Neste episódio comentamos a decisão da ANPD que permite à Meta usar seus dados para treinar IA. Você irá descobrir os riscos, como se opor e os detalhes de uma nova vulnerabilidade em chaves de segurança YubiKey.​

Guilherme Goulart e Vinícius Serafim analisam a fundo a nova política da Meta para o treinamento de sua inteligência artificial com dados públicos do Facebook e Instagram. Discutimos o uso do legítimo interesse sob a LGPD, a decisão da ANPD e as implicações para a sua privacidade e proteção de dados. Abordamos também a segurança digital com uma nova vulnerabilidade em YubiKeys, um ataque side-channel que afeta a criptografia de chaves privadas, e comentamos sobre o bloqueio do X no Brasil. Para não perder nenhuma análise sobre cibersegurança e tecnologia, assine nosso podcast, siga-nos nas redes e avalie este episódio.

 Visite nossa campanha de financiamento coletivo e nos apoie!

 Conheça o Blog da BrownPipe Consultoria

ShowNotes

📝 Transcrição do Episódio

(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, Episódio 374, gravado em 6 de setembro de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas das notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e àqueles que nos assistem depois no YouTube. Dessa vez não é ao vivo, já estava pensando no episódio que a gente fez ao vivo. Então, este é o nosso momento. Faremos outros. Diga. Faremos outros, sim. Aguardem.
(00:41) Aguardem. Voltaremos. Este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café de verdade. Então pegue o seu café e vem conosco. Para entrar em contato com a gente, enviar suas críticas e sugestões é muito fácil. Basta enviar uma mensagem para [email protected], isso no e-mail, obviamente. No
(01:14) Mastodon, @[email protected]. E estamos estreando, Vinícius, no Blu Sky, que é o segurancalegal.bsky.social, lembrando que em breve teremos lá o segurancalegal.com somente. E também, se você quiser me seguir por lá, é o @goulart.adv.br, não @goulart.adv.br não, é @goulart.tecnologia.com. E você? O meu, não sei, é Serafim.p.
(01:48) br. Mas ele pega pelo domínio ou tem que pegar meu nome inteiro? Só o domínio? Só o domínio ele vai achar. Ah, então Serafim.p.br. Eu criei minha conta esses dias, eu não estava usando o X, o Twitter. Mas daí deu a confusão, eu instalei para ver o que estava acontecendo. Aí foi bloqueado. Bom, está todo mundo indo para o Blu Sky, vou dar uma olhada nisso. Eu acho que estou me atropelando um pouco no assunto, mas o Blu Sky eu estou gostando. O X eu não acessava mais, não tinha nem instalado mais no celular, mas o Blue Sky
(02:20) está sendo bem… Sabe o que está sendo interessante? Ele está sendo útil. Está sendo útil para mim de um jeito que o X já não era há muito tempo, deixou de ser, e o Blu Sky está sendo extremamente útil. Mas, enfim, depois a gente comenta isso. É a influência do algoritmo, porque todas essas plataformas, de maneira geral, têm aquela prática nefasta de fazer você ficar sempre ali, aquela coisa do feed infinito. O Blu Sky, e eles nem têm essa intenção do feed infinito que te prende ali, então acabou. Acabou, não tem mais o que ver. Aí você até fica naquela coisa: “vou ficar ali
(03:00) passando”. Não tem mais. Está bom, então agora você fecha o Blue Sky, vai fazer outra coisa, vai viver sua vida, vai ler um livro, vai para a academia. Depois, “Anéis do Poder” no Prime Video. Não estamos sendo patrocinados, mas eu gosto. Para quem é fã aí do Senhor dos Anéis e tal, tem que assistir. Tu já está fazendo as recomendações na abertura, mas a gente não tem feito recomendação. Então, deixa para o final. Fiquem conosco até o final, que o Vinícius vai fazer a nota aí, Vinícius, para falar um pouquinho
(03:30) sobre a série “Anéis do Poder”. E também vou dar spoiler, vou dar spoiler da série, spoiler. E, então, se você quiser apoiar o projeto do Segurança Legal, que nós sugerimos que você faça, afinal de contas, é um projeto de produção de conteúdo independente, acesse o site apoia.
(03:53) se/segurancalegal e escolha uma das modalidades de apoio. Entre os benefícios, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Inclusive, uma das notícias, quando chegar lá, eu vou dizer quem foi que trouxe, mas foi uma indicação do pessoal do grupo. Então veio aqui para o Segurança Legal. Tem o blog da Brown Pipe, então se você quiser ficar bem informado, você consegue. Algumas dessas notícias, inclusive, já estão lá no blog da Brown Pipe, que são as notícias que você vai ver, decisões internacionais, coisas importantes sobre proteção de dados e
(04:24) segurança. Ali no blog você também consegue assinar o nosso mailing semanal para ficar bem informado, recebendo lá uma mensagenzinha toda sexta-feira na sua caixa de e-mail. Temos também o YouTube. Só um pouquinho, muito importante. Não é qualquer mensagem, é uma mensagem curada, elaborada por você. Exatamente. Então você vai ver lá uma curadoria de mensagens, que na verdade acaba concentrando também alguns dos temas nos quais nós nos preocupamos e também alguns dos temas que nós estudamos, né, Vinícius? Sim, e só
(05:03) deixa eu fazer mais uma adenda. Não é pelo simples fato de ser o Guilherme que eu estou dizendo, gente, mas tu ter informações que foram revisadas e selecionadas, dentro de uma área, por uma pessoa que entende tecnicamente da área, isso é muito interessante. Porque tu sabe que o que está lendo ali é relevante, vale a pena parar e olhar. Então é como se alguém já tivesse garimpado para ti as informações e trazido: “ó, está aqui, é só ler”. Não precisa se preocupar muito, a coisa já foi revisada. Então isso é bastante
(05:45) interessante. Não é caça-clique, não é sensacionalismo. Você vai encontrar ali realmente notícias importantes sobre segurança, proteção de dados e tecnologia em geral. Então é uma forma de você ficar bem informado sem perder muito tempo, com a garantia de que vai ter um conteúdo de qualidade. Claro, tudo isso não só por mim, mas por mim e pela Brown Pipe, que é quem mantém este podcast e também o blog. Então visite lá www.brp.com.
(06:18) br. Vinicius, vamos começar então com a ANPD? Fazia tempo que a gente não começava com a ANPD. Vamos. Bom, a ANPD suspende medida preventiva e Meta voltará a treinar a sua inteligência artificial com dados pessoais. Veja: dados pessoais públicos dos usuários dessas redes. Se é que já não treinou. Vamos ter a boa-fé aqui de supor que não. Eu vi alguém comentando agora sobre isso, não lembro onde foi, Vinícius, mas justamente isso: “será que eles já não treinaram?”. É algo bem difícil de você saber, porque ao contrário de
(06:58) outros usos de dados pessoais que poderiam ficar facilmente visíveis, que você usou o dado pessoal de alguém, uma foto de alguém para publicar aquela foto e você vê que aquela foto está em tal lugar, a inteligência artificial tem esse processo pretérito ali de treinamento dos modelos que, acho que na grande parte das vezes, deixa impossível você reverter e saber quais dados foram usados. É aquela… a gente no nosso bate-papo pré-gravação, eu fiz [uma analogia].
(07:30) Talvez os vegetarianos, os veganos etc. não vão gostar muito dela, mas depois que a carne está moída, tu não sabe mais qual é o bicho. Então, depois que tu treinou o modelo de IA com as informações, vai ficar complicado. É difícil tu ver na saída, a não ser que seja uma coisa muito evidente, muito na cara. Gerou uma imagem, por exemplo, porque eles vão usar as tuas fotos também, publicações e tal, vão ser utilizadas também fotos de perfil, tudo isso entra, segundo a própria Meta. E a não ser que saia uma coisa de lá
(08:09) muito na cara, as tuas informações podem estar sutilmente influenciando aquilo que está saindo ali e tu nunca vai saber que está lá dentro. Então, o Perplexity, olha que coisa interessante, o ChatGPT não está se incomodando tanto, a OpenAI com o modelo GPT, com a aplicação ChatGPT, não está se incomodando tanto quanto o Perplexity. Por quê? Porque o Perplexity, desde o nascimento, essa é a proposta dele: se colocar como concorrente de um Google da vida. Tu faz pesquisas ali e ele te traz a informação com os links de onde tirou as
(08:56) informações. E aí o pessoal começou a perceber que, inclusive, coisas que estão atrás de paywall estão lá, estavam caindo ali. E coisas recentes, não é coisa que foi treinada no passado, é coisa recente. Então ele traz sumários etc. e tu não acessa o site original. Ficou muito fácil para o pessoal ir atrás do Perplexity. Então o Perplexity tem, inclusive, um processo lá, uma disputa com o New York Times. E eles entrevistaram o CEO do Perplexity no podcast Hard Fork do New York Times no meio desse processo todo. O ChatGPT tem as
(09:40) disputas e tal, mas ele está mais… sabe o submarino quando ele está, não para fora d’água, mas ele está ali na superfície? Ele está no raso, está indo por ali e não está sendo tão incomodado quanto o Perplexity. O Perplexity, justamente por causa disso. O Perplexity dá as fontes, e o ChatGPT, inicialmente, não dava. O 4 agora começou a fazer pesquisa, que pode te fornecer as fontes, mas nem perto do Perplexity em termos de resultado. O ChatGPT pesquisa, na verdade, ele faz uma pesquisa, mas ele é mais…
(10:14) É ruinzinho comparado com o que o pessoal fez no Perplexity. Embora o modelo embaixo possa ser o mesmo. Se tu pagar, tu pode usar o GPT-4o no Perplexity. O modelo é o mesmo, só que não é o modelo cru que vai lá e faz. Tu tem toda uma série de filtros e ajustes que tu faz para funcionar a tua aplicação de uma maneira melhor, e o Perplexity funciona melhor que o ChatGPT, muito bem. E toma processo melhor também. Eu me lembrei, enquanto você falava, a gente gosta de digressões, você falou da de fazer a linguiça.
(10:48) Eu não falei de linguiça necessariamente, falei carne moída, para alguns guisado, para outros é boi moído, não sei como é que tem por aí. Mas, enfim, eu estava procurando um caso que ocorreu aqui em Porto Alegre entre 1863 e 1864, os crimes na Rua do Arvoredo. Três caras, era um casal e mais um cara, e eles assassinaram pessoas e produziram linguiças de carne humana para serem vendidas na cidade aqui de Porto Alegre. Pois é, e a galera не sabia que
(11:24) era gente, até começar a desconfiar do pessoal, que andavam sumindo umas pessoas, um caixeiro viajante que sumiu. Eu lembro dessa história. Acho até que saiu um livro. Tem aqui um verbete na Wikipedia bem interessante, que foi o com mais informações que eu achei, mas parece que tem um livro, saiu um romance de literatura sobre o tema, bem interessante. Sala de gente, que horror. Mas, enfim, voltemos aqui. Então a gente fez, na verdade, uma digressão, mas não foi uma digressão tão distante, que envolve os eventuais problemas de você usar
(12:01) dados pessoais para treinamento de modelos. Diante dos potenciais riscos, que de fato existem, a ANPD suspendeu no passado, e a gente trouxe aqui no Segurança Legal essa questão, suspendeu via medida preventiva esse uso da IA. E agora a notícia é que a ANPD suspendeu a medida preventiva, portanto, permitindo que a Meta volte a utilizar os dados para o treinamento, desde que cumpra algumas condições. A medida preventiva foi suspensa depois que a Meta apresentou um plano de conformidade. E que plano é esse? Contém uma série de compromissos de
(12:45) adequação. Basicamente, esse plano envolve… Existem várias coisas ali. A gente vai deixar o link do documento, mas basicamente é encaminhar uma comunicação para os usuários para que possam fazer o opt-out, já que vai se utilizar o legítimo interesse da Meta para que ela possa usar esses dados sem a necessidade de pedir consentimento, e o aumento das medidas de transparência, que envolveram tanto alterações nas políticas, notificações específicas, alterações nos sites, inclusive com um banner específico para essa atividade. Então, uma das
(13:28) preocupações que houve aqui da ANPD era se era possível utilizar o legítimo interesse para treinar a IA. Porque, via de regra, o legítimo interesse é aquela hipótese de tratamento, entre as 10 que a LGPD traz, que permite que você, controlador de dados, consiga tratar dados pessoais sem a necessidade de pedir o consentimento do titular. Isso coloca uma série de preocupações adicionais, porque veja, você está tratando sem que ele consinta. Então, diante da utilização do legítimo interesse, você
(14:08) precisa de medidas adicionais de controle. Primeiro, você precisa fazer um balanceamento do legítimo interesse para ver se os interesses dos titulares не se sobrepõem aos interesses da empresa controladora, e также medidas e outras salvaguardas. Então, em geral, quando se utiliza o legítimo interesse, você tem que dar medidas de transparência, como foi o que aconteceu aqui. Mas acho que a grande discussão, que ainda não terminou, e isso fica claro no documento, ou seja, a ANPD não está dando um cheque em branco. Ela está dizendo que o tema ainda
(14:44) deve ser visto com reservas. E, na verdade, sempre o uso do legítimo interesse traz uma tensão e uma complexidade adicional. Então as empresas que decidem por utilizá-lo… claro que você pode estar diante de situações mais simples, mas aqui o uso do legítimo interesse é bem delicado. Porque uma coisa é você usar o legítimo interesse para tratar dados de poucas pessoas em circunstâncias de menor risco e coisas já mais bem estabelecidas, sei lá, monitoramento de espaços fechados e tudo mais. Aqui não, aqui você está treinando uma IA com dados
(15:20) potencialmente de milhões de pessoas, pelo menos aqui no Brasil, com riscos um tanto quanto imprevisíveis. Porque o uso da inteligência artificial e o que ela pode fazer com os dados pessoais que ela consome para o treinamento do modelo, ainda tem uma certa incerteza do que poderia acontecer e quais poderiam ser os riscos. Mas, ainda assim, houve essa permissão. Ou seja, a autoridade concordou com esse plano. Ela traz, inclusive, um documento da CNIL, que é a autoridade francesa, sobre a
(15:55) possibilidade de uso do legítimo interesse nos contextos de treinamento de modelos de IA, mas que ainda há necessidade, segundo a ANPD, de se aprofundar esse tema, envolvendo o que eles dizem, abre aspas, “um padrão de aplicação dessa hipótese e a imposição de salvaguardas”. Então, a Meta, cumprindo essas imposições, ela traz o teste de balanceamento do legítimo interesse e também o relatório de impacto de proteção de dados pessoais para poder utilizar e para poder fazer esse tratamento. E eu destaco ainda aqui que a ANPD trouxe a frase,
(16:34) a indicação de que a anuência irrestrita ao uso da referida hipótese legal para o tratamento em questão, ou para todo e qualquer tratamento de dados pessoais visando ao treinamento de sistemas de IA, ou seja, não deve ser interpretado como uma anuência irrestrita, a ANPD quis dizer. Então é meio que uma mensagem dizendo: “Olha, a gente concordou aqui, mas isso não significa que agora podemos usar legítimo interesse para treinar qualquer IA, не é bem assim”. E, claro, eu não vi se foi publicado,
(17:08) acho que não, mas nós не tivemos acesso a esse teste de balanceamento e nem ao relatório de impacto à proteção de dados que a Meta teria feito. Então a gente não sabe exatamente o que tem nesses documentos. E outra questão também é a preocupação com o uso de dados de crianças e adolescentes. A Meta ressaltou no documento que continuaria a discutir com a ANPD, no âmbito do processo de fiscalização em andamento, a legitimidade do tratamento de dados pessoais dessa categoria de titulares, ou
(17:45) seja, crianças e adolescentes, até uma decisão posterior da ANPD. Porém, o tratamento de dados pessoais nessas hipóteses continuaria suspenso. Então, essa questão não está encerrada e pode ser que, eventualmente, dados de crianças e adolescentes presentes ali… veja, são dados públicos, mas mesmo que esses dados sejam públicos, a LGPD se aplica. Enfim, e a ANPD vai ficar acompanhando ainda o cumprimento dessas medidas e, caso haja descumprimento, aí poderia se iniciar a instauração de um processo. O Idec se posicionou contra. A
(18:25) gente sabe que o Idec, aqui junto com o MPF, tem aquela ação civil pública. Enfim, então o Idec se posicionou contrário a essa permissão aqui, foi mais ou menos na mesma linha daquela ação. Então a gente deixa registrado aqui essa posição do Idec. E nós já recebemos o e-mail. Você aí que tem conta no Facebook, no Instagram, provavelmente também já deve ter recebido o e-mail. Mas, a gente estava lendo o e-mail, Vinícius até levantou algumas questões ali. Não sei se você
(18:56) quer falar rapidinho sobre elas. Sim, eu trouxe… eu esqueci de ajustar aqui para poder compartilhar, até tentei fazer o lance aqui, deu uma congelada na imagem rapidinho enquanto eu fazia o clipping do e-mail, mas vou ler o e-mail. Eu fiquei insatisfeito com o e-mail. Porque se fosse um consentimento, então, por default, em tese, a coisa estaria negada, eu teria que ir lá e concordar, dizer, deixar explícito: “eu concordo com o uso dos meus dados”. O que aconteceu com a questão do legítimo interesse foi que isso virou um opt-out. Então, assim, olha,
(19:33) o default aqui vai ser: os teus dados serão processados, serão utilizados para treinar a IA, a não ser que tu diga que não. Então, se não fizer nada, teus dados vão ser utilizados. Sim, mas por quê? Porque se aplicou o legítimo interesse da empresa, entendendo que ela poderia usar sem o consentimento. Exato. E aí o e-mail que eu recebi, o título dele veio do Instagram para mim, não é do Facebook, é do Instagram. Ele veio aqui identificado com o Meta direitinho e diz assim: “Entenda
(20:03) como usamos suas informações à medida que expandimos a IA na Meta”. Para mim, o título já deveria ser: “Importante: Ação requerida para processamento dos seus dados”, alguma coisa assim, não uma coisa que parece uma notícia, parece um release daqueles que tu olha e pensa “Ah, não vou ler isso aqui” e apaga. Mas tu entra e lê. Aí diz lá: “Entenda como usamos suas informações à medida que expandimos a IA na Meta”, repete o título, e diz assim: “Olá”, aí aparece o teu handle lá, no meu
(20:35) caso é o @serafim.otg. Você está fazendo propaganda para que te sigam lá no Instagram. Isso, me sigam! Tem um monte de publicação lá, vamos lá ver a quantidade de publicação que eu tenho. “Estamos nos preparando para expandir nossas experiências da IA na Meta. A IA na Meta é nossa coleção de recursos e experiências de IA generativa, como a Meta AI e as ferramentas de criação com IA, juntamente com os modelos que as possibilitam”. Ok, beleza, primeiro parágrafo não diz nada de uso dos dados. “O que isso significa para você?”, tem um título em negrito. Vamos ser justos,
(21:12) está escrito em negrito. Aí tem assim: “Para ajudar a trazer essas experiências até você”, então “para ajudar a trazer essas experiências até você” já dá meio… Vamos lá. “Queremos que você saiba que usaremos suas informações públicas no Facebook e no Instagram com base no legítimo interesse”. Então está dizendo: “nós vamos usar isso aqui com base no legítimo interesse”. Sendo legítimo interesse, independente de certo ou errado, vamos supor que está certo, é legítimo interesse mesmo, realmente não precisa de consentimento, eles só informam o que vão usar. “Nós faremos isso para desenvolver e
(21:51) melhorar modelos de IA generativa para os recursos e as experiências da IA na Meta. Você tem o direito de se opor ao uso de suas informações para essas finalidades”. Que bom, eu tenho o direito de me opor. Eu estou pulando um detalhe aqui, já vou dar para vocês. Eu tenho o direito de me opor. Não quer publicar na tela aí? Não, eu não consigo aqui agora no meu e-mail. “Você tem o direito de se opor ao uso de suas informações para essas finalidades. Se sua oposição for atendida, a partir de então…”. Isso aqui é uma coisa que me chamou a atenção. “Se sua oposição
(22:27) for atendida”, quer dizer que se eu me opor, minha oposição ainda pode não ser atendida? Então, “se sua oposição for atendida, a partir de então…”. Oi, fala. Deixa eu te interromper. Pelo que eu entendi, esse texto foi combinado junto com a ANPD. Está beleza. “Se a sua oposição for atendida…”. Então, se a tua oposição for atendida, que pode não ser, porque tem um “se” ali na frente, “a partir de então, nós не usaremos suas informações públicas do Facebook e do Instagram para desenvolver e melhorar modelos de IA generativa para os recursos
(23:00) e experiências de IA na Meta”. De novo, um monte de texto inútil. “Se já se opôs, você não precisa enviar outro pedido. Estamos atualizando nossa Política de Privacidade para refletir essas mudanças. As atualizações entraram em vigor em 9 de outubro de 2024”. Qual o meu problema com esse e-mail aqui, além do “se” e além desse monte de blá-blá-blá que o usuário… o cara vai bater o olho nisso aqui, vai ler esse monte de coisa e sair fora. Sabe onde está o negócio para tu se opor? Ele não está num texto dizendo assim: “Se você quer se opor, clique
(23:35) aqui”, ou coisa parecida. Não. Sabe aquela frase que eu li, “Você tem o direito de se opor ao uso de suas informações para essas finalidades”? As palavras “direito de se opor” estão em azul. Elas не estão nem sublinhadas, estão em um azul, parece que é um destaque no texto, mas é o link para tu clicar e se opor. Não tem “clique aqui”, não tem indicação clara de que aquilo ali é um link. Para mim, tinha que ter uma frase embaixo disso tudo, ou no início: “Você pode se opor clicando neste link”. E aí o link bem claro, uma
(24:18) frase destacada. “Você pode…”. Aí tu clica no link e diz “sim, me oponho” e acabou o assunto. Ou tu pode dizer “não me oponho”. Na verdade, a pergunta seria melhor se fosse feita assim: “Você quer que os seus dados sejam utilizados pela Meta? Sim ou não?”. É mais claro do que perguntar… Mas aí é consentimento, não é legítimo interesse. Beleza, mas então inverte a coisa. Deixa invertido mesmo. Aí tu diz “não, não me oponho”. Aí tem que vir
(24:56) mais: “Então nós vamos usar essas informações aqui, pá pá pá, tu quer continuar?”. Aí tu diz “sim”. Aí tu vai dizer “é consentimento”. Então está beleza. Isso aqui para mim não é claro o suficiente para os usuários. Eu não consigo ver meus pais, que têm Facebook, eu не consigo ver vários familiares meus que têm Facebook lendo isso aqui e entendendo o que fazer. É, talvez a melhor forma, mas é lógico que a empresa não iria querer fazer isso, seria você abrir um pop-upzinho lá na primeira vez. “Vamos aplicar isso
(25:34) aqui para todo mundo”. Você abre lá, pela primeira vez depois do prazo, o teu Instagram abre um pop-up: “Vamos usar seus dados para Inteligência Artificial. Clique aqui para mais…”. É um e-mail. Pede autorização quando a pessoa entrar. Mas aí você está insistindo, não é pedir autorização. Então não manda nada, só diz “nós vamos usar” e pronto. Ok, não, mas aí diz que vai usar por um banner na primeira vez que entrar. “Vamos usar seus dados para Inteligência Artificial. Clique aqui para saber mais”. E aí o cara clica ali e aí tem toda
(26:14) essa questão do e-mail. É que, no final das contas, eles estão informando que vão usar e acabou. Não tem consentimento, é legítimo interesse. Exatamente. Talvez esteja errado aí. Não, mas aí é que está o ponto. Quando eu entrei no Facebook, embora o contrato diga lá que pode fazer o que quiser com as informações, ninguém falava na possibilidade de treinar IA com os dados que a gente colocava lá. É, mas
(26:46) justamente um dos usos do legítimo interesse é você reutilizar certos dados em outras atividades ou para outras finalidades, desde que haja uma compatibilidade entre aqueles dados e a nova finalidade, e que haja um legítimo interesse da empresa. Legítimo interesse esse que seja superior aos interesses de bilhões de titulares. E aí tu pega uma coisa muito interessante, tu vai usar legítimo interesse justo com uma tecnologia que, alguns eu acho que exageram um pouco, mas que pode acabar com a humanidade. Tem essa discussão toda em cima da…
(27:24) Exagero, com certeza. Já acabou, не é que pode acabar, acabou. Foram as redes sociais, mas não vai ser a IA que vai acabar. Mas entende, é uma tecnologia crítica. Eu estava ouvindo um podcast, acho que é “The Interview” do New York Times, se não estou enganado. Estou citando para caramba o New York Times porque tem o “The Interview”, que é muito bom, tem o “Hard Fork”, que é muito bom… O “Hard Fork” eu tenho ele aqui. É muito bom. E tem o “The Daily”. É só… deixa eu ver se é esse aqui mesmo. Mas
(28:01) tem, acho que é o “The Interview”, que eles estão falando, por exemplo, dos chips para Inteligência Artificial da Nvidia. O governo Biden estava tentando proibir que esses chips fossem vendidos na China. Para quê? Para que os Estados Unidos mantenham uma certa hegemonia com relação à tecnologia para treinar modelos de Inteligência Artificial. E aí vai uma repórter do New York Times até Shenzhen, na China, e ela vai… lá tem quase meio quilômetro de lojas, um negócio que junta tecnologia, e ela vai até conseguir encontrar um chip lá para comprar, um da Nvidia, desses
(28:46) chips para treinar IA. Em tese, não deveria estar lá. Mas os chips são produzidos em Taiwan e acaba parando lá. Então, esses caras têm uma preocupação muito grande, porque eles estão enxergando isso como uma vantagem competitiva não só econômica, mas também bélica, muito grande. Então не é uma tecnologia qualquer. Não é “nós vamos utilizar os dados de vocês para fornecer avatares mais legais” ou qualquer outro tipo de serviço. Tu está usando para treinar um modelo de IA, e esse modelo vai ser utilizado aonde? Não sei. E aí,
(29:32) Vinícius, talvez se conecte com todas as preocupações do X que a gente vai falar no fim deste episódio. Então, se você chegou até aqui, aguarde. Desligue e aguarde até o fim, que nós vamos falar um pouquinho mais sobre o X. Mas uma das preocupações é justamente essa: você vê a eventual possibility de modelos, e aí no AI Act isso fica bem claro, de você potencialmente poder utilizar isso para fazer formas mais eficientes daquelas que já existem
(30:09) para manipular pessoas. E quando eu falo manipular pessoas, estou falando de vários domínios diferentes. Porque hoje nós, há muito tempo, eu já falei isso aqui várias vezes, nós já somos manipulados para a questão das compras, comercial. E, por exemplo, o próprio AliExpress, funciona super bem lá o sistema de recomendação deles. Ah, às vezes é umas porcarias lá, que eu já recebi coisas totalmente aleatórias. É, tem umas coisas meio estranhas que aparecem lá de vez em quando. Mas agora ele só fica me mostrando um certo tipo de produto que
(30:46) eu quero comprar, ele sabe que eu quero e ele vai insistir até eu comprar aquele produto. Então, potenciais usos manipulativos é uma preocupação que eu tenho. E para aquela coisa do que a gente já mostrou mais de uma vez, e vou mostrar de novo aqui, só para a gente ver com o que estamos lidando. Isso aqui… Ah, sim, o famoso experimento. Isso aqui está publicado num jornal de ciências psicológicas e cognitivas, e é um artigo de pesquisa feito pelo pessoal do
(31:29) Facebook. Qual o título para quem não está vendo, para quem está nos ouvindo? “Evidência experimental de contágio emocional em escala massiva através das redes sociais”. É um estudo que gerou uma discussão muito grande, porque isso foi feito sem que as pessoas soubessem. Eles envolveram 689.003 indivíduos. Qual foi o ano disso, Vinícius? Isso aqui foi… está falando de 10 anos. 10 anos atrás. Meu Deus do céu, 10 anos, quando foi publicado.
(32:11) Quando foi publicado. Mas o que esse estudo demonstrou? O que eles conseguiram fazer com as pessoas? O que eles fizeram aqui, ó, eu vou ler o significado: “Nós mostramos que, via um experimento massivo no Facebook” – eles envolveram 689.003 indivíduos – “eles demonstraram que os estados emocionais podem ser transferidos para outros via contágio emocional, levando as pessoas a experienciarem as mesmas emoções sem estarem conscientes disso”. Para quem está vendo na imagem, está aqui:
(32:52) “leading people to experience the same emotions without their awareness”, sem as pessoas se darem conta de que estão sofrendo esse contágio. “Nós fornecemos evidência experimental que o contágio emocional ocorre sem interação direta entre as pessoas”. Eles dão um exemplo aqui: “exposição a um amigo expressando uma emoção é suficiente, e na completa ausência de pistas ou dicas не verbais”. Então, eles fizeram esse estudo, não informaram as pessoas que esse estudo estava sendo feito, e isso aqui
(33:35) gerou uma discussão muito grande de ética na pesquisa. A universidade envolvida… deixa eu só ver se eu acho o nome dela aqui, que eu não lembro, mas ela se pronunciou dizendo que não tinha nada a ver com isso. Eles tiraram o deles da reta. Deixa eu ver onde está. Não sei se vai ter o nome… Talvez aqui embaixo. Ah, eu não vou achar aqui. Mas o que eles fizeram foi: pegaram esses indivíduos, manipularam a timeline de um grupo, de um subgrupo ali, para mostrar coisas mais
(34:12) tristes ou com emoções mais negativas, e outras mais positivas, e o tal do grupo de controle, que é importante, óbvio, uma pesquisa bem feita ter o grupo de controle. E eles demonstraram que sim, é possível, esse contágio em massa acontece. Aí tem o artigo, não é longo. Eu vou botar, não ia ficar nos shownotes, mas eu vou colocar aqui, Guilherme, para a gente acrescentar depois, para não esquecer. A gente coloca lá o artigo de novo, já está em alguns outros episódios. Então,
(34:48) eles dão todos os dados deles bonitinho aqui. Isso aqui foi feito pelo pessoal do Facebook, não é alguém testando o Facebook de fora. As pessoas que fizeram esse estudo estavam… Princeton, aqui, ó, está na cara. Ah, não, isso aqui foi editado para… não, não é a Universidade de Princeton. Agora pensa no seguinte: bom, hoje é indiscutível o papel, e essa é a grande diferença das redes sociais antigas para o que elas são agora, dessa manutenção e desse
(35:32) controle via controle algorítmico do que tu vê. Então, aquilo de você ver só… Essa é uma diferença inclusive do Blue Sky. O Blue Sky vai te mostrar os posts de quem tu segue por padrão. Até pode mudar ali, mas por padrão tu vai ver o que tu segue. Tem o “Discover”, onde aparece tudo que é porcaria. Mas o Discover não é uma curadoria baseada no teu comportamento. Você tem aquela ideia. O X, ultimamente, o padrão era o que ele queria que tu visse,
(36:03) sempre com o conteúdo de criadores que acabavam ganhando por isso. Então, notem o papel e a possível importância… sem contar o lixo que virou depois que o Musk entrou, o lixo que virou a timeline, pelo amor de Deus. Quanta coisa inútil. Comecei a receber coisa inútil de coisas não relacionadas, e você acaba perdendo o rumo e a mão. Então, esse tipo de estudo aqui mostra como os algoritmos são construídos, porque a ideia, a gente sempre diz isso, é que você fique o maior tempo possível lá, em geral, para que as redes sociais ganhassem dinheiro. Só que a grande novidade é
(36:41) que agora a gente está começando a ver que outros interesses também podem, desde o caso Cambridge Analytica, mas mais agora com o caso X, você consegue ver que outros interesses também estão albergados nesse possível controle que o algoritmo pode promover. E a gente disse tudo isso para dizer que, eu acho, Vinícius, vamos para as tuas notícias agora, mas acho que é para dizer que o uso da Inteligência Artificial nesse contexto, com dados treinados com dados pessoais dos utilizadores, poderia promover formas de controle e de manipulação mais intensas e eficientes ainda. Eu acho que
(37:17) essa é a conclusão. Cara, é. E eu volto à minha famigerada e chula comparação com o moedor de carne. Uma vez que moeu, não sabe mais que bicho que foi. Então, eu acho bem delicado esse negócio com legítimo interesse, considerando que é IA. Se fosse qualquer outro uso, mas especificamente falando de IA, eu acho muito delicado. A CNIL diz que pode, ok. Mas, considerando a quantidade de exposição que as pessoas têm ali dentro… porque eu já tinha preocupação com foto de crianças e tal. Inclusive, eu fui o pai chato na escola que не queria que tivesse
(38:05) foto dos filhos na internet. Então eles não tiravam fotos com meus filhos juntos. Eles têm uma fotinho tua lá que eles ficam jogando dardos nela. Não, mas eu dou várias outras razões para jogarem dardos nas minhas fotos. Mas a minha preocupação era as pessoas usando, vendo essas fotos. Não me passava pela cabeça na época um algoritmo sendo treinado com as fotos, entende? Por exemplo. E agora, tem os perfis de criança. Claro, de criança
(38:42) em tese não tem ninguém menor de 13 anos, lembrando disso, não tem ninguém menor de 13 anos no Facebook. É mais ou menos, porque tem as fotos que as outras pessoas tiram. Isso que eu ia dizer. Eles podem até pular esses perfis, só que tem um monte de perfil de adulto cheio de fotos dos filhos. Então, vai ter gente que vai dizer aquela velha história: “Ah, eu não estou nem aí, podem usar, não tenho nada a esconder”. Não é só não ter nada a esconder. O problema é que a gente não sabe as consequências
(39:14) disso. A gente não sabe onde esse modelo vai ser usado, daqui a quanto tempo. Essas informações, uma vez que elas entrarem nessa massa do modelo, elas um dia vão sair de lá? Ou daqui a 20 anos vai ter um supermodelo e essas informações vão continuar lá dentro, vão fazer parte desse supermodelo? Ninguém mais vai saber o que entrou lá dentro, com legítimo interesse, sem legítimo interesse, com consentimento, sem consentimento. Ninguém vai saber. Já не se sabe o que tem no GPT-4. Então, assim, é muito delicado. É
(39:47) uma tecnologia que eu curto, eu já falei mais de uma vez aqui, eu gosto de usar essas ferramentas de IA. Tem várias diferentes que eu tenho explorado e testado. Umas são ruins, outras são boas para uma coisa, ruins para outras. Mas, ao mesmo tempo, tem que ter muito cuidado. E a gente… esse controle que a gente já não tem. A sensação que eu tenho é que isso aqui é quase pró-forma, no sentido de que já foi. Não, não acho que não. Eu não sei, Guilherme. Os nossos dados já
(40:26) são tão utilizados para a questão de venda, de montar perfil, etc. Quem garante que essas ferramentas que montam os perfis já não estão usando IA há quanto tempo? É que tu tem várias IAs. Tem IA sendo usada em muitos lugares, e aqui eles estão falando especificamente de IA generativa. Entendi, mas tu entende, e a IA generativa vai ser utilizada onde? Eu volto a insistir nisso. A minha preocupação é a gente não saber. Vai ser usada para IA. IA não é um fim, é uma ferramenta. Mas eles entregaram
(40:59) o relatório de impacto à proteção de dados e o balanceamento, que, em tese, explicam todos esses usos. Eu estou dizendo “em tese” porque eu não li o documento, mas esses documentos se propõem a fazer isso. Então vamos ler. Não, mas não foi publicado. Ah, não foi publicado. Ótimo, que bom. Aí os meus dados vão ser utilizados e eu não sei… Tu tem o papel da autoridade que estaria buscando o cumprimento dessa… Enfim, eu acho bem delicado isso aqui, ainda mais para uma tecnologia como IA. Mas vamos adiante. Essa era para ser a notícia mais curta do episódio e a gente está com
(41:38) 42 minutos. Então, Vinícius, fala agora sobre as duas que você iria trazer. E aí depois a gente termina com alguns detalhes adicionais do X. Pode ser. Eu, inclusive, gravei nos vídeos que eu estou fazendo na terça-feira. Já estou duas terças-feiras sem gravar, sem transmitir, mas vou fazer terça-feira que vem lá no nosso canal no YouTube do Segurança Legal. Eu comentei da última vez sobre a questão de senhas, guardar senhas, e eu citei lá porque eu uso, inclusive tu usa também, a YubiKey.
(42:15) Acontece que, mas isso não afeta a parte da YubiKey que a gente usa, felizmente, apareceu mais um ataque desses de side channel, eu já explico a brincadeira, em que torna possível extrair de uma YubiKey… Para quem não sabe o que é YubiKey… deixa eu explicar o que é. É um animal, é uma bebida? É um animal que o pessoal mói e faz Yubico.
(42:50) Tem essa empresa aqui chamada Yubico. Deixa eu só abrir aqui os produtos. Está aqui, deixa eu pegar os produtos, YubiKey Series. Está aqui as fotinhas deles, deixa eu compartilhar com vocês. Tem uma empresa chamada Yubico e essa empresa fabrica esses equipamentos aqui, que são esses chaveirinhos, digamos assim. Se tu olhar, parece um drive USB, um pen drive. Ele не tem… tem até uma versão com leitor digital, mas essas aqui que eu estou mostrando na tela, nenhuma delas tem. E já são caros o suficiente, custam uns R$300 mais ou menos
(43:26) cada uma. E esses caras tu pode utilizar para se autenticar em praticamente tudo que é serviço na internet. O Google aceita, Microsoft aceita, Steam, Discord, Amazon. A Amazon aceita. O GitHub tu consegue usar também. Então, é muito interessante porque tu adiciona uma camada a mais de segurança nas tuas contas, que é uma coisa física que tu tens que ter. Então tu tem que saber uma senha, e em alguns sites tu pode substituir essa senha que tu tem que ficar lembrando pelo uso de uma dessas chaves.
(43:58) Literalmente seria uma chave para você abrir… Isso aí, tu espeta no USB e tem que tocar. Para quem está vendo aí, tem um botãozinho aqui no meio, um sensorzinho de toque nele. Não é leitor digital, isso aqui é para você deixar claro ou provar que você está próximo dele fisicamente. Então, quando você vai usar, ele começa a piscar o “Y” aqui no meio, e até você tocar, a autenticação não acontece. Acontece que esse cara aqui… e aí quando você compra, vem com esse chaveirinho para você carregar ele junto. O teu… o meu não veio. O meu não veio. Ah, é? Eu tenho o meu num… deixa eu mostrar para o pessoal. Esse aqui é para… eu perco chave direto, então para não perder a chave, essa aqui é a dica que eu deixo: usa um chaveiro grande assim.
(44:36) Está aqui o meu pendurado, está ali, ó, a YubiKey ali pendurada. Isso aqui eu nunca mais perdi. Grande, bem aqui: “Remove before flight”. Eu roubei de um… eu estava… fui voar uma vez e consegui tirar de um avião. Não, mentira, mentira, mentira. A ANAC vai me mandar prender.
(45:13) Mas, então, o que acontece? Essas chavezinhas aqui, elas servem como um elemento adicional de autenticação, o que é bem interessante. É muito útil, recomendado. Eu recomendo, recomendei no vídeo e recomendo aqui de novo. Se você tiver a possibilidade de comprar uma dessas chaves, repito, está em torno de R$250, R$300, mais ou menos, depende do modelo. Essas nossas têm NFC. Não, mas mesmo as outras estão na faixa de R$250, Guilherme. Deu uma aumentada no preço. Essas estão uns R$500, né? Essas nossas aqui. Ah, não sei,
(45:50) a gente pagou na época uns R$300. Mas, enfim, eu continuo recomendando. Acontece que tem a Secure Key, que tem só o esquema de autenticação de challenge-response. É só isso que ele tem, mas funciona com tudo. É só isso que você precisa para Google, Microsoft, GitHub, etc. É só essa que você precisa. E tem essa versão que nós temos, Guilherme, que além disso, tu pode guardar o teu gerador de OTP nele mesmo. Então tu consegue guardar até 32 contas com geração daquele código
(46:26) que fica mudando a cada minuto. Em vez de ter isso num software, no Google Authenticator, tu tem isso nele. Aí tu usa no celular ou no computador uma aplicação que vai lá… “ah, eu quero ver o código aqui desse site”. Tu clica lá duas vezes e toca, ele te mostra o código e tu usa o código para se logar onde for necessário. E tem uma outra funcionalidade de smart card, que era para tu armazenar chaves assimétricas lá dentro. E tem um… não, chaves assimétricas.
(47:01) Delas é um par de chaves assimétricas. Então tu vai armazenar a chave privada e a chave pública dentro dele, junto com um certificado digital. O que acontece? Um desses algoritmos, talvez o mais utilizado ou ainda bastante utilizado, é o RSA. E tem um outro algoritmo, ele não é exatamente novo, mas a utilização dele é mais recente que o RSA, que é o algoritmo de chaves de curvas elípticas. É um outro algoritmo para geração de chaves assimétricas que faz a mesma coisa que o RSA, mas o
(47:39) processo de cálculo dessas chaves é diferente. Moral da história: o que aconteceu? Esses caras aqui do Ninja Lab… vocês têm um relatório de 88 páginas. Para quem gosta de escovação de bit, isso aqui é um achado, um prato cheio. É impressionante, o negócio é super detalhado. Então tem um monte aqui, ó: introdução, FIDO hardware tokens, que é justamente o que você tem ali na YubiKey. Aí tem o algoritmo de assinatura digital com curvas elípticas.
(48:20) E usaram LaTeX para fazer isso aí. É, pelo visto sim, bem cara de LaTeX. Então aqui você tem toda a explicação, contextualização, a questão da engenharia reversa que eles fizeram e tal. Mas eu não vou, obviamente, trazer isso aqui, daria um episódio inteiro se a gente quisesse carunchar isso aqui, mas no final é uma questão muito mais técnica. É, mas o que eu quero trazer daqui é a forma como o que eles conseguiram fazer e como eles fizeram. Eles
(48:53) conseguiram fazer uma coisa que, num smart card que guarda uma chave privada dentro, junto com outras chaves, a premissa fundamental, essencial, é que a chave privada jamais pode ser tirada de dentro do chaveiro, de dentro do smart card que seja. Então, uma vez que essa chave foi gerada lá dentro ou foi inserida lá dentro, ela não pode ser lida. Qualquer tipo de assinatura ou coisa parecida tem que ser feito dentro do próprio cartão. Ok, então essa é a ideia. Acontece que esses
(49:32) caras aqui, eles descobriram um jeito de, usando um side channel, um canal lateral, um canal alternativo — já explico para vocês o que é isso — eles conseguiram extrair ou deduzir, seria o mais correto, a chave privada quando gerada com o algoritmo de assinatura digital com curvas elípticas, especificamente. E, de novo, isso é uma coisa que se repete. Guilherme, deve fazer uns 10 anos, talvez mais, um ataque semelhante em smart cards. O que eles fizeram
(50:13) nesse cara aqui, e de forma semelhante aconteceu há 10 anos, eles conseguiram perceber certas diferenças, neste caso aqui, diferenças de tempo; no caso de 10 anos atrás, diferenças de consumo de energia. E essas diferenças de consumo de energia, de tempo, deram uma indicação das informações que estavam sendo tratadas dentro do cartão, sem eles enxergarem diretamente essas informações. Então, de uma maneira… isso é o side channel. De uma maneira mais simples seria o seguinte: eu não vi o Guilherme entrar, eu не consigo
(50:49) ver o Guilherme entrando no apartamento dele, certo? Vamos supor, eu não consigo ver, mas eu consigo ver quando a luz do corredor acende e consigo ver na sequência quando uma luz no teu apartamento acende. Por mais que eu não te veja lá, eu posso deduzir com uma certa segurança de que tu chegou no apartamento. Eu não te vejo, mas eu vejo sinais, indicações de que isso está acontecendo. E de forma semelhante fizeram aqui com a YubiKey, e не só com a YubiKey, mas com outros dispositivos que são afetados, que usam um componente comum de um determinado fabricante. Então isso atinge
(51:30) não só a YubiKey, mas atinge outros elementos, mas a YubiKey talvez seja o mais famoso desses que foram atingidos. E esse side channel, justamente pela diferença de tempo que eles conseguiram medir… mas é uma trabalheira desgraçada. Você tem que ver aqui, é muito interessante. O cara tem que tirar… nossa, tem que abrir, tem que expor o chip. É delicado, o cara tem que meter medição de emissão eletromagnética, tem que ligar um osciloscópio lá dentro. Não é algo trivial. Mas o fato foi que eles
(52:02) conseguiram achar uma maneira de, usando um canal lateral, ou seja, sem acesso direto à informação, eles conseguiram deduzir a informação. E essa informação que eles conseguiram deduzir é a chave privada de um algoritmo de curvas elípticas. Então isso é grave, isso é muito grave, porque arrebenta com a ideia fundamental do smart card para guardar uma chave privada para te fazer assinatura digital. É isso. Então deixa eu te perguntar. Tenho aqui essa YubiKey. Na verdade é a capinha
(52:38) dela, está aqui dentro. Eu só uso ela, não guardo nenhuma chave privada aqui dentro, nem chave pública. Eu sei que ela tem várias funções, mas a função que eu uso é para me autenticar em sites importantes, ou seja, para evitar que eu seja hackeado caso descubram minha senha, minha senha vaze ou alguma coisa. Não vão conseguir acessar porque vai pedir, está configurado para pedir a YubiKey. Inclusive se eu perder, eu tenho outra na realidade, mas se eu perder eu posso ter problemas. Eu sou afetado
(53:10) por isso, Vinícius? Eu preciso me preocupar? “O que fazer para evitar golpes online?”, aquelas perguntas que fazem… Cara, eu passei por essa mais de uma vez quando eu morava em Porto Alegre, para a Zero Hora e tudo mais, o pessoal vinha com essas perguntas. “Como evitar golpes online?”. Esses dias me perguntaram, um grande veículo de mídia me mandou algumas… nem acho que usaram a informação que eu mandei, eu nem vi em lugar nenhum. Mas me pediram justamente isso. Aí tu fica: “Meu Deus do céu, vou explicar direito ou vou explicar rápido?”. É uma das
(53:49) perguntas. E o que vão fazer com a minha explicação, que o pessoal ainda edita? Na verdade, existe um problema. Porque o que acontece? Quando tu usa… deixa eu até mostrar para vocês onde está isso, onde se vincula essa questão. Então, sim e não, tu deve se preocupar e não deve se preocupar. Deixa eu compartilhar a tela com vocês aqui. Até porque um atacante que vai conseguir explorar isso vai ser um atacante muito motivado. É. Está aqui, ó: quando você está registrando um novo
(54:31) token FIDO numa conta de um usuário, um par ECDSA — que é justamente o algoritmo de curvas elípticas para assinatura digital — é gerado um par de chaves ECDSA dentro do dispositivo. O dispositivo envia ao servidor remoto, no caso o Google, por exemplo, a chave pública e armazena a chave privada. Sim, é assim inclusive que funciona a parada. Então, o que acontece? Sim, alguém poderia roubar uma chave assim, por vez, uma chave de um serviço teu por vez. O cara tem… então se tu
(55:25) usou no Google, se usou na Microsoft, se usou no GitHub, cada uma dessas chaves vai ter que sofrer um ataque para ser explorada, para o cara conseguir a chave privada. Claro que ele precisaria daí da minha senha, e do acesso físico a ele. Só que ele vai precisar do acesso… depende do serviço, tem serviço que só a chave é suficiente para se logar. No caso do Google, por exemplo, só a chave é suficiente, tu não precisa da senha. Então o cara teria que roubar.
(56:04) Esse cara tem que roubar a minha chave. E a ideia de tu ter um negócio físico desses é que, se alguém te roubar isso aqui ou tu perder, tu se dá conta de que perdeu. Notem, gente, essa ideia é de um fator de autenticação que é “uma coisa que você tem”. Porque a senha é “uma coisa que você sabe”, e uma outra pessoa que souber a sua senha porque viu você digitando, porque de alguma maneira tu anotou no papel e a pessoa viu, tu não percebe que a pessoa está com a tua senha. Entende? Tu não percebe que a
(56:40) pessoa pegou a tua senha. Não é uma coisa que… “ah, pegou, meu Deus, não tenho mais”. Alguém tirou da minha memória a minha senha. Não, não tem isso. Agora, uma coisa que eu tenho, e notem, isso aqui está junto com chaves e coisas que eu uso o tempo todo. Se eu perder isso aqui, eu vou notar falta no primeiro momento, porque eu preciso disso para entrar na minha máquina, eu preciso disso para fazer tudo. Então, se eu perder isso aqui, não precisa nem alguém pegar, se eu perder, eu vou me dar conta
(57:13) rapidamente que eu estou sem, porque vão inclusive outras coisas junto. E é algo que… aí tem que ter um backup. Ó, este aqui, por exemplo, é o número dois. Eu não sei se aparece direito para vocês aí, mas este aqui é o número dois. Por que o número два? Porque eu tenho o número um. Caso eu perca este aqui, ainda tenho o outro. Então, se eu perder um deles, eu tenho que ir em todas as contas que têm isso aqui cadastrado e descadastrar esse cara que eu perdi. Para alguém fazer esse ataque aqui, vai
(57:42) ter que, além de roubar isso aqui, vai ter que fazer… vai ter que desencapar ele, o que não é muy difícil, vai ter que abrir ele aqui sem danificar o chip, é claro, e aí começar a fazer todo o processo de medição e de hacking da brincadeira para descobrir chave por chave, uma vez para cada chave de cada serviço que eu tenho aqui, em tempo de eu não ter bloqueado antes. Então, quem é que vai se interessar em fazer isso com a minha YubiKey? Entende? Com a YubiKey do Vinícius. Talvez valha a pena se o
(58:23) Biden, que é presidente dos Estados Unidos, tiver uma YubiKey dessa, e alguém consiga… a gente perde. Uma coisa mais de espionagem. Isso aí pode ser que valha a pena o investimento de tentar quebrar isso aqui super rápido. Mas você… o pessoal не sabe, Vinícius, mas a Brown Pipe tem expertise também em microeletrônica e tal. Você, com teus equipamentos, conseguiria fazer isso? Eu não, não, eu não me meto a fazer esse tipo de coisa. Mas eu tenho aqui do lado… eu vou organizar, que cada vez que eu uso isso aqui eu bagunço esse negócio todo, mas eu vou
(58:56) organizar para mostrar uma hora para vocês. Eu tenho uma bancada de eletrônica aqui do meu lado, com osciloscópio, com o que vocês imaginarem de tralha aqui eu tenho. E é bem interessante, eu gosto de brincar com isso, é um hobby que eu tenho, que eu acho bem legal. E não, eu não tenho nada com precisão suficiente para conseguir abrir um negócio desses e fazer o tapping direto nos terminaizinhos lá que eu precisaria. É uma coisa muito delicada fazer isso aqui. Eu, certamente, ao tentar tirar a capa, eu já ia arrebentar. Eu não tenho essa habilidade para tudo isso. Mas é algo delicado. Talvez com o tempo, como a gente sempre fala, é um ataque difícil de fazer. Você teria que ter um laboratório bem preparado, alguns técnicos e equipamentos. Mas aquela velha história: aparece uma nova técnica de ataque, ela é difícil de se
(1:00:01) fazer, até que alguém, de alguma forma, automatize, crie equipamento, automatize via software, automatize via equipamento o ataque, de tal maneira que tu não precisa ser o Jô, não precisa ter a habilidade. Você quer abrir uma fechadura, tem gente que abre com clips. Tem gente que não sabe abrir com clips e aí compra um kit de gazuas. É o nome certo para chave micha. Um kit de gazuas. Mesmo assim, tem que ter alguma habilidade. Mas tu não quer ter habilidade, tu tens equipamentos que fazem a abertura automática.
(1:00:35) Ou seja, automatizou o processo a tal ponto que o atacante não precisa mais ter aquela expertise toda, ou aquela habilidade toda. Não sei se vai acontecer com isso, mas na história das vulnerabilidades, aquilo que vale a pena ser automatizado… hoje sai um negócio que ninguém sabe fazer, em dois toques tem uma ferramenta que o cara clica e faz. Então, automatiza o processo. Pode acontecer com isso aqui. Agora, é uma vulnerabilidade, é algo sério.
(1:01:10) Mas quem já tem… isso aqui atinge todos os que têm firmware abaixo do 5.7. Então tem um firmwarezinho vinculado a essas YubiKeys. Quem tem 5.6 para baixo está na brincadeira. Mas eu, assim, não sendo o presidente dos Estados Unidos, alguma figura que seja alvo de um outro estado que tem poder para fazer esse tipo de ataque, que tem que ir rápido e que teria condições, eu не me preocuparia ainda. Porque realmente é bem restrito. Então tem que roubar a chave, tem que…
(1:01:51) precisa de tempo, de recurso, que não é qualquer adversário que tem. Então, provavelmente, estaria ainda mais protegido com ele do que com um simples usuário e senha. Sim. Mas com um gerador de códigos. Porque essa é uma coisa que a gente não se dá conta. Eu já vi muitas pessoas… a gente sabe. Eu, quando pego um celular ou compro um celular, a primeira coisa que eu faço é bloquear todas aquelas notificações que ficam aparecendo quando o telefone está bloqueado. Sim. Porque, virtualmente, se você quer invadir a conta
(1:02:27) do cara, você está na mesma mesa que ele, com o telefone, computador, tenta recuperar a senha, vai o código por SMS, aparece na tela com o telefone bloqueado. Sim. Compreende? Sim. E levando em consideração todas as técnicas, a bandidagem está muito sofisticada hoje, porque eles conseguem fazer várias coisas com os telefones celulares. Então tem várias técnicas que eles conseguem fazer mesmo com os telefones bloqueados, ou às vezes te roubam, furtam um telefone e pedem para desbloqueá-lo. Então você, ainda assim, com este equipamento, você estaria mais protegido
(1:03:04) do que um simples gerador de OTPs no celular. Perfeito. Vamos para a próxima. Você quer falar sobre a Volkswagen? Você tinha a Volkswagen ainda, eu preparando ali. Fala rapidinho. Eu vou juntar essas duas. É, eu vou juntar essas duas aqui, que as duas são de IA. Pode ser. A mais simples, e as duas são simples. É mais notícias rápidas aqui. Uma é do EV Report. Deixa eu mostrar aqui para vocês. A Volkswagen… seria Electric Vehicle, talvez. Volkswagen introduces ChatGPT to vehicles. Sim, claro, era o
(1:03:50) que faltava. Faltava isso, ChatGPT nos carros. Sim. A Volkswagen… primeiro, para quê? Qual é o objetivo aqui? Qual é o objetivo, Guilherme, adivinha, qual é o objetivo de botar o ChatGPT no carro? É tu poder dirigir tendo uma experiência mais natural, mais conversacional com seu carro, para saber sobre pontos de interesse, sabe, lugares para ir, lugar para comer, posto de combustível, roteiro para não sei quê, rotas. Então tu pode: “Eu quero um restaurante de comida japonesa mais próximo da minha localização”. A gente faz isso o tempo inteiro. Claro. É que tu não tem… eu nunca fiz isso.
(1:04:34) Já pensou tu entrar no carro junto com outras pessoas, não precisar conversar com as outras pessoas e poder conversar com o ChatGPT? Muito mais agradável. Mas aí eles fizeram isso, eles falaram que os dados das tuas conversações não são armazenados. Eles são apagados tão logo acontece o processamento. E o ChatGPT não tem ninguna interação com sistemas do carro, nem para a coleta de informação sobre o carro, nem para nenhum tipo de atuação. Bom, menos mal. Menos mal. Vai que alguém no carro diga “Pare agora!”, sei lá, numa situação meio
(1:05:22) complicada. Então, isso não estaria acontecendo. A Volkswagen diz que os dados são armazenados pelo estrito tempo necessário para fazer o processamento e te dar uma resposta, depois são imediatamente apagados. E, ao mesmo tempo, o ChatGPT não tem nenhum tipo de interação com o carro. Mas, entretanto, contudo, eu lembro a vocês do hack da Cherokee de anos atrás. Temos um episódio… tu consegue catar o episódio? Eu vou procurar aqui. Espera aí. Um carro foi, uma Cherokee, um Jeep Cherokee foi invadido remotamente pelo sistema de telefonia celular. E o atacante, ou
(1:06:07) seja, o cara que demonstrou o ataque, ele teve acesso a todos os sistemas do carro. Episódio… ah, me dá o link aí, Guilherme. O link, tu me mandou o nome. Episódio 81. É aqui, ó, “Cherokee Remote Control”. Aqui a gente já estava… os primeiros episódios não tinham capa, e depois a gente entrou numa pilha de colocar umas capas antigas. É verdade, a gente tem várias fases dessas capas aqui. Tem, tem várias fases aqui. Mas eu gosto dessa fase antiga. É um Ford que está ali, mas é uma Cherokee.
(1:06:42) Então, é muito interessante. Episódio 81, gravado em 2015, quase 10 anos atrás. E nesse episódio, a gente justamente fala… foi o repórter da Wired. Ele, inclusive, entrou num carro, entrou num Jeep Cherokee que foi desligado remotamente numa highway americana. Então é muito interessante a matéria. A gente tem ali… eu não sei se vai dar tempo, vou ser honesto, a gente estava fazendo 10 anos de Segurança Legal, mas está ficando cada vez mais complexa a nossa produção, tem o vídeo agora e tal. Sim. Mas
(1:07:20) até o vídeo não sou eu que faço. Mas, ainda assim, tem ficado mais complexo. Mas só as notícias, o resumo de notícias aqui, na época com a Soline. Ah, é verdade, as notícias. O vazamento de dados do caso do Ashley Madison, lembra? Lembro, um site de encontros. Lembrando que tinha os e-mails .gov, .com.
(1:07:54) br que vazaram, que estavam lá nesse vazamento, pessoal usando e-mail funcional. Então, o site “Tudo Sobre Todos” que ficou no ar um tempo, lançamento do Windows 10, olha aí. Remoção e bloqueio do site “Tudo Sobre Todos” criados no exterior. Remoção e bloqueio. Me parece que pelo link ali teria sido feito um bloqueio também judicial. Tu tem outra, Vinícius? Outra notícia? Sim, sim. Só deixa eu mostrar, só me chamou a atenção. Legal isso aqui. É só no passado. Está aqui, ó. Aqui está a matéria da Wired, o link está funcionando ainda, que às vezes as coisas mais antigas acabam sumindo. Legal. O cara derrubou o
(1:08:34) carro. É, o cara desligou o freio. É muito legal esse vídeo. Tira esse negócio da frente ali. Eu tiro, mas daí eu não consigo mostrar para vocês. Deixa eu desativar o JavaScript aqui, vamos ver se eu carrego de novo. Aí não vai carregar o vídeo. Mas, você acesse lá e procure o vídeo no YouTube, dá para ver o vídeo no YouTube. É só procurar no YouTube, você vai encontrar. Então, esse lance de “fiquem tranquilos, não se comunica com o sistema do carro”… Lembra do avião da Boeing, que o cara conseguiu, via o
(1:09:09) sistema de entretenimento… o cara foi preso, inclusive. O cara, com telefone, via o sistema de entretenimento do avião, conseguiu assumir o controle do thrust das turbinas, da potência das turbinas. E ele mexeu nisso, e o cara foi preso. Mas o avião não caiu, não aconteceu nada. Não, não caiu, mas o cara foi preso por ter feito isso. Mas entende, “o sistema não se comunica”, “a rede de entretenimento não se comunica com os controles do avião”.
(1slice: 9:42) Os carros são cada vez mais complexos e tem que tomar muito cuidado com isso aqui. Mas essa é a notícia da Volkswagen, quem quiser ver mais detalhes depois, está lá. E minha outra notícia, Guilherme, é: você lembra do Ilya Sutskever? Não, não lembro desse nome. Deveria me lembrar? Deveria. Porque o Ilya foi um dos caras que saltou fora da OpenAI, foi um dos caras que ajudou a fundar a OpenAI. E ele fazia parte do time de Superalignment da OpenAI. Lembrando que Superalignment é aquele lance de
(1:10:17) garantir que a IA sendo desenvolvida não cause nenhum tipo de mal aos seres humanos, inclusive nos exterminar. E aí deu aquela confusão toda lá e ele caiu fora da OpenAI e fundou a Safe Superintelligence. A SSI, três meses atrás. Não gostei do nome, mas tudo bem. Mas beleza. Eles не têm nenhum produto ainda. Eu não vou mostrar a notícia ainda, só para te fazer pensar. Tu sabe quanto vale, quanto eles conseguiram levantar de investimento? Ah, 2 bilhões. Quase! Tu quase… não, tu dobrou. Pô, eu detesto quando alguém faz isso, quando “não, tu consegue adivinhar?” e o cara chutou um valor lá em cima. 1 bilhão. É porque, em geral, sabe? É tipo: “quantos anos tu acha que eu tenho?”. É sempre um negócio que vai… “ah, eu prefiro não dizer”. Desculpa. 1 bilhão de dólares os caras levantaram. A Microsoft meteu 12 ou 13 no início, se não estou enganado, foi 13 na OpenAI. Nem é tanto. Tem a outra lá na França que conseguiu 7 bi, uma coisa assim. Mas eles estão com 1 bilhão, e o valor de mercado deles, da empresa, é de 5
(1:11:42) bilhões já. Mas foi recém-lançada. E a empresa tem 3 meses. Então o pessoal fala, a gente já ouviu falar mais de uma vez, da questão da bolha da Inteligência Artificial. A Nvidia andou perdendo um poco de valor, mas não por causa de bolha, foi justamente porque os Estados Unidos… A Nvidia é uma empresa americana e ela fabrica os chips, como quase tudo que é chip, lá em Taiwan. E o mercado chinês é um mercado bem grande para ela, e o governo americano cortou o mercado
(1:12:28) chinês da Nvidia, em tese. Em tese. E isso derrubou um pouco, não muito, mas um pouco o valor de mercado da Nvidia. Então, ali está a brincadeira entre esses dois. Mas por que eu comentei mesmo isso da Nvidia agora? Eu mudei de… Porque eles são muito jovens, levantaram 1 bilhão. E a questão da bolha… não sei porque tu trouxe. Eu falei da questão da bolha por causa da tal da bolha da IA. Então, só para dizer que sim, reduziu um pouco o valor de mercado da Nvidia, que estourou e virou a empresa que superou a Microsoft, virou a empresa com capital
(1semitone:13:09) aberto mais valiosa do mundo. E aí deu uma reduzida e o pessoal: “Ah, é a bolha, é a bolha”. Na verdade, foi o governo americano que meio que tirou o mercado chinês do alcance da Nvidia. E esses caras aqui são mais um exemplo: 3 meses de empresa, 1 bilhão de capital que eles conseguiram com investidores e 5 bilhões de valor estimado no mercado. E eles não têm nenhum produto ainda. Eles não têm nenhum produto ainda. Eles têm… o foco deles, aqui tem uma foto dele, o Ilya junto com o Sam Altman,
(1:13:53) que é o cara que continua lá na… continua sendo o CEO da OpenAI. O Sam Altman está meio nem aí para essa questão de segurança. Ele quer acelerar, quer tocar ficha no desenvolvimento. Claro. E o Ilya… Chega um momento de dinheiro que o cara começa a abandonar as corrupções morais. É o Google com “Don’t be evil”, que tinha lá nos termos de uso. Depois eles tiraram. E aí está lá o Sam Altman, que continua sendo
(1:14:25) o CEO da OpenAI e que, ao contrário do Ilya, em tese, ele quer acelerar o desenvolvimento para chegar logo numa… na AGI, que é a Artificial General Intelligence. Não, не vem com isso aí. É porque vai vir, e a gente vai ver. É pouco tempo, segundo as previsões. Nós estamos falando de 2029, 2030. Eu não acredito. Podem me cobrar aqui. Eu acredito. E o Ilya, ele vai numa outra vibe, que é o seguinte: segurança primeiro, o Safety First. Não, e o que eu ia dizer: ele, sim, talvez tenha um nicho aí, e cada vez vai ser mais importante. Então,
(1:15:12) desenvolvedores vão, eventualmente, poder usar o que quer que ele venha a criar para trazer algum tipo de… sei lá, se audita o modelo, se tu usa alguma API, alguma coisa ou algum software para tu treinar de forma segura, outros controles. E acho que a gente já pode ir entrando no X, bem rapidinho. Deixou todo mundo aguardando aqui. Mas só te dizer, isso aqui é algo que eu не domino, não é um assunto que eu domino. E essa questão de segurança de modelos… seria muito legal a gente
(1semitone:15:49) conseguir, até se alguém tiver uma boa indicação para nós, seria muito legal pegar alguém que realmente entenda desse funcionamento da segurança desses modelos. Porque a gente tem essa experiência de uso e alguma noção de como funciona. Eu tive lá no meu mestrado, mas redes neurais… não sei o que é. Redes neurais… não, mas não é assim. O processo é bem delicado. É o fundamento, mas o processo é bem delicado de garantir a segurança. Então, talvez seja uma hora interessante a gente se focar, fazer um episódio só sobre segurança dentro da IA. Mas
(1:16:26) enfim. Qual é a tua, Guilherme? Não, agora é o X. Acho que… você que ficou conosco até aquí, esse assunto está ainda bombando. Hoje aqui no Brasil, claro, a gente está em período de eleição, e aí os jornais, enfim, a chapa esquenta. E estão com um foco muito forte na eleição de São Paulo pela atipicidade das questões que têm acontecido lá. Sim. Mas o tema do Elon Musk ainda permanece. Então, teve toda… a gente gravou… estava gravando na semana passada, e aí a gente terminou de gravar, teve uma alteração, veio a ordem, a gente falou
(1:17:12) sobre a ordem, criticou a questão da VPN. Sim, porque ele bloqueia a VPN. E depois daquela, não só o bloqueio, a remoção dos aplicativos de VPN das lojas, dos aplicativos, enfim. E aí, algumas coisas aconteceram… Deixa eu contar uma coisa dos bastidores. Conte. A gente terminou de gravar, a gente estava conversando, tu já se organizando aí para editar o episódio, publicar. Aí tu: “cara, acabou de sair a decisão do… a petição aquí do bloqueio”. A gente pegou, abriu, leu e: “vamos ter que voltar, porque vamos ter que gravar
(1semitone:17:53) mais um pedaço aqui”. Aí a gente botou tudo de volta e gravamos mais um pedaço, fizemos os comentários que a gente fez, analisamos ali o desbloqueio, discordamos de algumas coisas e tal. Aí terminamos de gravar, tu se ajeitou lá para fazer tuas coisas e acho que tu foi jantar, uma coisa assim. Acho que eu estava cozinhando, abri um vinho. É, o Guilherme já estava se preparando para terminar a semana. Eu não vou dizer o palavrão que tu usou, mas o Guilherme falou assim:
(1:18:28) “ele suspendeu a suspensão”. E a gente já tinha gravado, já tinha feito um extra. Aí ele suspendeu a suspensão. “Ah, não quero nem saber, eu vou… já estou jantando aqui, não vou mais… não vou ficar indo e voltando com esse negócio. O Brasil é muito difícil, é muito difícil escrever o Brasil”. Mas segue aí. Aí ficou assim: “bom, a gente se explica no próximo episódio”. E era isso. Vai lá, toca ficha agora. Bom, então a Starlink… foram contra a Starlink. O Supremo vai contra a Starlink com bloqueio de valores, alegando a questão do grupo econômico de fato, grupo econômico e desconsideração da
(1:19:11) personalidade jurídica. Eu comentei aqui no episódio que o conceito de grupo econômico de fato не é algo estranho para o direito. Na Lei das S.A.s tem, enfim, tem alguns. Eu fiz uma pesquisinha rápida lá, encontrei. Então, não é também minha área essa área do direito. Mas, enfim, tem. E aí, a… aí isso que é novo. A Starlink disse que não ia cumprir a ordem. “Ah, eles não são do mesmo grupo econômico, Guilherme?”. Pois é. E aí veio… mas eles entraram… a própria imprensa se deu conta disso. “Não, mas peraí. Se eles não são do grupo econômico, por que que eles deixariam de cumprir?”. São um provedor, têm
(1semitone:19:50) nada a ver. Geralmente os provedores não se opõem. E essa é uma coisa, gente: ordens judiciais para bloqueio de conteúdos, não, mas de sites, de serviços, melhor dizendo, acho que seria o termo correto na internet, é diário. Diário. Isso acontece o tempo todo. Claro, com as mais variadas… com os mais variados fundamentos. E, depois a Starlink, depois disso tudo, provavelmente teve alguna negociação ali, a Starlink cedeu e disse que vai cumprir a ordem. Depois disso,
(1:20:29) hackers, crackers na verdade, a gente já perdeu essa batalha, não adianta nem falar, é hacker. Então, criminosos digitais, melhor, atacaram via DDoS os sites, e acho que alguns serviços também pelo que vi, do STF, da Polícia Federal e da Anatel, em meio à suspensão. Numa clara demonstração de ciberativismo. É comum. É bem comum, já vimos isso acontecer em vários outros casos. Mas que poderia reforçar certas movimentações, certas indicações de que você teria grupos
(1:21:13) organizados por trás de ataques. E aí, logo depois, o STF e a Anatel montaram forças-tarefas para lidar com isso. Veja, foram ataques de DDoS. Basicamente é você, com uma multiplicidade de acessos ao mesmo tempo, impedir que o site consiga responder. Mas isso não envolve vazamentos, não envolve acesso a dados, pelo menos. Só tira do ar. Tira do ar, é o famoso “tira do ar”. E aí a PF, a Polícia Federal, passa a investigar esses ataques por possibilidade de até haver crimes nesse sentido.
(1:22:02) E a última notícia aqui, essa, Vinícius, é de agora, vai o link aí agorinha. Não, ela не é de agora, acho que de hoje de manhã, ontem de noite. Teve um cara super importante, o nome dele é engraçado, é Nick Pickles. O chefe de assuntos globais da rede social… Está fazendo bullying com o cara. Nick Pickles, que estaria relacionado com a parte mais de lobby lá do X, anunciou na quinta-feira sua saída da empresa. O executivo era o porta-voz da companhia em disputas com autoridades ao redor do mundo, incluindo o Brasil.
(1:22:47) E aí ele, aqui nomeado para o cargo, atuava como braço direito da presidente executiva Linda Yaccarino em temas ligados a governos. Ele disse que está em busca de novos desafios e tudo mais. Inclusive disse aqui que tomou a decisão de sair da companhia alguns meses atrás, ou seja, nada tem a ver com o que está acontecendo. Aquele famoso “não tem nada a ver com o que está acontecendo”. Então, aconteceu isso. Eu estaba lendo hoje aqui, até dei uma olhadinha, eu quero
(1:23:24) ver agora, depois que eu terminar aqui, eu vou ler com mais… Está fora de foco, Guilherme. Põe no lado do teu rosto o livro, aí, que não está forte o foco. Tira o foco… tu está com desfocado. Nossa inteligência artificial às vezes… ali, ó. Isso aí, agora sim, agora dá para ver. É do Gilberto Haddad Jabur, “Liberdade de Pensamento e Direito à Vida Privada”. Esse cara que é fera. Fala mais devagar para quem está ouvindo, repete o nome do livro devagar para quem está ouvindo e não está vendo. “Liberdade de Pensamento e Direito à Vida
(1:23:54) Privada: Conflitos entre Direitos da Personalidade”, de Gilberto Haddad Jabur. É um cara super bom nessa área de direitos da personalidade, um professor. E tem uma parte ali, porque a gente tem falado muito de censura, como se atos judiciais pudessem ser assim classificados. Claro, ninguém discute que você pode discutir o acerto da decisão judicial em bloquear ou não o conteúdo, isso não está fora de debate. Agora, o que me parece é que a gente chama de censura coisas que não são censura.
(1:24:35) Aqui, ó: “Não se trata de censura, quanto menos de fiscalização”. “Não é censura porque não há intervenção de um poder designado pelo Executivo para depurar ou filtrar o que, ao seu exclusivo talante, se revela inapto à publicação, diversamente da sujeição do conteúdo a um julgador”. Então ele coloca aqui o papel do Poder Judiciário nesse controle de conteúdo de maneira geral. Ainda coloca: “O termo censura, no sentido político que seu emprego assume, é o processo de submissão prévia e obrigatória da palavra, do gesto, sinais
(1semitone:25:11) e símbolos a um ente, órgão ou censor que, de conformidade com critérios morais e políticos, procederá a um exame crítico”. Então, a censura é quando você precisa, antecipadamente, num regime, submeter as coisas para que assim fossem aprovadas ou não, como acontecia durante o regime militar, onde você tinha censores nas redações dos jornais, que ficavam lá “isso aqui vai, isso aqui não vai”. Com música também. Apenas para fechar aquí, me parece que nesse âmbito do estudo do que é censura mesmo, ela
(1:25:43) se dá quando o Poder Executivo assim a realiza, e não quando ela se dá por meio de decisões judiciais. Repito, o que não significa que decisões judiciais não possam estar erradas. E essa é a grande discussão jurídica que nós temos hoje. E eu digo isso também porque a gente viu, tem notícias aí, que o Musk aceitou bloquear contas do X na Turquia e na Índia a pedido do Poder Executivo. E aí é uma diferença muito interessante, no sentido de, ou uma constatação interessante de que talvez o discurso de prócer da liberdade da expressão que ele traz não esteja
(1:26:22) alinhado com as práticas dele em outros países. Eu acho que você tem acompanhado mais o cenário internacional, também tem algo a nos dizer nesse sentido. Cara, é, eu tenho visto, inclusive matérias que eu citei no episódio passado, e eu tenho acompanhado o que tem saído no The Washington Post, The Guardian, New York Times… qual foram os… não vou lembrar de todos eles aqui, mas mais uns dois ou três, mais uns três veículos de mídia, além de podcast. Acabou
(1semitone:26:59) de sair, eu vi hoje, saiu hoje, e eu ouvi antes da gente gravar. Hoje de manhã eu ouvi, saiu o “The Hard Fork”, que é um podcast, assim, quem curte tecnologia é muito interessante. Claro, é um podcast em inglês, mas é muy bom. Não é melhor do que o Segurança Legal. O Segurança Legal é melhor. Claro, claro. Mas é um bom podcast. E eles gravaram justamente sobre o bloqueio do X também. Então, tem vários lugares assim que eu estou vendo matéria sobre esse
(1:27:31) bloqueio no Brasil. E, cara, todos eles, assim, ó, ninguém compra a conversa. Ninguém. Não adianta, “ah, de esquerda, de direita…”. Ninguém compra o papo de liberdade de expressão dele. E todo mundo fala dos casos que ele tirou gente que estava falando… tem um áudio dele, tem um vídeo dele falando que liberdade de expressão é tu tolerar alguém falar alguma coisa que tu не gosta ou não concorda. Assim que ele pegou o X, ele botou para fora do X gente falando mal dele. Ele não aguentou uma entrevista com o cara que ele mesmo contratou. Eu comentei
(1semitone:28:07) isso no episódio passado. Que ele mesmo contratou, não aguentou o cara falando coisas que ele não gostava na cara dele. Então, assim, ó, ninguém compra esse papinho de que esse cara está tentando defender a liberdade de expressão. E ele dá prova disso, não precisa acreditar em mim nem no Guilherme, é só catar o que ele anda fazendo por aí em outros países, como o Guilherme citou. Tem um monte de informação sobre isso. Então, nenhum desses meios que eu falei para vocês que eu li, nenhum compra essa brincadeira. Inclusive, o pessoal cita
(1:28:37) que existe uma tensão entre governos e redes sociais mundo afora. Nos Estados Unidos, nem tanto. Eles colocam isso… TikTok, né? Mas claro que o TikTok é estrangeiro, é chinês. O TikTok pode sair do ar nos Estados Unidos se não for vendido por uma empresa americana em alguns meses. Não lembro qual é o mês que fecha o prazo, mas não falta muito. E isso não ficou definido por uma ordem judicial, isso é o Poder Executivo. Ah, eu não lembro quem… acho que sim, foi o Biden, foi a administração Biden que
(1semitone:29:09) definiu isso aí. Então, assim, ou vende para uma empresa americana ou não vai ter TikTok nos Estados Unidos. E falta alguns meses para esse negócio se concretizar. Mas eles não estão muito preocupados com os outros. Mas todo mundo comenta que, na Europa, a coisa está esquentando com relação às redes sociais e vai acabar havendo bloqueio se houver descumprimento, eventualmente. O Brasil é a primeira democracia a bloquear uma rede social. O pessoal comenta, fala sobre isso. E, ao mesmo tempo, trazem…
(1:29:41) eles não chegam a dizer abertamente que está errado a questão de se Alexandre de Moraes… aquela história toda que a gente vê na discussão política aqui. A gente está concentrado nele. Eu mesmo disse na sexta-feira, no episódio passado, eu disse que isso pode não estar errado, pode não ser ilegal, mas está chato. Mas, enfim. Eu estava catando, inclusive, eu não sei se tens o vídeo à mão daquele cara falando que tu me passou, Guilherme. Como é que é? O amigo do Doneda lá, que ele explica muito bem. Tu
(1semitone:30:17) consegue achar o vídeo aí para a gente compartilhar com o pessoal? Que ele explica muy bem esse processo todo e por que é legal e está tudo certo. Entende? Mas o que eu vejo é o pessoal levantar essa questão de que existe, eles reportam que existe uma discussão sobre uma concentração de poder na mão de um ministro do STF. Aí, a gente… eu discordo da… acho que a questão do grupo econômico do SpaceX… acho que a SpaceX deu prova de que é o mesmo grupo quando disse que не ia bloquear o X, e acho que se deram conta disso e correram atrás: “não, nós vamos bloquear o X”. Tipo,
(1:30:56) não tem nada a ver com eles. Mas a coisa é bem simples. O Elon Musk é dono do Twitter. O Twitter é o brinquedo dele. A SpaceX… não, a Starlink, ele tem, acho que, 40% da Starlink. Então ele tem outros acionistas. Então não é bem assim, sacanear ele, esculhambar com a Starlink e os outros acionistas ficarem quietos. O Twitter, que ele destrua. Mas a Starlink não é bem assim. Então, talvez por isso também a empresa tenha voltado atrás. E a segunda coisa, então, tem esse lance. O grupo econômico, acho que sim, eles deram prova disso. Mas eu
(1:31:38) discordei daquela questão da VPN. Acho que isso, até agora, está muito mal explicado. Entende? A gente vê o pessoal passando meio que por cima disso como se não fosse nada e me incomodou. Eu comentei contigo antes, Guilherme. Eu vejo vários canais de notícias no YouTube, canais que eu gosto, e coisas que eu ouço, podcasts que eu escuto, e o pessoal passa por cima da VPN e diz uma porcaria qualquer e segue adiante a vida, sabe? Não explica exatamente o que é. Eu não sei se é o caso de explicar aqui, Guilherme, rapidamente. Rapidinho, porque já estamos com 1h32. Talvez os
(1:32:15) nossos ouvintes que são da área de TI, ou que têm alguma proximidade com a área, vão dizer: “ah, isso eu já sei”. Não, beleza, tranquilo. Mas você, que é nosso ouvinte e que não fica vendo esse monte de coisa por aí, a essência é a seguinte: todo software que tem no teu celular ou no teu computador que vai buscar alguma coisa na rede, ele vai estabelecer uma conexão com o servidor de onde estão as informações que ele tem que buscar. E essa conexão é, na verdade, um monte de pacotes de informação, literalmente pacotinhos de informação que vão ser levados
(1:32:52) pelo teu link de dados, teu Wi-Fi, vai ali para a tua fibra do teu provedor, ou se tiver Starlink, vai pelo satélite. Mas esses pacotinhos vão ser transmitidos pela rede, passando por infraestrutura do teu próprio provedor, passando por um monte de infraestrutura de terceiros que o teu provedor contrata e que têm outros que fazem infraestrutura de internet. Como se fossem as estradas. Imagina que você tem um monte de concessionária pelo caminho para te chegar até onde
(1:33:20) tu quer chegar. Essa é a rota, é o caminho que faz. Literalmente, você pensar numa viagem que você vai fazer de carro, é a mesma coisa. E as estradas têm concessão, têm empresas de estados diferentes que são responsáveis por manter essas estradas funcionando, que são esses links no meio do caminho. VPN é um recurso que você usa para cifrar o teu tráfego. Ou seja, tu encripta o teu tráfego de tal maneira que, entre o teu telefone ou o teu computador, que é onde inicia a VPN, e o lugar até onde você fechou essa conexão de VPN, essa
(1:34:01) comunicação entre esses dois pontos, ela fica completamente cifrada. Ninguém no meio do caminho consegue ver o que tu está fazendo. Então, se tu usar uma VPN conectada num servidor, por exemplo, na Suíça, teu dado vai passar cifrado por toda essa infraestrutura aqui do Brasil, vai chegar lá na Suíça, num servidor de VPN onde tu conectou, ele vai descifrar os teus pacotinhos, vai jogar na internet de novo os teus pacotinhos sem estarem cifrados, e aí os teus pacotinhos vão fazer o caminho até o servidor de destino. Certo? Então,
(1:34:37) essencialmente, ele vai esconder a tua passagem por alguns trechos da estrada na internet. E é por isso que isso fura… Eu lembro que eu comentei na sexta-feira, duas formas essenciais, tinha uma terceira que eu coloquei que é tirar o aplicativo da loja, e foi isso mesmo que fizeram. Mas duas essenciais, que é esculhambar a resolução de nome. Então, quando você coloca x.
(1:35:01) com, isso tem que virar um endereço IP para poder fazer o acesso. Então, uma dessas formas de bloquear é tirar essa resolução de endereço. Só que você pode usar outro DNS qualquer fora do Brasil e aí continua funcionando essa resolução. E a outra maneira é esculhambar a rota, ou seja, fechar a estrada. Só que, se fechar a estrada, é seletivo: fecha a estrada se você estiver indo para o X, para os servidores do X. Quando você usa VPN, não tem como no meio do caminho alguém identificar que você está indo para o x.com. Essa informação está cifrada. Então,
(1semitone:35:35) você passa, не tem como ninguém filtrar isso. E aí você consegue fazer o acesso. Por que a gente foi contra o bloqueio? Tem uma outra coisa, você usa VPNs para as mais variadas… Isso, mas o que você falou… Exato. Assim, por que a gente se posicionou dizendo: “Olha, isso aqui é um exagero, tirar aplicativo de VPN da internet, das lojas”? Por que é um exagero? Duas coisas: tu tira da loja, mas tu não tira do computador. Sim. Então vai ter que bloquear o acesso aos sites de aplicativos de VPN lá. Como é
(1semitone:36:12) que? Não. Tu tem suítes de segurança como a Kaspersky que tem uma VPN embutida. Aí tu vai tirar a Kaspersky do ar também? Sim, tira o antivírus do ar. Qualquer coisa que tem VPN tu vai tirar. Os americanos quiseram, os americanos tiraram a Kaspersky. Tiraram. Mas tem várias outras aplicações de VPN. Então isso não é viável. E o segundo é o seguinte: tu não usa VPN só para acessar o X. Eu não tinha nenhum aplicativo instalado no celular, para a gente ter uma ideia, quando foi bloqueado. Eu instalei ele para começar a acompanhar, ver quando é que iam bloquear.
(1semitone:36:44) “Ah, bloquearam, não bloquearam”. Queria ver se o bloqueio ia sair mesmo. E chegou meia-noite e foi bloqueado. Mas VPN, gente, a gente usa, como eu coloquei na feira, para você poder acessar… claro, para trabalhar. Ou seja, eu preciso acessar a infraestrutura de um cliente meu, da tua empresa. Ou eu trabalho na minha empresa e preciso acessar… Bom, nós mesmos da Brown Pipe, a gente usa VPN para tudo. Eu não quero trafegar uma informação sensível. Tem coisas importantes ali e eu não quero trafegar
(1semitone:37:18) com essa informação sem proteção nenhuma na internet. Então o que eu faço? Eu estabeleço uma VPN, esse canal cifrado entre dois pontos que eu controlo, e a minha informação passa cifrada ali. Se eu tirar o aplicativo da loja, eu vou perder a funcionalidade de VPN no meu celular. Então, assim, não é equivalente. Claro que o impacto не é tão grande, óbvio. Mas tu tirar aplicativo de VPN da loja é como tu dizer assim: “Olha, para não acessarem o X, eu vou bloquear a internet”, que seria uma coisa
(1semitone:37:51) muito pior, obviamente. E assim, ia causar um caos. Tem até um filme, tu me passou um tempo atrás, um filme sobre isso, que a pessoa fica sem internet e começam a se matar. Eu не duvido que isso acontecesse. É aquele da Netflix. O avião cai, os barcos encalham, aquela palhaçada toda. Então, eu esqueci o nome do filme. Mas aí, acho que teve o exagero ali. E o pessoal disse que foi suspenso esse negócio da VPN, e не foi. Teve aquela suspensão, aquela condicional lá que teve
(1:38:28) depois, que foi o que saiu depois. Não sei se quer falar… É o item dois inteiro. Para dar um tempo para o X lá atender as demandas da petição. Você sabe que nesse meio tempo ali, segunda ou terça-feira, os bloqueios ainda estavam acontecendo ou não? Ia e voltava. E aí eu abri o X, até sem querer, sabe aquela coisa? Ele fica ali nos aplicativos que você já abriu no Android. A partir do momento que clicou, ele carregou. E a primeira coisa que ele trouxe era um texto tipo oficial do X, assim, criticando… seria uma conta que o X teria
(1:39:10) aberto lá para criticar as decisões do Supremo, enfim. E, claro, está dentro da liberdade de expressão criticar e tal. Mas ele criticava as ordens secretas. “Tiraram tais e tais contas, então seriam ilegítimas”. Mas como é que o cara sabe se é ilegítima se a ordem, o que fundamentou a decisão, é secreto? Ele tem o pedido, o ofício para bloquear, mas ele não sabe a motivação. Ou, pelo menos, acho que не se sabe, porque é secreto. Então teria uma certa contradição ali. Mas a gente consegue ver que eles ainda estão promovendo. E esse é o ponto. Eu não acredito… foi um pouco o que
(1:39:50) aconteceu com o debate lá daquele PL, acho que foi o 2630, que o Google colocou na capa do Google lá uma mensagem dizendo que “este PL vai prejudicar você, vai retirar seus direitos” e tal. Ou seja, o buscador atuando como um produtor de conteúdo também. É a rede social que не somente organiza o conteúdo produzido por outros, ela começa a produzir conteúdo editorial colocado ali. E aí eu voltei, depois tentei abrir de novo, ainda estava funcionando. Demorou aqui para bloquear e ele voltou. Ou seja, toda vez
(1:40:32) que eu abri o Twitter nesse meio tempo, ele voltava sempre naquele post, entre aspas, oficial ali do X, naquele mesmo sentido. Então, as coisas ainda estão acontecendo. O mundo inteiro está de olho no Brasil. E nós vamos fechar, segunda-feira foi quando os bloqueios começaram, uma semana do bloqueio. Houve o crescimento assim, exponencial, de pessoas entrando no Blue Sky. Já falamos aqui, nossos usuários, nos sigam lá no Blue Sky. E o Jornal Nacional causou bastante furor ali, o fato do Jornal
(1:41:14) Nacional ter colocado o usuário deles lá também na abertura do jornal. Então as coisas estão acontecendo. E, claro, foi feita uma pesquisa essa semana também, meio que mostrou meio a meio. Metade dos brasileiros concorda, outra metade não concorda. Claro, isso tecnicamente não quer dizer muita coisa, porque é um tema… eu acho que um dos temas mais complexos. Não se trata de votação. Claro, direito não é votação. Exatamente, direito é uma coisa mais técnica. É, mas só para compartilhar aqui o que eu falei, ó, está
(1semitone:41:50) aqui o vídeo, é do UOL. A gente vai pôr o link lá nos notes. Em que o Carlos Affonso Souza comenta. É muito, muito interessante. Eu acho que tu já tinha… tu me passou esse vídeo. Eu estava ao vivo quando isso estava acontecendo, tu disse: “Vinícius, assiste isso aqui, volta lá no começo”. Aí eu fui assistir e, realmente, ele foi muy feliz na maneira de explicar, nas colocações dele. Ficou muito claro. Então, recomendo, nós recomendamos, o Guilherme recomendou e nós recomendamos que vocês assistam a essa
(1:42:24) participação do Carlos Affonso Souza no UOL News. Isso aqui foi transmitido ao vivo dia 13 de setembro. Não, não foi ontem, foi três dias atrás. O Carlos Affonso Souza, conhecido, os mais íntimos, apenas por CAF, Souza, era um cara muito… ele e o Danilo eram muito amigos. Um grande professor da FGV, pesquisador, uma referência na proteção de dados no Brasil também. É um dos juristas nessa área do digital, se é que essa área existe, como é que é… gabaritado.
(1:43:06) Gabaritado, como se diz. Um dos juristas mais importantes do país. Então quem conhece sabe que é um cara… e ele faz… eu até mandei uma mensagem lá no Blue Sky, ele está no Blue Sky também, elogiando. É uma análise serena, entendeu? Sim, você colocou os domínios. Tem vários domínios esse problema. Tem isso, aquilo. “Eu acho que isso é assim, não assado” e tal. Colocou, criticou quando teve que criticar. Mas é que a polarização é tão grande que você não consegue criticar, por exemplo, as ações do Elon Musk, que estão sendo criticadas no mundo inteiro, sem necessariamente…
(1semitone:43:44) ou seja, as pessoas acabam achando que quando você faz isso, você está endossando tudo que o STF faz e que seria absolutamente indiscutível. Não, não é o caso. Mas é inegável, como você falou, inclusive no âmbito internacional, que os países estão começando a ficar muy preocupados com o poder de influência, com o poder das redes sociais, que têm mais usuários do que a população… tem mais usuários que a população da Índia. A Índia tem 1.4 bilhão, e os caras têm mais usuários. E como os estados…
(1:44:20) hoje é o Brasil, amanhã pode ser o quê? É verdade. Vamos lá. Acho que deu. Café frio. Eu já estou quase sem voz aquí, Vinícius. Acho que foi nosso episódio mais longo dos últimos tempos. Não sei se é o mais longo, mas estamos quase em duas horas. Quase duas horas. Está acabando o espaço aqui no meu disco. Espaço em disco insuficiente. Ih, cara. Não, mentira, tem um disquinho novo aí. Café Expresso, Vinícius. O Café Expresso… eu estou meio sem… o Café Expresso vai para o Blue Sky, que eu estou gostando. Eu também. Eu estou gostando. Está sendo útil, está sendo uma rede social útil. Pelo menos,
(1semitone:45:06) por enquanto, não tão tóxica quanto… mas quando eu digo útil, estou querendo dizer não tóxica. Pelo menos não no que chega até mim. E o que chega para mim é útil. Vale a pena olhar. Para mim, especificamente, está valendo a pena ir dar uma olhada lá para ver o que tem de notícias, coisas mais recentes e tal. Então, eu estou curtindo bastante. Para mim, meu Café Expresso vai para o Blue Sky. Eu vou contigo, sigo o relator. Café Frio vai para o Musk de novo. Café Frio para o Musk. Vai para o Musk
(1:45:44) de novo. Vai ficar inventando história aí, deixa de incomodar. Quer lutar, quer realmente lutar por liberdade de expressão? Então faça isso pelos meios de adulto. Não faz por coisas infantis e vulgares, como chamou, acho que foi o New York Times. O poder… se ele quisesse resolver essa questão, viesse ao Brasil, conversasse com as autoridades, se reunisse com o ministro, pusesse uma banca de advogados top, uns cinco, seis
(1:46:21) caras melhores. É aquela questão: o X tem perdido um valor importantíssimo de mercado nos últimos tempos, не só por conta do Brasil, mas por conta de todas as suas… Tem perdido valor de mercado por causa das cacas que o Musk tem feito. Ele mandou os anunciantes se… aquilo. Ele mandou. Depois pediu desculpa. Sim, claro que é o Twitter, é o X. Agora vai mandar os teus clientes, que te dão grana, fazerem… cara, vai. É que isso é um… o
(1:47:03) Twitter é o brinquedo particular dele. A Tesla, ele tem outros sócios, então tem que vender carro na China mesmo, não pode atrapalhar os negócios na China. A SpaceX tem outros sócios. Tem um negócio sério para caramba ali. Os caras estão liderando essa coisa de mandar carga para o espaço. A Boeing vai trazer os caras um ano depois do que deveria trazer. Ficaram presos. É. Mas, enfim. E a SpaceX tem outros sócios. Ela tem no Brasil um mercado muy interessante, porque a gente tem áreas remotas que não são atendidas, não são cobertas
(1semitone:47:46) pelas empresas de telecomunicações que nós temos hoje. Então, a brincadeira é assim: ele tem um certo poder até o ponto em que ele começa a incomodar outros. E dizem que… eu estava lendo uma matéria do… deixa eu só ver aqui… ah, uma daquelas que tu levantou, Guilherme. Perdi o link aqui. Mas que o Musk, acho que é da Wired, acho que ele estaria inclusive meio que caindo na real. Que ele está se vendo numa
(1:48:26) sinuca de bico, se colocou num canto. E a gente até não falou sobre essa notícia aqui, Vinícius, mas é que ele começou a tweetar dias desses aí, o pessoal da Tesla começou a ter problemas com as coisas que ele andou dizendo. Exato. Claro. E aí a Suprema Corte americana rejeitou um recurso dele lá em relação ao regulador, os security regulators lá, que requereu que ele, quando fosse postar sobre a Tesla, deveria contar com uma moderação. Porque tem interesses de outros ali, não é
(1semitone:49:10) sozinho. Aí você tem eventuais manipulações do mercado. Security regulator seria manipulações do mercado, seja para ganhar mais dinheiro. Então, veja, isso está acontecendo nos Estados Unidos. Foi em abril, isso aqui é mais antigo. Mas, enfim, vamos lá. O café frio, então, eu dei para o Musk. Não sei se tu quer dar o café frio para ele também. Eu não queria dar para o Musk. Eu estou meio cansado dessa história. A gente não dá café para criança.
(1semitone:49:51) Não, não dá café para criança. Eu vou dar um café frio para… vou dar um café frio para a Volkswagen, que colocou o ChatGPT no… Está bom. Beleza, então. Não sei, porque eles не têm um bom histórico aí de lidar com essas questões mais digitais, com tecnologia. Os caras andaram fraudando teste de emissão de poluentes. É um negócio sério. Está beleza, então vamos lá. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui. Pode tirar
(1semitone:50:30) ali para terminar não com a imagem do Musk. Ah, é, desculpa, esqueci de novo. Então, agradecemos a todos aqueles e aquelas que nos acompanharam até aqui e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.