir lá no YouTube para conferir a nossa escolha do episódio. O que tu achas? A gente escolhe o episódio agora na sequência. Pode ser. Vamos lá. Então, vamos nos despedir primeiro da galera que está no áudio. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos veremos no próximo episódio do podcast Segurança Legal. Até a próxima.
(1:11:40) Até a próxima. Beleza. Agora, você que segue conosco aqui no YouTube, eu vou compartilhar a tela aqui. Vamos dar um NFT de café expresso. Faz um café expresso em NFT. Que coisa. Se tu quiseres fazer. Deixa eu ver aqui, deixa eu acessar o nosso site para a gente escolher o episódio. Lista de episódios… o último foi o do Assolini, de 10 anos, 2013. Deixa eu ver aqui. O próximo seria em… no mês 11 já. É 13/10. O último foi o 36. O próximo seria “Segurança da Informação em Ambientes Educacionais”, eu acho que…
(1:12:28) pode ser. Ou o “Man-in-the-Client”, do dia 27/09. É, a gente tem… para gravar, vamos entrar no mês 11 ainda. Vamos ter dois cafés no mês 11. Isso. E os dois que a gente tem aqui são o 38 e o 37, que seriam no mês 11. Então, concordo contigo, vamos deixar o “Man-in-the-Client”. Que é do mês anterior, mas é o que casa ali. Nesse episódio, falamos sobre uma prática chamada “Man-in-the-Client”. Além de explicá-la e relacioná-la com o ataque “Man-in-the-Middle”, também é feita uma análise da sua natureza… mundo da segurança da informação. Tinha duas
(1:13:06) notícias ali: vazamento de dados de policiais cariocas e também o discurso da presidente brasileira na Assembleia Geral da ONU. É mais ou menos naquela época ali mesmo, do Snowden. Eu não lembro, mas acho que era alguma coisa relacionada. Sim. Notícia aqui na ONU: “Dilma diz que espionagem viola Direitos Humanos”. Na esteira do Snowden. Achei muito engraçado que acho que era o Obama na época. A resposta para o governo brasileiro, depois que inclusive saiu que estava sendo monitorado os telefones
(1:13:50) de todo mundo do governo, ministros e tudo mais, o Obama disse que na próxima vez, acho que a gente comentou isso no episódio, que na próxima vez, quando quisesse informação sobre o Brasil, ele iria entrar em contato, iria perguntar. Ela até disse, eu peguei o link ali, que as denúncias causaram indignação e repúdio, foram mais graves no Brasil, ainda mais com governos de sociedades amigas. E há uma semana a presidente cancelou a visita de estado que faria ao colega Barack Obama em outubro, por falta de apuração sobre as denúncias de que a
(1:14:27) inteligência americana espionou as comunicações pessoais da brasileira, além da Petrobras. Aquele caso conhecido. E parece que depois disso foi que ele pediu desculpas, ou coisa parecida, que na próxima vez ele iria entrar em contato com ela para pedir informações. Jura, né, cara? Na verdade, é um troço protocolar, porque espionagem rola direto, ainda mais por parte dos Estados Unidos. Eu ia fazer um comentário, mas não. E eu gosto dessa parte dos 10 anos porque já dá para ter uma visão,
(1:15:00) uma distância histórica. É difícil falar de distância histórica, eu não sou historiador, nunca estudei o que é distância histórica. Mas, em 10 anos, você já consegue traçar uma evolução, uma involução, analisar com mais frieza algumas dessas mudanças. Foi legal porque a gente pegou o caso Snowden logo que a gente estava começando a gravar, então vivemos bem isso. Teve episódio… acho que foi o “Prism”. Deixa eu ver aqui. “Prism”, eu acho que foi o
(1:15:37) primeiro episódio que a gente comenta sobre isso, que é o episódio 28, de 18/06/2013. Esse aqui não vai entrar nos 10 anos mais. Então, você pode ir lá e ouvir, que a gente comenta justamente desse caso aí. É isso aí. A Marina acabou caindo fora aqui, não aguentou nossa conversa. E se você estava assistindo, viu algumas mexidas, mudanças e um coelhinho aparecendo aqui. Ela pegava o coelhinho e começava a levantar.
(1:16:24) Mas é isso aí. Vamos terminando, então. Agradecemos àqueles que ficaram com a gente até aqui. É isso aí. Falou. Um abração para quem nos acompanhou. Um abração. Essa ideia do “Man-in-the-Client”, antes da gente falar efetivamente o que é, a gente precisa começar falando um pouco sobre a questão do “Man-in-the-Middle”. O “Man-in-the-Middle”, Vinícius, quer explicar pra gente? É o homem no meio. Vou pegar o exemplo bastante claro das conexões de rede, que é mais fácil de ficar mais claro.
(1:17:07) Imagina que você tem um cliente, o seu computador, que está rodando, por exemplo, um navegador, e esse cliente se conecta a um servidor. Você acessa o Google, você está acessando diretamente o site do Google, perfeito. O “Man-in-the-Middle” é alguém que desvia essa sua conexão do servidor. Ou seja, você não vai se conectar no servidor. Você parte do seu computador achando que está indo para o servidor, e o atacante desvia sua conexão para um servidor que ele, o atacante, controla. E o atacante, então,
(17:55) pega as tuas requisições e ele se conecta no servidor e faz as tuas requisições. Qual é a vantagem para o atacante nesse sentido, estando no meio do caminho? Ele consegue ter acesso ao seu tráfego, consegue ver suas senhas que estão sendo enviadas, consegue ver as informações que estão sendo recebidas do servidor, etc. Fica no meio do caminho. É como se eu fosse ligar para ti, Guilherme, e alguém conseguisse desviar a ligação, atender em outro lugar. Aí essa outra pessoa liga para ti e ela fica, coloca lá os fones para passar, para eu te ouvir e tu me ouvires, e ela fica
(1:18:35) nos ouvindo no meio do caminho. Esse tipo de técnica funciona muito bem para conexões que não têm nenhum tipo de cifragem, mas ele funciona também, é um ataque que se faz a sistemas criptográficos, a protocolos criptográficos, em que o atacante faz o seguinte: eu quero cifrar algo e mandar para o Guilherme, então eu e o Guilherme temos que combinar em algum momento uma chave. Vamos pegar a questão do certificado digital, por exemplo. A
(1:19:18) gente acessa um site seguro, aparece lá o certificado digital. O que o atacante faz? Desviando a conexão através do servidor dele, ele pode fazer o seguinte: quando tu te conectas, ele, o atacante, te dá a chave dele, do atacante, e tu cifras as coisas achando que está cifrando com a chave do site. Não está, está cifrando com a chave do atacante. Aí o atacante recebe essa informação cifrada, consegue decifrar com a chave dele, decifra isso, copia suas informações, modifica, etc., faz o que
(1:20:01) ele quer fazer. E aí ele se conecta no servidor e faz a conexão normal com o servidor, segura, com a chave do servidor, normalmente. A questão é que ele enganou o cliente, ele fez o cliente cifrar com a chave que não é do servidor, cifrar com a chave que é dele. E aí o “Man-in-the-Middle” tem essa possibilidade de atingir inclusive um protocolo criptográfico. Basicamente é isso, nada de novo, nenhuma novidade até aqui. A novidade vem agora, que é o que um cara,
(1:20:35) tu lembras o nome dele? Que ele chamou de “Man-in-the-Client”. O que uma pessoa que pesquisou chamou de “Man-in-the-Client”. Ele se deu conta que o navegador que ele tinha no celular dele direcionava, fazia todas as conexões, inclusive as conexões seguras, ele direcionava para um proxy do fabricante. No caso era a Nokia. E o que acontecia? Ele estava recebendo, sim, um certificado falso,
(1:21:29) ou seja, estava acontecendo um “Man-in-the-Middle”. No entanto, o navegador dele não estava avisando que isso estava acontecendo. Então, aquele alerta que a gente acabou de comentar, que a gente recebe quando acessa um site e tem um certificado que não está adequado, que não é correto, aquele alerta esse navegador da Nokia não apresentava. Então, ele, o navegador, ficava quietinho. Ou seja, a pessoa que desenvolveu o software fez o seguinte: “Olha, se tu receberes o certificado tal, que pertence
(1:22:05) ao servidor da Nokia, tu não avisas o usuário que tu estás usando um certificado diferente daquele do site original”. Sim, que é a base da segurança HTTPS. Exatamente, a função primordial do browser. Então eles fizeram isso. Aí, um outro caso que essa mesma pessoa comentou… já achou o nome dele? É o Steve Moulds. Vamos botar no show notes depois. Outra coisa que o Steve Moulds encontrou foi o seguinte: deu-se conta que o Opera Mini, para quem usa o navegador Opera Mini, faz a mesma
(1:22:52) coisa. Você se conecta a um site com HTTPS, você vai receber um certificado digital que não é o certificado digital do site original que você está acessando. Você está recebendo um certificado digital, vamos dizer assim, entre aspas, “falso” para aquele site, ele não vale para aquele site. A sua conexão está sendo desviada por um proxy do pessoal da Opera, e aí está sendo feita a conexão. Ou seja, é o “Man-in-the-Middle” clássico. A desculpa da Nokia e da
(1:23:29) Opera é poder olhar o conteúdo que estaria cifrado, que eles não teriam como ver, e otimizar o site para o navegador no celular, readaptar ele, retirar coisas, redesenhar o site, mudar algumas coisas, resolução de imagens, tudo mais, para ficar melhor no celular. O detalhe é que, ao fazer isso, ao ficar decifrando, não, ao ficar abrindo o que está sendo decifrado, todos os acessos a Facebook, banco, e-mail, tudo isso, e não só no navegador, mas em outros softwares, tudo isso está passando por um proxy. E aí, quem tem
(1:24:17) acesso a esse proxy consegue enxergar o que está passando ali. “Ah, mas a informação não é utilizada, é só feita a otimização”. Quem me garante isso? Ainda mais com todas essas confusões da NSA. Vamos lá, não sejamos bobos e achar que só a NSA faz isso. O governo chinês deve fazer direto isso, coisas desse gênero, assim como várias outras agências por aí. Quem não gostaria dessas informações? Claro. No caso, eu acho que é importante destacar também, não sei se tu vais chegar a esse ponto, mas é… a gente até discutiu
(1:25:09) antes se o “Man-in-the-Client” é um ataque diferente do “Man-in-the-Middle” ou se ele é uma variação. Mas o ponto aqui, no caso da Nokia e no caso da Opera, é que há uma colaboração direta do fabricante do browser para permitir ou para retirar um aviso de segurança existente em outros browsers, avisando que aquele certificado que está sendo utilizado não é o certificado original do site, mas um certificado feito pela Nokia e feito pela Opera. Ou seja, a gente criptografa o tráfego entre o usuário e a Nokia. Aí sim, entre eles está seguro, mas dentro da Nokia eles conseguem ver o conteúdo.
(1:25:55) É uma violação do próprio conceito da conexão segura via browser. Exatamente. Um outro ponto também é que eles, no caso da Nokia, admitiram essa prática. Então não é nada do tipo “não, não fazemos isso”, eles admitiram a prática.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
Neste episódio falamos sobre a segunda sanção da ANPD e um vazamento de 38TB de dados na Microsoft. Você irá descobrir os riscos da IA que clona vozes no Spotify e a importância da segurança de dados. Aprofundamos na mais recente sanção da ANPD, que expõe falhas de governança de dados e a importância do cumprimento da LGPD. Analisamos como uma vulnerabilidade de SQL injection no software Moveit causou um massivo vazamento de dados, e discutimos um incidente de cloud security no Microsoft Azure que expôs 38TB de informações. Além disso, debatemos sobre a nova inteligência artificial (IA) do Spotify que clona vozes, seus riscos para a privacidade e o futuro da produção de conteúdo. Para não perder futuras análises sobre cibersegurança e proteção de dados, siga, assine e avalie nosso podcast na sua plataforma preferida.
ShowNotes
Transcrição do Episódio
(00:00) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 351, gravado em 13 de outubro de 2023. Eu sou Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês um pouco do que ocorreu na última quinzena. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes. Hoje, não temos exatamente uma convidada, mas eu tenho uma companhia que vocês estão vendo. Daqui a pouquinho aparece o olho dela embaixo. As crianças hoje não têm aula, e estou eu aqui com a pequena que não quer
(00:33) ficar longe, então ela vai participar da gravação hoje, acompanhando atentamente a nossa conversa. Está prestando muita atenção aqui. Ótimo! Este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café de verdade. Pegue o seu café e vem conosco. Para entrar em contato e enviar suas críticas e sugestões é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, ir lá no X (Twitter) @segurancalegal e
(01:04) também no Mastodon @[email protected]. Já pensou em apoiar o projeto Segurança Legal? Acesse o site picpay.me/SegurancaLegal ou apoia.se/segurancalegal, escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Vinícius, temos aí algumas mensagens de ouvintes e abraços também. Logo no início, temos. Fiquei muito feliz conversando com o nosso amigo — não vou dar os sobrenomes deles aqui —, o nosso amigo
(01:40) Rafael. Fiquei muito feliz. A gente já sabe que a nossa audiência é bastante qualificada, então vocês, nossos ouvintes, são pessoas bastante qualificadas que acompanham o nosso trabalho. Mas eu fiquei especialmente feliz em saber, através do nosso amigo Rafael, com quem eu estava conversando essa semana que passou, que nós temos um grupo de pessoas que nos acompanham com bastante assiduidade lá dentro da IBM, pessoal que trabalha com segurança da informação. Então, eu não sei o nome de todos eles,
(02:24) vai rolar um ciuminho, alguma coisa assim lá dentro, mas aí vocês se resolvem. Vou mandar um abraço para o Éber. Então, por meio do Éber — eu tenho o sobrenome, o nome inteiro completo aqui, Éber, mas por questões de privacidade não vou citar o sobrenome —, um grande abraço para ti e para todos os teus colegas que nos acompanham no podcast no Segurança Legal. A gente fica bastante feliz em saber que temos vocês aí nos acompanhando, acompanhando o nosso trabalho. E fiquem sempre à vontade para entrar em contato,
(03:03) dar um toque em algum assunto interessante que gostariam que fosse tratado, alguma crítica, alguma coisa assim. Fiquem sempre à vontade para não só ouvir, mas interagir com a gente. Um abração para o Éber e para toda a equipe que trabalha junto com ele aí na IBM e acompanha o nosso podcast. Um abração para vocês, galera. Valeu. A gente também tem notado, Vinícius, um certo fluxo de pessoas vindas de Moçambique e Angola para ouvir o podcast. Então, primeiro, ficamos muito felizes. Gostaria de mandar um abraço para os nossos ouvintes irmãos africanos que estão nos
(03:43) acompanhando. E também gostaríamos muito de ter e manter um contato, conversar com essas pessoas, eventualmente até trazer algumas delas aqui para dar um pouco da sua visão dos temas que a gente trata aqui. Então, se você nos ouve de Moçambique, Angola ou de outros países, nos contate. Mande um e-mail para a gente lá no podcast@segurancalegal.
(04:08) com, para a gente, de repente, alinhavar alguma participação de vocês e saber um pouco más do que vocês acham do podcast e também de como é o cenário da segurança da informação e da comunidade de segurança nesses lugares. Seria muito legal ouvi-los e dar voz também para vocês aqui, se tiverem interesse. Então, por favor, nos contatem. Também temos, Vinícius, duas mensagens. Uma do Mastodon, do Paulo Henrique Pinheiro. Quer ler para nós, Vinícius? Leio. Bom, acho que devido à elevação das temperaturas, alguma geleira se desfez lá no Mastodon e a gente recebeu a mensagem lá.
(04:48) Tem bastante interação lá, tem bastante. OK. O Paulo, então, nos diz o seguinte: “E qual não é a minha surpresa quando, ouvindo meu podcast favorito — muito obrigado, Paulo, pela parte que nos toca —, escuto uma referência a João Gilberto Noll. Que nossos colegas ouvintes, se ainda não o conhecerem, o João Gilberto Noll, possam entrar nesse capítulo incrível da literatura brasileira que são as obras do Noll. No mais, parabéns pelas informações tão importantes que vocês, o Segurança Legal, sempre nos mandam.” Olha só, muito obrigado, Paulo, de verdade.
(05:29) Fico feliz em perceber que é o podcast preferido dele, porque o que tem de podcast interessante por aí não está no mapa. A concorrência está acirrada. Sabe que é só um detalhezinho sobre isso, a responsabilidade que a gente tem, tanto para o bem quanto para o mal, e é um pouco também algo que pertence e faz parte da rotina dos professores. Às vezes, a gente fala coisas muito pequenininhas, detalhezinhos, e aquilo que a gente fala marca de forma muito intensa as pessoas — repito, para o bem e para o mal. E, claro,
(06:05) eventualmente nós vemos essas manifestações de como pequenas partezinhas do nosso discurso aqui agradam os ouvintes. Eu até separei aqui, ó, Vinícius. O que você separou? O livro. Separei aqui um do Noll, “Mínimos, Múltiplos, Comuns”, que é um livro atípico dele. Não são contos, mas este livro está muito inteirinho, muito novinho. Estou começando a ler. E sim, ele é um gaúcho, um escritor gaúcho bastante famoso, importante para a literatura. Mas só para deixar
(06:41) destacada essa parte de como, às vezes, pequenas coisas que a gente diz tocam as pessoas de formas diferentes. Então, obrigado aí, Paulo Henrique, pela tua mensagem. Mas isso não é só coisa de professor. Acho que qualquer conversa que valha a pena rende alguma coisa, para o bem ou para o mal, mas mais para o bem. Não, eu digo mais pelo fato de a gente falar muito, tanto em sala de aula quanto aqui no podcast, e essa responsabilidade que a gente tem na comunicação. Nós acabamos nos transformando em comunicadores por meio do podcast,
(07:19) então é uma responsabilidade muito grande. A gente fica feliz de receber esses retornos. Sem dúvida. E, Vinícius, a próxima mensagem eu vou ler. É do nosso querido amigo ouvinte Ricardo Berlin, que já começa — ele mandou a mensagem pelo site do podcast — e começa dizendo assim: “Pessoal, postando por aqui porque pelo Mastodon vocês acabam demorando para olhar”. É brincadeira, puxão de orelha. Tem que olhar se tem Mastodon. Tem que olhar. E, inclusive, a gente vai falar um pouco hoje sobre uma das notícias, que vai ser do rival do
(07:54) Mastodon. Ou o Mastodon é o rival, não sei se são rivais. Enfim, diz o Ricardo Berlim: “Bom, quanto ao problema do zero-day afetando a biblioteca do WebP, queria saber a opinião de vocês sobre este artigo que saiu na Ars Technica”. Daí ele posta ali o link do artigo. Acho que tu tens ele aí, né, Vinícius? Tenho. Sobre o qual… Não está aparecendo. Mas eu já sei o que é, já vou ajeitar aqui, pera aí. Então, sobre o qual ouvi no excelente podcast 2.
(08:26) 5 Admins — não sei se esse é exatamente o nome, Ricardo —, em que eles discutem o disclosure irresponsável do problema pelo Google e pela Apple, que acabou gerando múltiplos CVEs para o mesmo problema, e como isso afeta aplicações web, tipo Electron e outras coisas que podem nunca ser ou podem ser nunca atualizadas. E aí, Vinícius? Cara, é o seguinte, eu estou aqui me dividindo entre minha pequena… mas, enfim. O que acontece? Essa foi uma vulnerabilidade que nós comentamos no nosso último café. Então, nós estamos no 351,
(09:03) o 350 foi com a Raquel e com a Marina, e no 349 foi o episódio que a gente comentou sobre essa vulnerabilidade. A gente comentou sobre a vulnerabilidade dentro da perspectiva da biblioteca, que atinge diversos softwares, entre eles o Google Chrome. Foi a maneira como nós comentamos no episódio 349, no penúltimo café. E a notícia que o Ricardo traz aqui é a seguinte: a essência dela é que a Apple e
(09:50) a Google reportaram a notícia do ponto de vista das suas aplicações que têm que ser corrigidas. Acho que foi a Apple e o Google. Me corrija se eu estiver errado. Mas o fato, a essência é: as empresas devem divulgar as vulnerabilidades do ponto de vista das suas
(10:28) aplicações ou, como foi nesse caso, deveria ter sido feito um CVE, a criação de uma vulnerabilidade vinculada à biblioteca que atinge todas essas aplicações? E o argumento que o autor aqui da matéria coloca — está aqui no headline, Apple e Google — é o seguinte: quem depende de scanners de vulnerabilidade automatizados, ou seja, que procuram por softwares com versões atrasadas, com vulnerabilidades, acaba sendo prejudicado. Porque, por
(11:14) exemplo, o software vai pegar a partir de um CVE de uma vulnerabilidade para o Google Chrome, vai pegar o Google Chrome com aquele problema, mas não vai pegar as diversas outras aplicações que estão usando aquela biblioteca. A saber, ele traz uma listinha aqui, que ele já cita, a lista que teria sido compilada na Wikipedia, dos produtos… Fonte muito confiável. Não, não vamos entrar nessa. Não faz isso. Nem vou puxar esse negócio, depois a gente cria um episódio só para isso. Mas, assim, tem outras aplicações que
(11:46) são também atingidas, e vocês podem ver que a listinha não é pequena. Então está aí para quem quiser depois acessar, vai estar lá no show notes. Os navegadores atingidos, os sistemas operacionais, todos. Nossa, é muita coisa. Outros softwares e tal. Então, a gente tem coisa que já sofreu patch: o Slack, o 1Password, o Telegram. Tem várias situações aí. E a pergunta é se isso aqui é correto, se faz sentido ou se é correto fazer o reporte de vulnerabilidades desse jeito. É um tanto delicado. Se a vulnerabilidade atinge de forma pontual
(12:28) um determinado software, algo específico daquele software, daquele ambiente, faz sentido ter um CVE só daquilo. Agora, no momento em que eu tenho uma vulnerabilidade, não importa por quem tenha sido reportada — Apple, Google ou Microsoft também têm seu time de segurança —, no momento que eles identificam uma vulnerabilidade que atinge diversos softwares porque está numa biblioteca específica, me parece, de pronto, sem muita reflexão, que o mais correto sim é reportar as coisas de
(13:00) uma maneira unificada, e não cada um no seu produto, senão vira uma bagunça. Então, num primeiro pensamento, o que me parece é que é inadequado realmente fazer o reporting nesse sentido. Mas como é algo que é lançado aqui para discussão pelo Dan Goodin, que é o autor desse artigo, fica lá no show notes para quem quiser saber um pouco mais, dar uma lida e tirar suas próprias conclusões. E, quem sabe, de repente, mandar sua opinião para a gente, para contribuir com essa discussão. Mas me parece que o correto seria realmente fazer a criação da
(13:40) vulnerabilidade pelo problema fundamental, a raiz, e não pelo produto em si. Está bom. E também coloca em xeque o próprio modelo dos… não sei se coloca em xeque, mas talvez nos faça refletir um pouco sobre o próprio modelo de notificações via CVE. Não, não acho que colocar em xeque seja um pouco forte demais, mas não é algo que esteja escrito em pedra que não possa ser discutido. Claro que não. Tudo pode sofrer modificação e melhoramento. O CVE tem espaço para melhorar, sem dúvida. Tudo tem. Mas aqui é
(14:19) mais uma questão de como se faz o reporte mesmo, como se deve considerar essa coisa. Está bom. Um abraço, Ricardo. Muito obrigado pela tua mensagem e vamos tentar ser mais rápidos lá no Mastodon, Vinícius. A primeira notícia que eu trago diz respeito a uma atuação da ANPD, que aplicou a sua segunda sanção. Olha só! Palmas para a ANPD! Efeitos sonoros esses que eu vi depois, que só você que nos assiste no
(14:57) YouTube consegue vê-los, porque na gravação aqui ele não capta. Enfim, veio a ANPD e concluiu esse processo administrativo sancionador contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo, de sigla IAMSPE, que é como vou me referir a ele. E vou ler aqui também alguns elementos desse processo. A descrição da infração foi que, além de não informar adequadamente sobre a natureza dos dados que poderiam ter sido afetados ou a natureza do incidente, ou seja, eles passaram, na verdade,
(15:31) por uma vulnerabilidade, Vinícius, que permitia o acesso a dados pessoais sem autenticação ou de forma inadequada. Dito e identificada essa vulnerabilidade, a descrição da infração, conforme o processo da ANPD, é que, “além de não informar adequadamente sobre a natureza dos dados que poderiam ter sido afetados ou a natureza do incidente, não utilizou uma forma adequada para alcançar os titulares. Por essa razão, entende-se que o controlador violou o comando do artigo 48, em razão de não ter realizado no
(16:05) prazo concedido a comunicação individual à totalidade dos titulares afetados, conforme determinado pela ANPD, sem que o mesmo tenha apresentado justificativa razoável para proceder de forma diversa”. Essa falha envolveu, então, como eu disse, a possibilidade de acessar dados pessoais sem o uso de credenciais válidas, ou seja, era um problema de autenticação e autorização. Em um primeiro momento, diz a ANPD, esse acesso poderia ser feito inclusive por terceiros não autorizados, que poderiam consultar não só o conjunto de dados pessoais descritos na
(16:40) documentação, como nome completo, estado civil, data de nascimento, CPF, RG, endereço e telefones, como também cópias de documentos como RG, CNH e comprovante de residência. Essa vulnerabilidade foi comunicada à Prodesp, a companhia que mantém o sistema, em janeiro de 2022. Olha o tempo que passou, isso me chamou a atenção. Só que, segundo eles, não havia dados suficientes que pudessem comprovar as alegações ou sequer identificar a entidade pública a que se referia.
(17:20) Notemos aí que também houve aquele problema que já comentamos com frequência aqui, que é como as instituições, e aqui no caso o controlador de dados pessoais, reagem às comunicações de vulnerabilidades e de incidentes. Lembrando que, a partir de agora, as empresas não podem mais se dar o luxo de se manterem inertes diante de comunicações de incidentes ou de vulnerabilidades, sobretudo quando esses incidentes e vulnerabilidades envolvem dados pessoais. Elas, na verdade, precisam manter um processo de gestão de comunicações e de incidentes bem sério a partir
(17:59) de agora, com a LGPD. Na verdade, sempre precisaram disso, mas com a LGPD as consequências são outras. Esse comunicante, quem comunicou a vulnerabilidade à ANPD, logo depois, em fevereiro, comunicou que ela não tinha sido corrigida. A resposta do instituto foi que teria implementado, a partir de fevereiro de 2022, controles para restringir o acesso aos dados e que somente usuários autenticados, a partir de março de 2022, conseguiam ter acesso aos seus dados. O problema é que eles utilizavam, Vinícius, identificadores (IDs)
(18:40) sequenciais acerca dos dados, aquela vulnerabilidade clássica que permitia que, uma vez que você estivesse no sistema, conseguisse, a partir da alteração desses IDs sequenciais, ter acesso a dados de outras pessoas. Uma das formas que eles acharam para a solução do problema foi transformar isso em hashes. E tudo isso culminou em duas advertências, e não multas, Vinícius. Claro, vai ficar lá o documento para quem tiver interesse em ter mais detalhes, não temos como descrever tudo exatamente o que aconteceu, mas isso culminou em duas advertências: uma pelo descumprimento do
(19:20) artigo 48, com uma medida corretiva de manter um aviso de comunicação no próprio site da IAMSPE por 90 dias, e outra advertência pelo descumprimento do 49, que é o cumprimento de dever de segurança nos sistemas que mantêm os dados pessoais, com medida corretiva para apresentar um cronograma de adequação de segurança com um prazo máximo de um ano. Ou seja, eles vão precisar refazer e readequar, reajustar a segurança de seus sistemas nesse prazo de um ano. Aqui, Vinícius, eu quero aproveitar essa circunstância para comentar um pouco também sobre os serviços que a Brown-
(19:55) Pipe presta. E você, acho que todos aqui que nos escutam, já deve ter percebido como, a partir da LGPD, a segurança da informação se tornou um requisito imposto legalmente para as empresas. E um dos diferenciais da BrownPipe e de outros players no mercado é contar com consultores e líderes técnicos que têm condições de avaliar os aspectos de segurança da informação conforme e de acordo com os ditames da LGPD. Ou seja, já há essa necessidade imposta pela lei de você cuidar e aplicar esse
(20:34) e cumprir esse dever de segurança de uma forma qualificada. Então, caso você tenha dúvida sobre esse tipo de problema, também procure, converse conosco, nos acione aqui em brownpipe.com, vá verificar lá os nossos serviços, entre eles esse apoio qualificado em segurança da informação para atender àquilo que a LGPD prevê. Perfeito, Guilherme. Tu queres trazer outra ou já trago uma minha aqui? Pode ser uma sua. Então, eu vou falar de uma que, de novo, como já falamos sobre isso, as nossas notícias têm mais a ver
(21:17) com o fundo da notícia, com a lição que ela nos traz, do que com a novidade em si. E eu queria trazer um pouquinho uma situação que a gente teve e que está se mostrando cada vez mais complexa, que é uma situação que está envolvendo o software chamado MOVEit. É um software da empresa Progress. E esse software, entre outras coisas, ele permite que tu faças transferência de arquivos, que é algo que volta e meia tu tens que fazer. É uma solução para quem, se alguém não conhece o MOVEit
(21:59) em si, tem um outro que é mais para o usuário final, digamos assim, que é o WeTransfer, também uma plataforma para se trocar arquivos. Então existe o MOVEit Transfer, que é uma solução on-premises. Tem outras soluções em cloud e tal, mas o foco aqui é a solução on-premises, que é o MOVEit Transfer. O que aconteceu com esse software? Apareceu uma vulnerabilidade neste software, que eu já vou dizer qual foi — para quem já sabe, não sopre para os coleguinhas se estiver ouvindo junto. Mas a gente tem alguns exemplos aqui de um
(22:39) banco chamado Flagstar, que teve aí os dados de mais de 800.000 clientes vazados. A gente tem… Opa, tinha outra aqui, eu abri duas vezes a Flagstar, parabéns, Vinícius. A outra é a Sony. Então, outra notícia com relação à Sony. A Sony também teve dados vazados de funcionários, diversos funcionários, e informações vazadas nesse sistema. E tem várias outras empresas que foram atingidas por isso. Qual foi a vulnerabilidade? SQL injection. Uma vulnerabilidade há muito não vista no mercado de segurança, que ninguém conhece, que não
(23:25) aparece no top 10 da OWASP já há muitos anos. Então, um SQL injection permitiu que se acessasse, na solução instalada on-premises, não na solução de nuvem, permitiu então que se fizesse o acesso a esses dados. O que chama a atenção, e aqui é uma coisa que, sem avisar o Guilherme, eu me organizei para isso, mas não avisei, que chama a atenção no âmbito da questão da proteção de dados, LGPD: essas empresas, a Flagstar, a Sony e outras que foram afetadas e se manifestaram sobre essa questão do MOVEit, elas têm se limitado a
(24:08) dizer que “os nossos sistemas seguem operacionais, nós não temos problema nenhum, o problema foi lá da MOVEit”. O problema não foi nosso. Beleza, OK, fica claro de quem é a responsabilidade do que aconteceu. Mas a MOVEit, nesse caso, é uma operadora, né, Guilherme? Provavelmente, no âmbito da situação, por tudo que a gente pode olhar, como ela está sendo utilizada para movimentar esses dados, seja a Sony, a Flagstar e outras empresas que a utilizam para movimentar seus dados por ali, ela acaba sendo operadora. E, então, o problema que aconteceu lá na MOVEit
(24:48) vai gerar a necessidade da Sony, Flagstar e tal de tratar isso como um incidente de segurança seu, embora o problema seja lá no terceiro. Então, o problema é seu com relação aos seus clientes. Ela não consegue simplesmente jogar a coisa para dentro da MOVEit, tipo: “Ó, clientes, o negócio é com a MOVEit”, porque, no final das contas, quem selecionou a solução, quem passou a utilizar a solução, foi a Flagstar, foi a Sony, etc. Aqui, o que é interessante nessas notícias — e no show notes vão estar as duas, inclusive a da Sony —, o que chama atenção
(25:28) é o fato de que, ao contratar um serviço para você utilizar na sua infraestrutura, seja para transferência de arquivos, para hospedar um banco de dados, contêineres, etc., você tem que ter um acompanhamento muito próximo do que você está utilizando e de eventuais problemas. Ou seja, solicitar para essas empresas — embora o contrato seja mais de adesão e tu não tenhas muito o que falar em muitas situações —, garantir que essas empresas tenham um mínimo de preocupação com relação à segurança dos seus sistemas. Então, ao utilizar um serviço de um terceiro — e várias vezes a gente entrou em
(26:04) discussões internas nossas, né, Guilherme, lá na BrownPipe, com relação a nós utilizando produtos de terceiros: “Poxa, será que isso aqui é seguro? Será que eles cuidam?”. E a decisão, quando tu vais usar um software desses, é meio às cegas. Tu não tens como entrar em contato e pedir aos caras uma demonstração de que eles são auditados e tudo mais. Quando eles publicam que são… É exatamente aqui no caso da MOVEit, a solução que ela diz aqui é que ela permite que a organização
(26:42) se submeta a PCI, HIPAA, GDPR. Então, é complexo esse negócio. Tem que se analisar com muita calma quando tu vais integrar qualquer tipo de sistema, qualquer tipo de solução de terceiros ao teu ambiente, principalmente quando vais mover dados. E quando eu falei do WeTransfer, por exemplo, você pode usar o WeTransfer para alguma coisa, mas não precisa confiar no WeTransfer. Então você pode, por exemplo, cifrar todos os teus dados de uma maneira independente, à parte, para daí mandar via WeTransfer, e para daí,
(27:23) no caso do WeTransfer, é mais para um uso pessoal que a gente faz, de passar um arquivo para outra pessoa diretamente. E você pode também, mesmo nesse uso desse tipo de serviço, fazer esse tipo de medida de segurança: não confia, cifra. Eu lembro, há bastante tempo, a gente estava acompanhando um cliente que estava implementando uma conexão entre unidades usando MPLS. No caso, MPLS é um circuito virtual, por dentro da telefonia, do sistema de comunicação, que te permite compartilhar
(28:01) meios de comunicação físicos. E o pessoal: “Não, mas aqui é privado, não tem como ninguém mexer”. Cara, simplesmente não confia, você cifra igual. A mesma coisa continua valendo para serviços em que você vai confiar na infraestrutura de terceiros para movimentar dados. Se for possível, claro, adote sempre uma opção em que você controla a proteção dos dados com uma camada adicional ao que o fornecedor já dá, independente do fornecedor. Lembrando que existe também aquela ferramenta do Sync, o Resilio Sync, antigamente chamado de BTSync, que também realiza a transferência
(28:42) de grandes arquivos e funciona muito bem com contêineres criptografados. Ele não transfere todos os dados de novo quando você altera. Tem que ver caso a caso. A solução da MOVEit aqui, ela é especificamente criada para o ambiente corporativo, por exemplo. Então, tudo depende de como a ferramenta funciona, como o sistema funciona, e ver que medidas é possível colocar em cima disso. Mas, de novo, se você
(29:15) pode cifrar, cifre. “Ah, vou usar um bucket lá na AWS para guardar backup”. Cifra o backup. “Ah, mas o bucket já tem proteção”. Cifra o backup antes de mandar para o bucket. Qual o problema? Como já vamos ver a seguir, para não ficarem os seus backups expostos. É isso aí. Quer trazer a tua aí? Sim. E é uma pergunta, na verdade: ainda há esperança para o X/Twitter? No sentido de: estamos diante de uma ferramenta, de uma rede social que ainda merece ser usada e que oferece um ambiente saudável e seguro? E quando digo saudável e seguro, estou me referindo inclusive à própria qualidade da informação que está lá,
(29:58) nesse sentido, e também sobre como temos visto uma série de discursos criminosos, muitas vezes, florescendo por meio de decisões que se tomou nessa ferramenta. Sobretudo, histórias como Elon Musk despedindo grupos que faziam toda a atividade de monitoramento de discursos de ódio. O que está acontecendo é que, na Alemanha, a Agência Federal Antidiscriminação alemã decidiu fechar a conta deles na plataforma X, devido ao aumento de intolerância contra minorias. E esse movimento se dá numa
(30:42) esteira de disseminação de informações enganosas, inclusive também de imagens falsas relacionadas à guerra entre Israel e Palestina. E o comissário da agência, Ferda Ataman, afirmou que o X já não é um ambiente sustentável para órgãos públicos e citou, para justificar essa ideia, o aumento de conteúdos de ódio. A plataforma tomou medidas recentemente para conter a disseminação dessas postagens. O governo alemão ainda resiste em alguns pontos, entendendo que ela é, sim, uma ferramenta importante de comunicação, mas o Ataman sugeriu que
(31:22) outras agências e outros órgãos reavaliem a sua presença no X/Twitter, diante dessa rede de desinformação que passa a crescer lá dentro. A gente tem visto muito conteúdo, como os alemães já perceberam, relacionado a essa guerra. E, nessa semana também, nosso querido amigo e pesquisador de segurança, Diego Aranha, decidiu deixar a rede. Ele disse, em inglês: “This network was already on a toxic spiral. The last few weeks have made it a living hell. So long, and thanks for all the fish. Hoping to not be back”. Mas nós temos a sorte do Diego Aranha estar lá no Mastodon, então você consegue, quem gosta do Diego e quer segui-lo, pode
(32:15) segui-lo e fazê-lo lá no @[email protected]. Mas eu realmente acho, Vinícius, que não há esperança mais para o Twitter. Realmente, ele foi implodido. E a gente conversava antes aqui, aquele ideal de que as redes sociais, lá de 2013, 2012, início dos anos 10 deste século, serviam como um espaço livre — e livre no sentido de que as pessoas poderiam livremente se organizar sem interferências —, essa ideia, o próprio Castells falava sobre isso, mas ela precisa ser revisitada, porque os interesses dessas empresas passaram a
(33:00) estar dentro do próprio código que faz as atividades de moderação e de organização dos feeds. Então, aquela ideia de você só ver aquilo que você escolhia ver, ela passou a ser, por uma série de razões, eu acho que ela não existe mais, pelo menos no Twitter. Isso está muito forte. E a forma como é feita essa, não a moderação, mas a curadoria do que é apresentado para a gente nos feeds, eu acho que realmente tornou essa rede muito difícil de você usá-la e manter a sua saúde mental, e também a sua própria segurança, de maneira geral, diante do que ela tem se tornado nos
(33:46) últimos meses e talvez nos últimos anos. Eu acho que a gente tem um tema aí muito bom para um episódio, envolvendo convidados. Eu acho que é uma coisa bem interessante, essa questão das redes sociais de novo como espaço de discussão. Porque, realmente, o Twitter é mais um desses espaços, mas desinformação, discurso de ódio, haters, essas coisas, a internet de maneira geral potencializa isso, como potencializa as coisas mais nobres, inclusive.
(34:28) Então, eu acho que a gente não tem… E, por exemplo, o Mastodon está tranquilo porque não está no mainstream. Se, vamos supor, amanhã ou depois o Mastodon substitua o X, por exemplo, eu não tenho dúvida que em pouco tempo ele vira o que o X já é. É que o Mastodon não é centralizado, você tem as instâncias, você consegue estabelecer regras mais aplicáveis para cada uma dessas instâncias. Não é uma coisa centralizada que uma pessoa toma a decisão de um jeito ou de outro. Tu vais ter o
(35:06) extrato de coisa nojenta, vai ter esse extrato indo para lá. Não adianta, entende? Tu vais ter algum tipo de limite que tem que ser imposto, aí entra em discussão dos limites e tal. Mas, no final das contas, vai continuar tendo pessoas que não sabem se comportar no ambiente público, digamos assim, atacando umas às outras e com discurso de ódio, e isso vai estar em todo lugar que for mainstream. Todo lugar que tiver muita gente vai chamar a atenção dessas pessoas, desses grupos, dessas iniciativas.
(35:46) Então, para mim, acho que por isso que eu digo que dá um episódio isso. Sabe, não é uma questão de ser distribuído, pertencer a uma empresa ou não. Eu acho que, de um jeito ou de outro, se for público, se tiver um monte de gente, vai ter todo tipo de manifestação, inclusive essas inadequadas. E acho que a maneira de suprimir não está muito na ferramenta em si, embora dê para ter algum tipo de controle, denúncia. Esse tipo de coisa acho que é viável de se implementar, mas não que vá impedir de existir, sabe? O que você coloca é
(36:22) uma constatação. De fato, isso vai acontecer. Aí resta aos Estados saber como eles vão querer e vão poder regular e impor limites, que era uma coisa que se tinha naquela irresponsabilidade ou não responsabilização das redes sociais no início dos anos 2000. Isso já caminha para uma mudança de rumo, seja na Europa, principalmente, pelo Digital Services Act, que vai entrar em vigor em 2024, mas nós temos também iniciativas aqui no Brasil relacionadas a fake news, atividades de controle. Ou seja, os Estados estão começando a se dar conta de que deixar
(37:03) todas essas plataformas, diante de tudo isso que você colocou, à mercê dos próprios interesses das plataformas… a gente viu que isso não está alinhado com a busca do bem comum. Pode concluir. Eu ia dizer que não deixa de ser algumas das contradições do próprio capitalismo. Me parece que hoje nós temos que olhar também para o envolvimento dessas redes sociais numa perspectiva econômica e sociológica também, mas econômica, para a gente verificar essas contradições
(37:34) que o capitalismo traz. A OpenAI, por exemplo, deixando de ser “open” por conta do lucro, ou seja, traindo alguns dos seus pressupostos iniciais. Mas, enfim, é papo para outro assunto. Beleza. Eu fiquei azul agora há pouco para os nossos ouvintes, porque eu percebi que, como a gente teve um probleminha técnico quando começou a gravar, deu uma coisa meio maluca aqui, ia dar um problema iminente que eu tive que mexer. Não adiantava eu ficar azul. Mas foi bem rápido, acho que fiquei azul de
(38:16) raiva. Guilherme, eu até esqueci o que ia comentar. Ah, sim. Essa questão dessa interferência, eu acho muito ruim que fique na mão de empresas privadas esse espaço, entre aspas, público de discussão. Mas eu também não quero um espaço público totalmente controlado pelo Estado. Não é isso que essas legislações… Não, não, eu não estou dizendo que essas legislações estão fazendo isso. Só estou dizendo que é algo novo. Ou seja, a analogia de praça, eu acho que não serve para isso.
(39:01) Como se fosse uma praça e tal, que alguns colocam. Eu acho que não é isso, porque numa praça tu vais lá, a não ser que tenha câmera para te controlar. Sim, começa a ter, mas não tem como se fazer um monitoramento super detalhado do que tu estás fazendo lá, do que estás discutindo. Já no ambiente digital, tudo que a gente fala, nos mesmos detalhes, as vírgulas, os pontos, tudo é passível de monitoramento por diversos atores, sejam eles estatais ou privados. Então, é algo que tem que ser muito bem discutido para realmente
(39:36) não se abrir nem caminhos em que a coisa fique na mão de empresas privadas que fazem o que querem com os nossos dados, sem controle nenhum — acho que isso é muito ruim, e pior, manipulando, como a gente já discutiu algumas vezes aqui no episódio. É muito ruim tu seres manipulado para fins comerciais e tu nem te dares conta disso. E, ao mesmo tempo, tampouco eu quero estar num ambiente em que eu tenha medo de falar ou de me manifestar, porque eu posso ser… isso já
(40:09) acontece, a gente já tem situações assim, porque eu estou sendo monitorado, digamos assim, pelo Estado, que tem muito mais condições de monitorar no ambiente digital do que no físico. Mas é isso, acho que isso aí dá um belo de um episódio sobre o tema. Acho que dá um baita de um episódio sobre este tema. Você quer trazer uma ou eu trago a minha? Eu trago mais uma aqui, que seria a minha última, na real. E os meus links, depois que deu aquele problema,
(40:45) foi tudo para o beleléu. Mas, enfim, eu o tenho aqui. Deixa eu colocar aqui no navegador, que é o Chrome não vulnerável, já atualizado, para compartilhar com vocês. E é esta notícia aqui. Hoje, a coisa do meu lado está meio complicada. Estou cheio de distrações aqui, já fiquei azul. Vamos lá. Aqui é uma outra notícia vinculada a vazamento de dados, no caso, da Microsoft. E a ocorrência foi em 2022, ela foi trazida à tona agora há pouco. Ficaram expostos 38 TB de dados
(41:32) privados relacionados a funcionários da Microsoft num storage inseguro da Azure. Muito parecido com outras situações que a gente já viu do uso de buckets e que eu estava comentando antes, na notícia anterior. Quando você utiliza serviço de terceiros para colocar seus dados lá… no caso, a Microsoft não estava usando de terceiro, estava usando o seu próprio. E ela botou informações num bucket lá da Azure, e ao colocar esse bucket, ela criou um
(42:10) token de acesso com permissões excessivas. Então, isso aqui eu trouxe para a gente dar uma encaixada, digamos assim, com essa parte de cuidar o que nós temos de uso de infraestrutura de terceiros, que é mais ou menos o meu tema de hoje aqui no café, e de você confiar ou não nesse tipo de infraestrutura. Essa notícia aqui é de setembro de 2023, então, do mês passado. Mas, de novo, o que a gente tem? Armazenamento de dados, aqui no caso a Microsoft usando a sua própria infraestrutura. Ela estava
(42:57) compartilhando esses dados por meio da criação de um token, e ela, infelizmente, criou um token com acessos excessivos, então deu acesso demais. Houve um erro ao dar acesso e acabou expondo 38 TB de dados privados. O que acontece? Quando você vai usar algum tipo de infraestrutura de armazenamento externa — no caso aqui, a Microsoft usando a Azure, não dá para dizer bem externa porque é deles, mas enfim —, quando vais usar algum tipo de armazenamento que é passível de compartilhamento, ou seja, que você pode criar alguns
(43:36) compartilhamentos, a gente já tem uma dificuldade inerente das próprias ferramentas, das próprias plataformas de nuvem, que é a complexidade. Ou seja, e isso estou falando de maneira geral, não da Azure especificamente, mas do GCP do Google, da AWS da Amazon. O que acontece? Essas plataformas, elas têm que conseguir abordar, elas têm que conseguir dar os recursos que diversos negócios diferentes precisam ou necessitam. Então, ela tem que ser muito flexível, e para ser muito flexível, tem que ser extremamente configurável. Para ser extremamente configurável, acaba sendo
(44:15) complexa. Então, a questão de cometer erros e expor dados dessa forma, backups e tudo mais… a Microsoft expôs, inclusive foi por meio de backups que ela tinha armazenando lá, que acabaram sendo expostos. Então, quando você faz um backup, coloca o backup na nuvem, ou vai criar algum espaço de armazenamento para arquivos que vai compartilhar com um sistema — a gente vê bastante isso nos sistemas que a gente acaba avaliando, acaba fazendo pentest. A Camila vai ficar feliz com a gente hoje, porque a gente está falando mais da BrownPipe do que costuma falar.
(44:46) Então, quando a gente vai fazer esse tipo de uso desses recursos, nós realmente precisamos ver até que ponto a gente pode confiar na plataforma, mesmo com as configurações todas que podem ser feitas lá, e se a gente pode tomar outras medidas de segurança além de simplesmente confiar no que a plataforma está oferecendo. Então, no caso da Microsoft, se ela tivesse cifrado os seus backups — mesmo a Azure sendo dela —, mas a Azure falhando… na verdade, não foi a Azure que falhou, alguém falhou na hora de configurar o token de acesso.
(45:19) Mesmo que alguém cometa essa falha, ainda assim, os backups vazaram, os arquivos em si, mas eles não seriam acessíveis até que alguém conseguisse quebrar a senha utilizada para protegê-los. Então, é mais um bundle aqui que eu tenho de notícias vinculadas a essas questões de armazenamento de arquivos ou de dados em infraestrutura de terceiros. Tem que se tomar muito cuidado com isso. Sobretudo, a gente já disse, por conta das leis de proteção de dados, no nosso caso aqui, da LGPD. Bom, minha última notícia,
(45:52) talvez um pouco fora desses aspectos mais de segurança, foi uma nova funcionalidade anunciada pelo Spotify na sua plataforma de podcasts. E embora nós estejamos no Spotify, eu não gosto muito dessa questão de você fechar podcasts dentro de plataformas. Eu realmente não gosto da ideia, inclusive, de podcasts exclusivos do Spotify, de forma que você precisa ser assinante do Spotify ou precisa dar seus dados para o Spotify para conseguir ouvir determinados podcasts. Eu acho que a grande graça, e talvez um dos
(46:38) aspectos mais interessantes dos podcasts, é justamente você publicá-los de maneira não centralizada. A questão do feed, o uso do feed, você pode consumir essas mídias das mais variadas formas. Claro, tem a questão do vídeo, que a gente joga no YouTube ainda, para as pessoas conseguirem ter um acesso de uma forma diferenciada, mas muito me agrada essa coisa aberta do podcast. Eu já falei isso aqui várias vezes, mas, para aumentar o alcance cada vez mais, nós vamos entrando e ficando fechados em alguns casos,
(47:16) em algumas plataformas. O que o Spotify fez? Eles criaram uma nova ferramenta de Inteligência Artificial que faz a tradução de podcasts, mas não é uma mera tradução, uma mera apresentação de legendas. É uma tradução em que a voz das pessoas no podcast, a tradução é feita com a utilização da voz dessas pessoas. Então, eles estão utilizando uma nova tecnologia da OpenAI de geração de voz que deixa a voz gerada exatamente igual à voz da fonte original. Eu quero falar sobre os aspectos problemáticos disso bem rapidinho. Primeiro, é como a gente vai regular
(48:02) isso. Toca até naquela própria questão que a gente já falou, já escrevi sobre isso com o professor Cristiano Colombo, que é como a gente vai regular o uso dessas novas produções baseadas em dados pessoais, no caso a voz aqui, em que você consegue virtualmente criar tanto personagens — a questão dos filmes, que isso já começa a acontecer, a própria Madonna alterou o testamento dela para proibir qualquer uso ou produção de novas obras baseadas nas suas obras antigas, proibindo isso. Ou seja, é um tipo de controle de
(48:39) direitos da personalidade muito relevante, muito importante, que vai tratar tanto das necessidades de autorização para que isso seja feito, quanto problemas de uso póstumo. Esse é o primeiro ponto, acerca da proteção dos direitos da personalidade. Eu vejo com isso, caso essa tecnologia se expanda, talvez nós vamos ver o fim do mercado e talvez o fim da profissão de dubladores. Se isso for muito barato, acessível, e o resultado ficar realmente muito próximo com a voz original, exato, sem perder a voz… Eu preferiria, desculpem
(49:18) os tradutores e os dubladores, mas seria muito bom. Eu assisto filme legendado, preferencialmente. Gosto de ouvir a voz original do ator. Só que, obviamente, volta e meia eu assisto coisas dubladas com as crianças e tal. E algumas dublagens são muito legais. Por exemplo, a voz do Wolverine em português é muito legal. Eu não lembro o nome do dublador agora, mas ele dublou vários filmes que eu assisti na minha infância. Tem a voz do Wolverine. Eu não vou arriscar.
(49:58) Ele faleceu, faz bem pouco tempo. Mas é uma situação específica. Em geral, eu prefiro a voz original e acho que se perde um pouco quando tu perdes a voz original. E aí você vai ter problemas de geração desse tipo de conteúdo com a voz. Então, eu não sei como que os termos de uso do Spotify estão lidando com isso. Provavelmente, eles devem ter um acordo, porque eu vi ali que são quatro ou cinco só que estão por enquanto com essa funcionalidade. Então, imagino que tenha um
(50:32) acordo. Eu não sei se esses são podcasts também só do Spotify, acho até que sim, se eu fosse arriscar, mas não tenho essa informação agora. A gente tem que ver que essas plataformas, diante do seu tamanho, poderiam empurrar certos termos e certos contratos com esses podcasters de forma, inclusive, quem sabe, até mesmo de utilizar a criação de novos conteúdos com a voz dessas pessoas sem a sua participação. Então, só para concluir, eu acho que nós temos aí um cenário que ele é sedutor e traz, certamente, vantagens, abre a possibilidade de acesso, mas eu creio que
(51:14) os riscos aí estão sendo subestimados, como ocorre com bastante frequência com a tecnologia, e acho que são riscos muito importantes. Eu vejo, sob pena de estar sendo um pouco negativo, até um encaminhamento e o início do fim dos podcasts produzidos por pessoas. Do tipo: “Ah, eu sou dono da plataforma, eu tenho contratos com todas essas pessoas e eu vou começar a criar conteúdo aqui por Inteligência Artificial, inclusive usando a voz das pessoas”. Eu acho que tem vários problemas,
(51:51) vários gatos nesse mesmo saco aí que a gente tem que separar. Primeiro, a questão da possibilidade da tradução com essa qualidade. A gente já tem tradução de legenda no YouTube, meio capenga, mas tem, que tu podes pegar então esse nosso vídeo aqui, por exemplo, e pedir para ele legendar em inglês na hora. Ele tem algumas coisas assim. Isso a gente já tem, mas não funciona muito bem. Mas, enfim, tem gente usando. Com essa qualidade aqui, por exemplo, eu arriscaria dizer que o nosso podcast
(52:28) traduzido dessa forma, mantendo o nosso tom de voz em outras línguas, para o Segurança Legal seria interessante. A gente atingiria um público… a gente não vai gravar em espanhol, por exemplo, a gente não vai gravar em inglês. A gente grava sempre em português e, com pouquíssimo esforço, atingiria um grupo ainda maior de pessoas com o objetivo do podcast, que é conscientizar com relação à segurança e proteção de dados. Aumentaria o nosso alcance, seria bem interessante nesse sentido. Essa é uma questão. A outra questão é a de
(53:05) acessibilidade. Tu tens muito conteúdo bom, para nós que falamos em português, em outras línguas na área de tecnologia, por exemplo, que tu terias que entender inglês para consumir. Tem muita coisa que só tem em inglês mesmo. Então, tu darias alcance a muita gente que não fala inglês, que não tem condições de fazer um cursinho, não teve condições de aprender inglês. Essas pessoas teriam alcance a esse conhecimento que hoje está restrito a quem consegue ouvir, falar ou ler em inglês.
(53:39) Não, ouvir e ler em inglês. Então, acho que isso é uma coisa interessante, bastante útil nesse aspecto. Outra coisa diferente, aí começa a entrar onde eu julgo realmente haver problemas, que é, não digo nem criar novos conteúdos, um conteúdo original, mas imagina que alguém traduz o nosso podcast para espanhol e, nesse novo conteúdo, injeta propaganda visando públicos específicos de países que falam espanhol, e a gente não ser remunerado por isso.
(54:25) Acho que é o que acontece com o Spotify. Exato. E aí, isso já é um problema. Entende? O nosso podcast está lá no Spotify. Se você não paga o Spotify, você vai ouvir propaganda no meio do nosso podcast, e o Segurança Legal não recebe nenhum centavo por essas propagandas. Nada. A gente não tem escolha de não colocar. Se você paga, é você com o Spotify, e o nosso conteúdo está lá também, porque se a gente não colocar lá — nós temos mais de 3.500 seguidores no Spotify —, se a gente não
(55:00) colocar o nosso conteúdo lá, estamos deixando de ter 3.500 seguidores. A gente pode pedir para vocês nos acessarem diretamente ou por meio de outras plataformas. Tem uma que eu tenho que ver, Guilherme, contigo, que parece que essa sim, ela paga quem produz, ela compartilha o ganho com quem produz, mas eu tenho que dar uma olhada direito. Mas, assim, a gente não tem como não estar no Spotify, porque é uma plataforma mainstream que todo mundo usa, e boa parte dos usuários não paga,
(55:33) paga porque ela ouve… quem paga é quem anuncia na plataforma, e quem anuncia, anuncia no meio de conteúdo como, por exemplo, o nosso. E o YouTube é a mesma coisa. Nós estamos gravando o vídeo aqui, que vai para o YouTube também, que se você não tem uma conta premium lá do YouTube, você vai ver propaganda no meio do nosso episódio, e o Segurança Legal não recebe grana por essa propaganda. Mas o ponto sobre a produção automática… aí eu chego num problema que é ainda mais grave, que daí é outro gato nesse mesmo saco, que é tu fazeres o que tu disseste
(56:13) aí, que é o cara pegar assim: “Seguinte, se eu posso traduzir, eu posso gerar”. Tu estás gerando a partir de um conteúdo, estás gerando com a mesma voz. Ignora a tradução, só pensa na geração do áudio. Tu consegues gerar áudio exatamente com o mesmo tom de voz do cara, do mesmo jeito. E aí, sim, Guilherme, aí nós temos um problema, que é: “O Vinícius e o Guilherme não podem gravar hoje, vamos gerar um episódio automático” ou “vamos gerar conteúdo que nós vamos monetizar”. Claro, teria que ter autorização, até por questões de direitos autorais
(56:51) e tal, mas esse é o problema. Eu acho que sim, que vai acabar acontecendo, e nós vamos, de repente, ver, assim como aconteceu com uma amiga minha que desenha. Ela é uma artista, da área da computação, mas desenha, tem uma veia artística bem interessante. E ela tem um site, eu não lembro agora o nome do site, que ela desenha e vende os desenhos dela. É uma comunidade, uma galera que faz isso. E, há pouco tempo atrás, ela recebeu um aviso de que a plataforma ia começar a usar os desenhos de todo mundo lá dentro para treinar uma IA, e essa IA generativa ia
(57:30) começar a gerar os desenhos para vender. Deve ser o DeviantArt. Eu não lembro. Eu sei que ela e mais um monte de gente saíram da plataforma, porque a concorrência está ficando desleal. A concorrência é uma IA gerando os desenhos com os estilos de todos os artistas que tem lá e vendendo os desenhos no lugar deles. Eles não ganham nada. É o sonho desses caras. Então, daqui a pouco, sim, assim como a Uber quer ter carro que não tem motorista, que é o futuro, só os carros lá andando e não tem problema com…
(58:07) ter que ficar lidando com problema trabalhista com motorista, o Spotify também, imagina, tirar do caminho as pessoas em si. Tu poderes produzir uma variedade de podcasts com tudo quanto é estilo, otimizado e customizado, e tu fazeres isso de uma maneira que tu não dependas de conseguir pessoas ou de talentos para fazer isso. Tu fazes isso com IA. Tu vês que a gente tem aí o aspecto de você ter o controle disso. E a grande questão é: se nós tivéssemos controle de todas essas ferramentas, assim como se os entregadores tivessem mais controle sobre o Uber e o iFood…
(58:50) O problema é que essas empresas, elas tendem ao oligopólio, ao monopólio. E os benefícios, sobretudo da Inteligência Artificial, acabam se voltando contra os produtores de conteúdo, quase como numa tendência à sua eliminação. Então, você acaba com o mercado de dublagem. A dublagem e a tradução também são protegidas por direitos autorais. Transcrição, legendas são protegidas por direitos autorais. Então, o sujeito, retirando os dubladores, ele conseguiria
(59:37) no mercado mundial lançar o seu filme, inclusive com ferramentas de Inteligência Artificial já existentes, modificar os próprios lábios dos atores para que simulassem a fala. Até isso seria tranquilo de fazer. Muito tranquilo de fazer isso em filme. Claro que bem mais especializado, mas em filme já foi feito isso. E, claro, você tem também o problema de determinadas línguas terem palavras maiores, sei lá, o alemão em comparação com o português. Realmente, me preocupa
(1:00:11) a quem será favorecido com isso. E a nossa experiência, pelo menos pelo que eu tenho visto, tem me mostrado que não seremos nós. Vimos ali um pedacinho de um episódio de um podcast com o Yuval Harari, e foi completamente por acaso, não foi uma coisa escolhida, foi o que a gente pegou. O problema que o Harari comenta em “21 Lições para o Século 21”, ele coloca justamente essa questão da IA com uma tendência de concentração ainda maior, além do que já existe,
(1:00:58) de poder e de informações nas mãos de poucos. Então, é algo que é bem mais abrangente. O problema vai muito além do que a gente está discutindo aqui, questão de tradução, questão do Spotify e tal. Mas, de fato, o problema é muito mais amplo. Ele diz respeito à nossa sociedade como um todo, a nível global, dos equilíbrios e desequilíbrios que nós já temos. A maioria, desequilíbrios. A tendência é se intensificar. E eu vou encerrar por aqui para não avançar muito no nosso
(1:01:46) horário e no tema. Mas, como a gente já coloca, o pessoal fica falando de meritocracia e tal, mas onde está o mérito de alguém que herda tudo, e alguém que tem que começar do zero, sem nenhuma condição, e às vezes não consegue nem vencer as dificuldades que tem pela frente por causa dessa falta de condições minimamente adequadas? Não estou dizendo exatamente iguais, mas minimamente adequadas. E o que o Harari coloca com relação à IA é: quem que vai usar os melhores modelos de
(1:02:21) IA, seja lá o que for? Quem que vai ter os melhores implantes de comunicação cerebral e não sei o quê? Quem vai ter acesso às maiores bases de informações? Então, é aquilo que o Paulo Rená disse esses dias: “Quais os problemas que a gente vai resolver com a IA?”. Eu acho que nós vamos criar novos. A gente pode resolver um monte de coisa, a gente pode fazer um monte de coisa boa. Mas, com as pessoas… aí entra um
(1:02:59) problema. Nem queria citar, mas com o egoísmo, com o egocentrismo, com a questão de sede de poder e essas coisas todas, a tendência é se utilizar isso para causar muito mal, além do bem que pode causar. Poxa, a IA hoje já funciona como um tradutor universal de Star Trek. Tu traduzes a língua que tu quiseres, pegas o ChatGPT, tu fazes o que tu quiseres com a língua que tu quiseres. Isso, sendo colocado em vídeo, é uma coisa melhor ainda. Tu poderes assistir a um vídeo sem perceber
(1:03:38) a tradução na tua língua nativa. Poxa, que legal! Imagina agora isso funcionando em tempo real, e a gente fazendo aqui uma reunião ou entrevistando um profissional de segurança da informação que fala grego, por exemplo. E a gente conversando com ele, ele nos compreendendo perfeitamente bem em grego, e a gente compreendendo ele perfeitamente bem em português. Então, as possibilidades de interação, o alcance que isso nos dá é fantástico. Mas, ao mesmo tempo, tu podes usar a IA
(1:04:14) para mastigar uma quantidade gigantesca de dados e ver nisso uma vantagem competitiva com relação a outras empresas, outros países, não sei o que mais, e tu usas isso para ti, e os outros que se explodam. Então, nós vamos vivenciar isso, eu acho que não tem muito como fugir, mas, por causa da natureza humana, acho que a coisa vai muito mais… acho que é muito filosófica a discussão. Não, eu não acho que a gente deva se conformar: “Ah, é da natureza humana e vamos nos conformar”. É difícil essa mudança, né, cara?
(1:04:52) É difícil. Para terminar, a gente falou desse tal de Lex Fridman aqui, mas nunca tinha ouvido falar desse cara. Não é nenhuma recomendação. Até fui procurar algumas críticas sobre ele aqui, o pessoal falando que deixaram de ouvi-lo por conta do seu amor incondicional por personalidades como Elon Musk e Joe Rogan. Então, foi meramente exemplificativo, não é nenhum… Não sei quem é essa pessoa. Eu conheço, nunca ouvi o podcast. Já vi, acho que para não dizer que nunca vi, entrevistas que ele fez com uma ou duas pessoas que me interessaram, que eu
(1:05:33) vi no YouTube. Aí eu descobri que era um podcast, vi que tinha um podcast dele, mas eu também não acompanho. Então, independente do que tu viste aí, não é nenhuma recomendação. É um exemplo do que o Spotify está fazendo. E se o que está dito aqui for verdade, inclusive, eu acho que eu não recomendaria. Enfim, estou lendo algumas avaliações aqui. Se quiser, ouça. Não vamos nós dizer o que você deve ou não escutar, mas só não vamos recomendar. Café Frio e Café Quente? Ficou frio, o
(1:06:11) Café Expresso e Café Frio. Desculpa, sempre esqueço. O Café Frio ou o Café Morno? O meu Café Frio vai para o Twitter. OK. O meu Café Frio vai para quem acha que basta usar a nuvem e os problemas de segurança estão todos resolvidos, não tem que cuidar de nada. O solucionismo da nuvem. Café Frio vai para quem usa bucket de maneira genérica na internet com os dados escancarados lá dentro. E o Café
(1:06:52) Expresso? O meu Café Expresso… eu não sei. Jogou para mim. Eu não sei qual é o Café Expresso. Acho que a gente pode mandar para o pessoal lá da IBM que nos escuta. Vamos mandar um Café Expresso para eles. Mas aí, o que vai acontecer? Se tu mandares o café… tá, agora como é que eu vou dizer que não? Manda teu Café Expresso para eles. Vai começar um monte de equipes a entrar em contato: “Eu também, nós também queremos!”. Então, façam
(1:07:26) isso. Vamos fazer o seguinte, vou formalizar esse negócio agora. Você tem uma equipe que trabalha com segurança que ouve o podcast, ou que não trabalha com segurança mas ouve o podcast, nos acompanha, etc., você pode, a partir deste momento, pedir o Café Expresso para o Segurança Legal. A gente manda um Café Expresso para você. Manda, diz em que situação que você ouve, se você gosta do podcast, se não gosta, há quanto tempo acompanha. Conta um pouquinho da tua história com o
(1:08:00) Segurança Legal. “Ouço há muito tempo”, “Descobri agora e está muito legal”. Entra em contato e a gente manda um Café Expresso virtual para toda a equipe. O meu Café Expresso, eu não vou dar para o Spotify, por aquelas razões que a gente já comentou aqui. Mas eu quero mandar o meu Café Expresso, de uma forma… não vou conseguir pontuar as pessoas, mas para todas as pessoas que trabalham visando o uso da tecnologia para melhorar de verdade a nossa vida e a vida de todos, sem
(1:08:40) exceção. Boa, gostei. A gente tem coisas muito boas que têm que ser feitas, e essas são iniciativas que têm que prosperar. Não só iniciativas de empresas privadas que têm, obviamente, como a nossa, o direito de ter o seu lucro, de ter o seu negócio e tudo mais. Mas tem certas coisas que nós devemos empregar de uma maneira que beneficie a todos e que não gere cada vez mais diferença, cada vez mais problemas sociais do que nós já temos. Ao contrário, que facilite. A IA, por exemplo, traduzindo podcasts,
(1:09:22) traduzindo vídeo, traduzindo coisas com conteúdos muito bons — não estou dizendo que é o caso do Lex Fridman. Esse tipo de aplicação pode tornar mais fácil ou tornar uma coisa que antes era inacessível, acessível a pessoas que não têm a mesma condição de entender material, conteúdo muito bom em outras línguas, acessar professores, institutos, museus, etc., na sua língua nativa, que de outra forma ela não
(1:10:02) poderia absorver aquele conteúdo, aprender com aquilo. Então, meu Café Expresso, a máquina inteira de Café Expresso, vai para essas pessoas anônimas, nesse momento pelo menos, que trabalham para esse tipo de emprego da tecnologia, não só da IA especificamente. É na linha dos princípios da IA, todas aquelas tentativas de você estabelecer princípios para o uso dessa tecnologia, visando, no final das contas, o bem comum. Só que agora eu vou fazer um… não adianta o princípio ser da IA, o princípio tem que ser do ser humano,
(1:10:37) da humanidade. Porque senão, não adianta nada. Pode botar o princípio que quiser lá que não vai rolar. Vai chegar na hora e o cara vai torcer a coisa. Bom, então fiquem agora, Vinícius, com o “Há 10 Anos do Segurança Legal”, que a gente vai ter que ver aqui depois na pós-produção qual vai ser, porque eu já vi que tem umas datas que não estão casando ali. Então, a gente vai ter que pegar talvez um pouquinho antes ou um pouquinho depois. Tem uns intervalos um pouco maiores entre episódios. A gente
(1:11:07) na época não seguia, às vezes gravava uma vez por mês, então eventualmente isso pode acontecer. Mas fique com… acho que vamos nos despedir de quem está acompanhando no áudio e fica o convite para você vir lá no YouTube para conferir a nossa escolha do episódio. O que tu achas? A gente escolhe o episódio agora na sequência. Pode ser. Vamos lá. Então, vamos nos despedir primeiro da galera que está no áudio. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos veremos no próximo episódio do podcast Segurança Legal. Até a próxima.
(1:11:40) Até a próxima. Beleza. Agora, você que segue conosco aqui no YouTube, eu vou compartilhar a tela aqui. Vamos dar um NFT de café expresso. Faz um café expresso em NFT. Que coisa. Se tu quiseres fazer. Deixa eu ver aqui, deixa eu acessar o nosso site para a gente escolher o episódio. Lista de episódios… o último foi o do Assolini, de 10 anos, 2013. Deixa eu ver aqui. O próximo seria em… no mês 11 já. É 13/10. O último foi o 36. O próximo seria “Segurança da Informação em Ambientes Educacionais”, eu acho que…
(1:12:28) pode ser. Ou o “Man-in-the-Client”, do dia 27/09. É, a gente tem… para gravar, vamos entrar no mês 11 ainda. Vamos ter dois cafés no mês 11. Isso. E os dois que a gente tem aqui são o 38 e o 37, que seriam no mês 11. Então, concordo contigo, vamos deixar o “Man-in-the-Client”. Que é do mês anterior, mas é o que casa ali. Nesse episódio, falamos sobre uma prática chamada “Man-in-the-Client”. Além de explicá-la e relacioná-la com o ataque “Man-in-the-Middle”, também é feita uma análise da sua natureza… mundo da segurança da informação. Tinha duas
(1:13:06) notícias ali: vazamento de dados de policiais cariocas e também o discurso da presidente brasileira na Assembleia Geral da ONU. É mais ou menos naquela época ali mesmo, do Snowden. Eu não lembro, mas acho que era alguma coisa relacionada. Sim. Notícia aqui na ONU: “Dilma diz que espionagem viola Direitos Humanos”. Na esteira do Snowden. Achei muito engraçado que acho que era o Obama na época. A resposta para o governo brasileiro, depois que inclusive saiu que estava sendo monitorado os telefones
(1:13:50) de todo mundo do governo, ministros e tudo mais, o Obama disse que na próxima vez, acho que a gente comentou isso no episódio, que na próxima vez, quando quisesse informação sobre o Brasil, ele iria entrar em contato, iria perguntar. Ela até disse, eu peguei o link ali, que as denúncias causaram indignação e repúdio, foram mais graves no Brasil, ainda mais com governos de sociedades amigas. E há uma semana a presidente cancelou a visita de estado que faria ao colega Barack Obama em outubro, por falta de apuração sobre as denúncias de que a
(1:14:27) inteligência americana espionou as comunicações pessoais da brasileira, além da Petrobras. Aquele caso conhecido. E parece que depois disso foi que ele pediu desculpas, ou coisa parecida, que na próxima vez ele iria entrar em contato com ela para pedir informações. Jura, né, cara? Na verdade, é um troço protocolar, porque espionagem rola direto, ainda mais por parte dos Estados Unidos. Eu ia fazer um comentário, mas não. E eu gosto dessa parte dos 10 anos porque já dá para ter uma visão,
(1:15:00) uma distância histórica. É difícil falar de distância histórica, eu não sou historiador, nunca estudei o que é distância histórica. Mas, em 10 anos, você já consegue traçar uma evolução, uma involução, analisar com mais frieza algumas dessas mudanças. Foi legal porque a gente pegou o caso Snowden logo que a gente estava começando a gravar, então vivemos bem isso. Teve episódio… acho que foi o “Prism”. Deixa eu ver aqui. “Prism”, eu acho que foi o
(1:15:37) primeiro episódio que a gente comenta sobre isso, que é o episódio 28, de 18/06/2013. Esse aqui não vai entrar nos 10 anos mais. Então, você pode ir lá e ouvir, que a gente comenta justamente desse caso aí. É isso aí. A Marina acabou caindo fora aqui, não aguentou nossa conversa. E se você estava assistindo, viu algumas mexidas, mudanças e um coelhinho aparecendo aqui. Ela pegava o coelhinho e começava a levantar.
(1:16:24) Mas é isso aí. Vamos terminando, então. Agradecemos àqueles que ficaram com a gente até aqui. É isso aí. Falou. Um abração para quem nos acompanhou. Um abração. Essa ideia do “Man-in-the-Client”, antes da gente falar efetivamente o que é, a gente precisa começar falando um pouco sobre a questão do “Man-in-the-Middle”. O “Man-in-the-Middle”, Vinícius, quer explicar pra gente? É o homem no meio. Vou pegar o exemplo bastante claro das conexões de rede, que é mais fácil de ficar mais claro.
(1:17:07) Imagina que você tem um cliente, o seu computador, que está rodando, por exemplo, um navegador, e esse cliente se conecta a um servidor. Você acessa o Google, você está acessando diretamente o site do Google, perfeito. O “Man-in-the-Middle” é alguém que desvia essa sua conexão do servidor. Ou seja, você não vai se conectar no servidor. Você parte do seu computador achando que está indo para o servidor, e o atacante desvia sua conexão para um servidor que ele, o atacante, controla. E o atacante, então,
(17:55) pega as tuas requisições e ele se conecta no servidor e faz as tuas requisições. Qual é a vantagem para o atacante nesse sentido, estando no meio do caminho? Ele consegue ter acesso ao seu tráfego, consegue ver suas senhas que estão sendo enviadas, consegue ver as informações que estão sendo recebidas do servidor, etc. Fica no meio do caminho. É como se eu fosse ligar para ti, Guilherme, e alguém conseguisse desviar a ligação, atender em outro lugar. Aí essa outra pessoa liga para ti e ela fica, coloca lá os fones para passar, para eu te ouvir e tu me ouvires, e ela fica
(1:18:35) nos ouvindo no meio do caminho. Esse tipo de técnica funciona muito bem para conexões que não têm nenhum tipo de cifragem, mas ele funciona também, é um ataque que se faz a sistemas criptográficos, a protocolos criptográficos, em que o atacante faz o seguinte: eu quero cifrar algo e mandar para o Guilherme, então eu e o Guilherme temos que combinar em algum momento uma chave. Vamos pegar a questão do certificado digital, por exemplo. A
(1:19:18) gente acessa um site seguro, aparece lá o certificado digital. O que o atacante faz? Desviando a conexão através do servidor dele, ele pode fazer o seguinte: quando tu te conectas, ele, o atacante, te dá a chave dele, do atacante, e tu cifras as coisas achando que está cifrando com a chave do site. Não está, está cifrando com a chave do atacante. Aí o atacante recebe essa informação cifrada, consegue decifrar com a chave dele, decifra isso, copia suas informações, modifica, etc., faz o que
(1:20:01) ele quer fazer. E aí ele se conecta no servidor e faz a conexão normal com o servidor, segura, com a chave do servidor, normalmente. A questão é que ele enganou o cliente, ele fez o cliente cifrar com a chave que não é do servidor, cifrar com a chave que é dele. E aí o “Man-in-the-Middle” tem essa possibilidade de atingir inclusive um protocolo criptográfico. Basicamente é isso, nada de novo, nenhuma novidade até aqui. A novidade vem agora, que é o que um cara,
(1:20:35) tu lembras o nome dele? Que ele chamou de “Man-in-the-Client”. O que uma pessoa que pesquisou chamou de “Man-in-the-Client”. Ele se deu conta que o navegador que ele tinha no celular dele direcionava, fazia todas as conexões, inclusive as conexões seguras, ele direcionava para um proxy do fabricante. No caso era a Nokia. E o que acontecia? Ele estava recebendo, sim, um certificado falso,
(1:21:29) ou seja, estava acontecendo um “Man-in-the-Middle”. No entanto, o navegador dele não estava avisando que isso estava acontecendo. Então, aquele alerta que a gente acabou de comentar, que a gente recebe quando acessa um site e tem um certificado que não está adequado, que não é correto, aquele alerta esse navegador da Nokia não apresentava. Então, ele, o navegador, ficava quietinho. Ou seja, a pessoa que desenvolveu o software fez o seguinte: “Olha, se tu receberes o certificado tal, que pertence
(1:22:05) ao servidor da Nokia, tu não avisas o usuário que tu estás usando um certificado diferente daquele do site original”. Sim, que é a base da segurança HTTPS. Exatamente, a função primordial do browser. Então eles fizeram isso. Aí, um outro caso que essa mesma pessoa comentou… já achou o nome dele? É o Steve Moulds. Vamos botar no show notes depois. Outra coisa que o Steve Moulds encontrou foi o seguinte: deu-se conta que o Opera Mini, para quem usa o navegador Opera Mini, faz a mesma
(1:22:52) coisa. Você se conecta a um site com HTTPS, você vai receber um certificado digital que não é o certificado digital do site original que você está acessando. Você está recebendo um certificado digital, vamos dizer assim, entre aspas, “falso” para aquele site, ele não vale para aquele site. A sua conexão está sendo desviada por um proxy do pessoal da Opera, e aí está sendo feita a conexão. Ou seja, é o “Man-in-the-Middle” clássico. A desculpa da Nokia e da
(1:23:29) Opera é poder olhar o conteúdo que estaria cifrado, que eles não teriam como ver, e otimizar o site para o navegador no celular, readaptar ele, retirar coisas, redesenhar o site, mudar algumas coisas, resolução de imagens, tudo mais, para ficar melhor no celular. O detalhe é que, ao fazer isso, ao ficar decifrando, não, ao ficar abrindo o que está sendo decifrado, todos os acessos a Facebook, banco, e-mail, tudo isso, e não só no navegador, mas em outros softwares, tudo isso está passando por um proxy. E aí, quem tem
(1:24:17) acesso a esse proxy consegue enxergar o que está passando ali. “Ah, mas a informação não é utilizada, é só feita a otimização”. Quem me garante isso? Ainda mais com todas essas confusões da NSA. Vamos lá, não sejamos bobos e achar que só a NSA faz isso. O governo chinês deve fazer direto isso, coisas desse gênero, assim como várias outras agências por aí. Quem não gostaria dessas informações? Claro. No caso, eu acho que é importante destacar também, não sei se tu vais chegar a esse ponto, mas é… a gente até discutiu
(1:25:09) antes se o “Man-in-the-Client” é um ataque diferente do “Man-in-the-Middle” ou se ele é uma variação. Mas o ponto aqui, no caso da Nokia e no caso da Opera, é que há uma colaboração direta do fabricante do browser para permitir ou para retirar um aviso de segurança existente em outros browsers, avisando que aquele certificado que está sendo utilizado não é o certificado original do site, mas um certificado feito pela Nokia e feito pela Opera. Ou seja, a gente criptografa o tráfego entre o usuário e a Nokia. Aí sim, entre eles está seguro, mas dentro da Nokia eles conseguem ver o conteúdo.
(1:25:55) É uma violação do próprio conceito da conexão segura via browser. Exatamente. Um outro ponto também é que eles, no caso da Nokia, admitiram essa prática. Então não é nada do tipo “não, não fazemos isso”, eles admitiram a prática.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
0 Listeners