Episódio #349 – Café Segurança Legal

(00:07) [Música] Café Segurança Legal. [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 349, gravado em dois de outubro de 2023. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês um pouco do que ocorreu no último período. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes. Esse é o nosso momento tradicional de falar sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando às vezes um café de verdade, outras vezes apenas água. Então, pegue a sua bebida preferida e vem com a gente. Para entrar em contato​
(01:00) conosco e enviar suas críticas e sugestões é muito fácil: basta enviar uma mensagem para podcast@segurancalegal.com ou, se preferir, também pelo Twitter (ou X) @segurancalegal e também no Mastodon @segurancalegal@mastodon.social. Já pensou em apoiar o projeto Segurança Legal? Acesse o site picpay.me/segurancalegal ou apoia.se.​
(01:25) Escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram. Vinícius e ouvintes, estou com a voz ainda um pouco afetada por um resfriado, então perdoem-me a voz anasalada. E neste episódio, Vinícius e ouvintes, começamos falando um pouco mais sobre esse tema que tem dominado as rodas, as tertúlias, rodas de conversas: a inteligência artificial. E, na verdade, essa primeira notícia, Vinícius, eu já estou começando aqui.​
(02:05) Nem te perguntei se você queria que eu começasse. Toca a ficha, eu te atropelei, atropelou tudo aqui, mas, enfim, vai lá. Começou, começando. Então, a gente comentou no episódio passado um pouco sobre aquela questão dos materiais protegidos por direitos autorais que foram usados para treinar os modelos de LLM. Apenas para relembrar, a gente sabe, e isso já foi bastante investigado, inclusive pelos estudiosos da Inteligência Artificial, que uma das premissas para que esses modelos funcionem bem é que eles precisam ser treinados. Então, você tem uma​
(02:49) primeira etapa ali, claro, você monta o programa que vai receber aquelas informações com base no algoritmo, Vinícius, que a gente falou esses dias sobre aquelas diferenças. E então, esse algoritmo, esse programa, ele vai ser treinado com a maior quantidade de dados possível. E aí, nesse caso, quanto mais dados, melhor, porque daí ele vai ter mais acesso àquelas estruturas linguísticas que vão permitir que ele consiga, depois, por meio dos layers, montar as respostas às perguntas que são feitas, aos prompts que são submetidos a ele.​
(03:26) E aí, essa é uma grande questão, ou seja, o que que você vai utilizar para treinar esses modelos? E esse problema do treinamento vai envolver e vai ter intersecções ali, tanto na questão de proteção de dados pessoais, ou seja, você estará usando dados pessoais para treinar esses modelos, e também de direitos autorais de maneira geral. E aí, o que se descobriu, o pesquisador e jornalista Alex Reisner, ele teve acesso, isso a gente comentou no episódio passado, à tal lista chamada de “Books3”. E essa lista “Books3” é uma lista, um​
(04:13) conjunto de dados que está repleto de livros, livros dos mais variados autores. E aí, o que que aconteceu? Diversos autores, conhecedores dessa lista, inclusive o George R. R. Martin, lá do Game of Thrones, estão processando a OpenAI. E eles alegam que há uma violação sistemática de direitos autorais entre todos esses autores. O George Martin, que também, acho que era o nome do produtor dos Beatles, ele afirma que essa ferramenta gera resumos bastante precisos das suas obras. Em função disso, seria, segundo ele, a gente não teve acesso à ação, obviamente, aí só à​
(05:01) notícia, mas que seria uma evidência de que esse modelo utilizou as suas obras. Então, o objetivo, o pedido da ação, é impedir o uso desses livros, no caso dele, com um pedido de multa de 150 mil por cada obra. E aí, esse pesquisador, o Alex Reisner, que teve acesso ao “Books3”, ele disponibilizou uma ferramenta que permite que você faça pesquisas nesses livros que estão nessa lista. Só colocando uma questão: essa lista, esse “Books3”, é apenas uma das possíveis, sei lá, centenas de fontes, milhares de fontes, que todos os​
(05:48) mantenedores dessas ferramentas usaram para treinar os seus modelos. Isso aí vai variar de modelo para modelo, que muito provavelmente utilizaram fontes diferentes. O pessoal da OpenAI, sabe-se também que eles já utilizaram o Bard, também, que eles utilizam, inclusive, diálogos na internet, de fóruns, artigos da Wikipédia e tudo mais. E a grande questão é se nós não estaríamos, ou se essas ferramentas não estariam, contra a vontade dos autores dessas obras, incorporando nos modelos os seus estilos e as suas informações, o que seria uma​
(06:28) violação de direitos autorais. Aí, inclusive, eu e o professor Colombo, a gente escreveu recentemente um artigo justamente falando sobre isso. Então, fica o link ali para a ferramenta. Eu até acessei, dei uma pesquisada lá, pesquisei, achei coisas do Jorge Luis Borges, alguns brasileiros aqui, o João Cabral de Melo Neto e o João Gilberto Noll, esses dois últimos com obras traduzidas para o inglês. E também algumas coisas do Fernando Pessoa, também com obras traduzidas para o inglês e algumas obras em espanhol. E, Vinícius, o Google também lançou nessa​
(07:04) linha, e para terminar essa primeira notícia, um guia para controlar o uso do conteúdo. Como ele era, o guia para que os sites consigam controlar o acesso dos seus crawlers, dos seus robôs que ficam varrendo a internet. É para que os donos dos sites consigam, por meio do robots.txt, pedir o acesso desses robôs. Então, a ideia, eles deixaram documentos técnicos ali que vai estar também aqui no shownotes, e, para os entendidos nessa área, vão conseguir ver lá todos os modelos de bloqueio, as strings, inclusive​
(07:48) IPs para os bloqueios. Mas eu fiquei, Vinícius, até com uma certa dúvida se esses eventuais bloqueios não poderiam prejudicar a própria busca das páginas pelo Google. Ou seja, se você, se o bloqueio for mal feito, ou até se o Google, para bloquear os crawlers que alimentam as suas inteligências artificiais, isso acabe bloqueando também a pesquisa no Google. Você teria um efeito problemático aí para os donos do site, que ao tentar bloquear o crawler da IA, poderiam estar bloqueando também o crawler… Nesse caso aqui, eles já criaram uma situação separada. Uma​
(08:25) você viu ali? Sim, é uma configuração separada que eles criaram, na mesma linha do que a gente falou outra vez, que a OpenAI também fez, de vender uma opção lá para te colocar no robots.txt. E, claro, que é uma coisa que é a discrição da ferramenta. Ou seja, o Google está dizendo que se tu botar essas configurações no robots.txt, ele vai ignorar a tua página para treinar IA. E também dá para tu colocar para ignorar, inclusive para indexar também, que é o tradicional. Se quiser, e a OpenAI também. Só que, claro, você tem que confiar que eles vão fazer isso. E creio que eles vão fazer isso, não tem por que eles não fazerem. Não vão respeitar isso, mas não​
(09:06) teria porquê. Eu acho que não. Acho que é um risco muito grande tu criar o recurso e alguém colocar isso, configurar o seu site para dizer “olha, esse conteúdo não é para ser utilizado para treinamento” e depois tu encontrar, ainda assim, tendo sido utilizado para treinamento daquele modelo que tu disse explicitamente que não queria que fosse usando a ferramenta do próprio dono do modelo. Sabe? Então, acho que isso dificilmente aconteceria. Agora, isso não quer dizer que qualquer outra ferramenta​
(09:41) que, ou qualquer outra empresa, que esteja, ou governo, não importa, que esteja criando algum modelo de alimentar uma IA, não quer dizer que essa outra empresa ou esse governo vai respeitar o que tu botou lá no robots.txt. Então, até mesmo quando a gente fala em, quando a gente faz teste de invasão, a gente até olha o robots.txt para ver o que não querem que a gente acesse muitas vezes. A pessoa confunde um pouco o funcionamento do robots.txt, acaba trocando os pés pelas mãos. Mas, enfim, ok, fica fora do Bard, lá da Google, e do Vertex AI que eles estão colocando ali, no caso, eu peguei. E aí fica fora do GPT​
(10:29) dos outros modelos deles, mas não quer dizer que qualquer outra empresa que quiser ou tiver vontade de sair indexando o teu site não vai indexar mesmo assim. Então. Mas não seria a primeira vez que empresas, inclusive o Google, se contradisseram, em algumas declarações, dizendo que iriam fazer uma coisa, não iriam fazer algo e depois fizeram. Eu logo lembro daquele exemplo do Nest, acho que era. Da área, é do Nest. Foi que a Nest foi comprada pela Google. Isso, eles disseram que, a Nest dizia que a Nest nunca​
(11:13) ia comercializar os dados dos usuários. Aí o Google comprou e eles disseram: “Não, vamos manter exatamente igual”. A gente até comentou sobre isso, mas muito, isso já faz bastante tempo, por causa do Nest do Google. Acho que não deu uma semana, depois veio uma outra notícia dizendo: “Google vai compartilhar os dados para propaganda, não sei quem mais”. Então. Sim, mas pelo menos eles disseram “não estamos fazendo”. Mas fica claro, nesse sentido, fica ali a indicação no site do Google do compromisso deles. Eles estão, que eles estariam comprometidos, teriam comprometimento com o desenvolvimento responsável da Inteligência Artificial,​
(12:00) guiado pelos princípios da Inteligência Artificial e também pelo compromisso deles com a proteção da privacidade dos consumidores. Inclusive, até ali no próprio link tem os princípios de desenvolvimento da IA do Google. Lembrando que o princípio aquele básico que eles tinham, que se não me engano até foi retirado, que era o “Don’t be evil”. É um bom princípio de tecnologias, “Don’t be evil”, acho que consegue incorporar muito do que nós temos, principalmente em questões éticas. Ah, mas o pessoal prefere o “go fast and break things”.​
(12:38) Vai uma tua aí, Vinícius. Está então, meu caro, eu trago, na verdade, uma notícia que é, ela é sintomática porque nós estamos perto aí de bater, de 2023 bater o recorde de vulnerabilidades encontradas. Tinha sido em 22, com 8.110. A gente está indo para um eventual recorde agora em 2023. E o que está sendo interessante, está até aqui a notícia já para quem está nos acompanhando no YouTube, um dos CVEs que saiu, uma das vulnerabilidades que acabou sendo reportada há poucos dias atrás, envolve codificação de vídeo, usando VP8. Assim, poxa, que que é esse VP8, não sei quê? Isso aqui é​
(13:34) uma biblioteca que faz codificação de vídeos nesse formato e ela é utilizada por praticamente tudo que tu imaginar. E aí, o que acontece é que ela permite, essencialmente, execução de código malicioso na tua máquina. Basta acessar um site, acessar o site. Basta acessar o site, executar, tem que clicar no site pelo menos. Mas essa vulnerabilidade aqui, ela se junta a esta outra, eu vou destacar aqui na tela. A gente está falando da 2023-5217. Deixa eu aumentar um pouquinho aqui. Ela se junta a uma que, de alguns dias atrás, que é a 2023-4863, que está numa biblioteca de​
(14:24) processamento de arquivos de mídia que é amplamente utilizada. Então, resultado: a gente tem, por exemplo, aqui, aqui estão as listas, para quem quiser, tem os links das listagens dos pacotes ou softwares afetados. Uma lista, centenas de pacotes para o bom e velho libvpx, que implementa esse VP8. E a maior parte dos navegadores a utilizam também, essa codificação de vídeo. O que que acontece, o que é legal, é que, inclusive no próprio artigo vocês vão encontrar, eles citam que é​
(15:12) dificilmente você vai ser vítima disso, eu, você, Guilherme, ou outras pessoas e tal. Porque essas vulnerabilidades, elas valem alguns milhões. É daquele tipo de vulnerabilidade que a gente já falou lá no nosso episódio sobre o mercado de vulnerabilidades, que é o pessoal vende vulnerabilidade. Em vez de eu encontrar uma vulnerabilidade, meu Deus do céu, e eu avisar o desenvolvedor do software ou a empresa que distribui o software, eu vendo para uma Pegasus da vida, para um NSO Group da vida. Esses, agora não lembro o nome dos caras, NSO.​
(15:55) E eu vendo para esses caras e esses caras usam essas vulnerabilidades que são relativamente fáceis de serem exploradas para ter como alvo jornalistas, inimigos políticos, eventualmente criminosos. Mas o que a gente tem visto por aí é o pessoal utilizando, alguns governos inescrupulosos aí, utilizando contra adversários políticos de alguma forma. Inclusive aquele pessoal lá que, na embaixada, literalmente picou um jornalista. O pessoal da Arábia Saudita, não tenha dúvida. Mas o fundo é: esteja atento, porque isso aqui é santíssimo.​
(16:36) Já deve, já deve ter, fique atento às atualizações de software do que você utiliza no seu sistema operacional, não importa qual seja o sistema operacional. Tem que, tem que estar antenado nisso. E a gente, talvez esse ano aí, bata o recorde. Não nos agrada nem um pouquinho, até porque são coisas que, até o pessoal se dar conta, elas ficam algumas vezes até por anos latentes lá, sem o pessoal saber que existe, e alguém explorando essa vulnerabilidade. Então, isso aí não só, isso é bastante delicado. Claro que, quando se descobre que ela existe, se lança os patches, você ainda tem aquelas​
(17:22) situações em que a própria organização da segurança da informação das empresas não, você não tem uma política de atualização adequada de patch management. É, porque aquele próprio plugin do Shodan, ele, você acessa sites às vezes, e sites até bem grandes, e ele mostra lá as vulnerabilidades que o site mantém, ou que estão lá, latentes ou expostas. Agora eu vou botar para o pessoal. E o site, ele mostra, entre outras coisas, potenciais vulnerabilidades. Claro, vulnerabilidades nos servidores web, os servidores que disponibilizam aquele site, é, em serviços de maneira geral.​
(18:15) Ele tinha serviços expostos. Não é nem um pouco legal ter coisas que está aparecendo. Então, se você não conhece, não conhecia, acesse, dá uma olhadinha porque vale a pena. Sobre o Banco Central, nós tivemos agora uma resolução bem recente, a Resolução 342 do Banco Central, de 26/09, de setembro passado agora, que altera tanto o regulamento do Pix e o manual de penalidades também para as instituições que estão aí no arranjo de pagamentos instantâneo aí do Pix. E aí tem uma questão​
(19:02) interessante, porque isso envolve novas obrigações para os participantes. E uma, e a primeira obrigação que chamou muita atenção, inclusive o próprio Banco Central se posicionou no sentido de que o Banco Central, por meio dessa nova obrigação, estaria impondo para as instituições financeiras um dever até mais ampliado de comunicação e de informação que o dever lá do artigo 48 da LGPD. Estou abrindo aqui rapidinho. Isso, joga aí que eu já compartilhei com o pessoal 13.​
(19:48) 709 aqui, se o meu navegador funcionar, muito obrigado, se ele cooperar contigo. Eu tenho um problema específico aqui com sites do governo que sempre demora para acessar aqui do gov.br. Artigo 48, aqui o link, Vinícius, para você. Então, o que que diz a LGPD? É que “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante”. Então, esse é o artigo 48, no caput lá do artigo 48 da LGPD. Qual a questão? E aí muito se discute, inclusive há critérios para modelos para você apurar​
(20:35) o que que é um risco ou dano relevante. Mas, você consegue, em grande parte das situações, saber o que que é um dano relevante ou não. E aí, você, quando há esse dano ou risco relevante, você comunica tanto a autoridade quanto o titular. E aí, essa nova obrigação imposta pelo Banco Central diz que “ficam os participantes obrigados a comunicar os titulares das contas transacionais providas pelo participante que sejam pessoas naturais a ocorrência de incidente de segurança com dados pessoais envolvendo banco de dados relacionado a componente ou infraestrutura do Pix, mesmo que o​
(21:18) participante provedor da conta não seja o responsável pelo incidente”, tem mais essa, “e ainda que o incidente de segurança não possa acarretar risco ou dano relevante aos titulares”. Ou seja, o Banco Central está colocando, e essa é uma das complexidades de você atuar em mercados regulados, porque as instituições financeiras são reguladas, se sujeitam a esse poder normativo do Banco Central, que é uma autarquia, mas que consegue e tem o poder de estabelecer regulamentações, resoluções, aqui no caso.​
(21:57) E, pelo fato das instituições financeiras também tratarem dados pessoais, você tem também a incidência da LGPD aí, e também até do próprio Código de Defesa do Consumidor. Então, você tem, isso evidencia bem a dificuldade que é tratar dados pessoais no Brasil quando você tem múltiplas regulamentações atuando ao mesmo tempo, algumas inclusive, talvez, estipulando coisas até mais ampliadas. Aqui no caso, o Banco Central está sendo mais conservador e mais protetivo ao titular de dados do que a própria LGPD. Então, uma decisão tomada pelo órgão regulador que chamou​
(22:42) bastante atenção, inclusive pessoas até estabeleceram uma crítica à própria ANPD, já que a ANPD não está cumprindo seu papel em relação aos bancos porque não multou nenhum banco até agora, e que estaria, o próprio Banco Central teria tomado essa decisão. Claro, a gente precisa também mencionar que a ANPD não tem braço até o momento para lidar com todos os problemas e atingir todas as suas competências ali. Inclusive, tem, não sei se já abriu, se vai abrir concurso para servidores da ANPD e tal.​
(23:24) Claro, não tem como comparar o tamanho de um Banco Central com o tamanho de uma ANPD, a nossa ANPD aqui no caso. Então, temos essa obrigação, ou seja, mais protetiva, e o estabelecimento de multas que podem variar de 50 mil até 1 milhão de reais, que daí, no artigo quinto dessa nova resolução. Mas só destacar, uma multa que nada tem a ver com a LGPD. A LGPD tem a multa dela lá, tem a dosimetria da multa da LGPD. Essa multa é estabelecida pelo Banco Central. Exatamente. É interessante você ter falado isso. Eu lembro, enquanto a​
(24:03) gente estava preparando a pauta, eu lembrei do nosso querido amigo e saudoso amigo Danilo Doneda, que ele contava, foi explicar para um, não lembro qual era a nacionalidade do pesquisador, do professor, como é que era a questão brasileira, a regulação brasileira de proteção de dados. Ele dizendo dessas, justamente dessa questão de você ter múltiplas leis sendo aplicadas, regulamentos e as próprias competências de cada um dos órgãos. Então você tem aí, podendo aplicar sanções: Procon, o próprio poder​
(24:37) judiciário, a autoridade, a Autoridade Nacional de Proteção de Dados (ANPD), e aqui no caso, o Banco Central também. Então, e o cara não conseguia entender direito, “mas como, tanta gente assim?”. É, você pode ter multas e sanções, melhor dizendo, de naturezas diferentes. Uma pela via do Banco Central, outra pela via da ANPD, outra pela via de um eventual Procon, ou outra pela via de uma eventual ação, uma ação civil pública ou uma ação do próprio titular que foi afetado. Mas o fato é que, a partir de agora, se você deixar de atender requisitos técnicos de segurança e, em face disso, houver um incidente que​
(25:20) comprometa as chaves Pix, você pode ter tanto uma multa que parte de 100 mil e pode chegar até a 1 milhão, caso haja um comprometimento, ainda que de forma parcial, do funcionamento de componentes ou da infraestrutura do Pix, ou haja a subtração de recursos em conta transacional do usuário final. Claro, aí o incidente teria que ser a causa dessa subtração de recursos, que nem sempre é o caso. Às vezes, você tem outros incidentes aí que não seriam de responsabilidade da própria instituição, mas sim do próprio usuário, que fornece, às vezes até por meio de engenharia social,​
(26:07) sua senha e coisas do gênero. Então, é bastante interessante, para terminar essa aqui, Vinícius, para mostrar essa incidência, essa múltipla incidência de regulações e de atuações de órgãos diferentes. E eu acho curioso, sabe? Realmente acho curioso o fato do Banco Central se posicionar dessa forma, assim, inclusive sendo mais protetivo do que a própria LGPD no sentido de estabelecer o dever de comunicação em qualquer caso quando haja o vazamento de chave Pix. Eu acho que, claro, para as instituições​
(26:41) financeiras o cenário fica mais complexo, há multas envolvidas, mas do ponto de vista do titular, me parece que nós temos aí um avanço. Ficou, o cenário para o titular ficou melhor, sabe? É uma tendência, com a ameaça dessas multas, as instituições tomarem medidas ainda mais sérias do que as que já tomam. É necessário dizer, o número de incidentes que temos é pequeno se comparado ao número de transações. É ínfimo se comparado ao número de transações, mas ainda há muito que evoluir nesse âmbito.​
(27:17) Aí, Vinícius. Que não seja as minhas transações, enfim. Mas se acertar em ti é 100%. É verdade. Os vazamentos de chaves também, que pode, até podem usar depois para outros ataques de engenharia social. Exatamente. Bom, cara, eu vou trazer uma aqui que é um alerta, é um exemplo, um exemplo do que não fazer. Não é a primeira vez que a gente vê esse tipo de coisa aqui. Eu vou jogar aqui na tela para vocês. Inclusive, dá para, usando o próprio Google, você consegue encontrar uma série​
(27:55) de situações assim. O caso agora aconteceu com a Flair, Flair, não é Fly, é Flair Airlines. O que que aconteceu? Eles deixaram disponível na internet um arquivo .env, que é um arquivo que a gente normalmente utiliza para configurar variáveis de ambiente para um software que vai rodar, para um sistema que está rodando, para uma aplicação. E, tipicamente, nesses arquivos se encontram, entre outras coisas, senhas de acesso a banco de dados e tudo mais. E foi justamente o que eles fizeram. Eles deixaram, então, esse arquivo .env​
(28:36) exposto na internet. Repito, você, com o Google, consegue encontrar arquivos assim na internet. E para quem está olhando aí na tela, vai ter uma ideia do que tipo de coisa que eles expuseram. Então, assim, por exemplo, acesso ao banco de dados MySQL. Então, o endereço do servidor, a porta de acesso, o nome da base de dados, o nome do usuário e a senha. Por exemplo, aqui tem Redis, para quem, para quem sabe o que é Redis. Em detalhes aqui, pessoal que todo mundo vai entender também, eles deixaram os dados para envio de e-mail que o sistema utiliza para mandar e-mail em nome da Flair.​
(29:16) Então está lá, Mailer, Mailgun. Aí, você poderia pegar um cliente de e-mail e configurar o e-mail deles. Exatamente. Tudo bem, isso aqui não é nenhum problema, mas o problema começa ali no username, que é o nome do usuário que estava usando para ser logado no serviço de e-mail, e obviamente o password, a senha. Então, com isso aqui, você pode, você tem acesso ao banco de dados inteiro, clássico do banco de dados, e consegue mandar e-mails em nome da Flair para os clientes. E eles tinham ainda algumas outras configurações aí que não estavam presentes, a chave do​
(29:58) AWS, etc., aparentemente não está presente, tanto que não está nem escondido aqui para quem está vendo no YouTube, aqui no próprio, na própria matéria, que não foi escondido, não foi ocultado ali porque provavelmente estava vazio mesmo. Então, isso aqui ficou por meses. É o que a notícia dá conta aqui, o pessoal do TechCrunch dá conta, ficou por meses desse jeito. Por que que eu peguei essa notícia? Por que, por que, por que você pegou essa notícia? Porque eu peguei essa notícia? Porque a gente encontra​
(30:32) diversos desses arquivos com credenciais, com configurações, etc. E, algumas vezes, o pessoal renomeia isso para .txt. Então, talvez assim, o ambiente esteja configurado para não fornecer acesso ao arquivo. Mas, e se o cara vai lá e renomeia o .env para .env.old, ou .env.txt, ou coisa parecida, e você acessa esses arquivos? Algumas vezes, ele fica aberto mesmo, consegue-se acessar diretamente. Quando você faz isso, você está expondo credenciais de acesso ao banco de dados. Aí vem um outro problema, Guilherme, que volta ao e-mail, exatamente pelo uso​
(31:08) de recursos em nuvem. O pessoal acaba deixando o banco de dados acessível via internet, em vez de limitar o acesso. Então, confia no usuário e senha e aí tu encontras um arquivo desses, pega os valores, conecta no servidor e acessa todos os dados, e copia, literalmente, tudo que a empresa tem lá. Então, eu faço um apelo para duas coisas: cuidem, observem como é que está isso na sua estrutura, nas suas estruturas, na estrutura das suas empresas onde vocês trabalham ou que são responsáveis por esse tipo de situação. Ou se estão em uma equipe de desenvolvimento, estão lá, não​
(31:49) fazem a operação do ambiente em que essas aplicações rodam e tal, verifiquem esse tipo de situação. Porque isso é um game over, assim. Ter acesso ao banco de dados é game over. E a segunda questão é, a primeira é realmente cuidar com a exposição desse tipo of de informação. E a segunda questão é não deixar essas informações nos repositórios de código fonte. Muitas estão lá também. Então, não devem ser mantidas lá. E a outra situação é: não deixe banco de dados expostos na internet. Então, sem, pelo menos, pelo menos se não der para​
(32:29) fazer uma rede virtual privada dentro da nuvem, ou seja, criar um ambiente com uma segmentação de rede dentro da nuvem, pelo menos faça uma limitação baseada em IP, no mínimo. Isso não é o ideal, mas ajuda bastante. Então, mesmo que vaze um usuário e uma senha desse jeito, de um banco de dados, a pessoa não vai conseguir conectar, pelo menos não de imediato. Então, são dois cuidados que deve ser tomados, já que a Flair Airlines cometeu um erro aí, que a gente tem muito em site brasileiro, inclusive. Tem muita coisa por aí escancarada​
(33:11) justamente desse jeito, em tudo que é tipo de coisa estranha na internet, e está tudo indexado pelo Google, esse que é o pior. Tem um detalhe aqui, Vinícius: a Flair Airlines é uma companhia, como eles mesmos se dizem, de ultra low cost, “ultra-low cost carrier”. Não era esse o ponto que eu ia colocar. Assim, você tem as “low costs” bem conhecidas na Europa e tal, você faz viagens lá baratinhas. Claro que ali também é meio tudo perto, assim. Mas você tem ela se dizendo como “ultra low cost”. O pessoal até brinca, aquelas​
(33:54) aquelas operadoras, aquelas empresas que você voa de pé e coisas do gênero. Mas é interessante notar que isso aconteceu com uma outra “low cost”. Porque os caras vão, não sei, talvez retirar ou economizar em áreas que eles não deveriam estar economizando, que é a segurança da informação e o “safety” da própria aeronave. Seria talvez as duas. Mas aí, acho que eles não fariam isso. Acho. Ah, não vou voar pela “canilha” Airlines. Mas eu acho que eles não fariam isso, não. A nota da Flair Airlines no TripAdvisor, de 5, é 2,5. [Música]​
(34:45) Acho que quiseram dizer mais coisas, não só… Se você quiser ver, até que botaram bonitinho o avião, tem foto do avião aqui e tal. “Pior experiência com avião”, “Pior experiência com viagem de avião da minha vida, Vinícius”. “Essa foi a pior experiência com companhia aérea que eu já tive. Os problemas já começaram desde a compra on-line, quando tive várias cobranças no cartão erradas. Tive que fazer várias ligações até ter meu cartão emitido. Implicaram com a minha mochila, dizendo que não estava com as regras, que eu teria que pagar a taxa de bagagem de mão. Fecharam o portão, impediram uma moça de​
(35:23) embarcar. Pagaria a taxa de bagagem”. Então, vazaram todos os dados de vocês aí que já voaram, é para você reclamar. Teve um no-show ainda. Enfim, eu só para terminar, eu adoro ler avaliações de coisas assim, sabe? TripAdvisor e tal, de locais. Eu gosto dessa atividade, assim. Sei lá, pode parecer estranho, mas está bom. Acho que não, porque é para isso que serve. Vinícius. A gente falou de Inteligência Artificial lá no início, com um episódio negativo do uso de livros ali para o treinamento. Mas teve a​
(36:05) OpenAI lançou uma nova ferramenta. Vamos falar de tirinha, não quer falar de OpenAI? Mas é que é o seguinte: então, o que que eles fizeram? E, pelo que a gente viu, Vinícius, isso não está disponível para todo mundo ainda. Não na minha conta. Mas na tua conta está? Na minha não está. Então, eu acho que às vezes eles vão também soltando pouco a pouco. Acho que já aconteceu outras vezes, mas o fato é que é uma… esse ChatGPT Vision é a possibilidade de você subir​
(36:40) uma imagem para lá e pedir para ele lhe dar, fazer coisas com aquela imagem. E eu devo confessar que o ChatGPT sempre me impressionou, assim, apesar de estudar isso, enfim, mas eu sempre fico impressionado com as coisas que ele te entrega. E essa da imagem me impressionou mais ainda, porque não é somente aquela ideia de você gerar imagens, é você pedir para ele fazer coisas, inclusive interpretar as imagens. Então, teve um desenvolvedor, o Boris Dayma, que indicou algumas possibilidades, que seria você dar a imagem de um dashboard​
(37:17) para ele e ele escreve o código para aquele dashboard. Olha que interessante! Ele explica e traduz diagramas. E eu decidi fazer um teste mais abstrato, que é submeter uma charge para ele. E eu peguei uma charge dessa cartunista brasileira, a Laerte. E ela, o pessoal brinca no Twitter, que ela faz charges que o pessoal não entende, assim. Acho que a ideia dela é mesmo fazer coisas mais subjetivas para fazer as pessoas pensarem, ou com várias interpretações. Então, quem está nos vendo no YouTube vai ver que está ali ao​
(37:55) submeti a charge, essa charge ali que vocês estão vendo, para o ChatGPT, e ele trouxe a seguinte resposta, Vinícius, se você está nos ouvindo, eu sugiro até que pare e vá lá ver porque é bem interessante. Ele disse: “A charge mostra um homem tocando guitarra e cantando. Nos quadrinhos superiores, ele afirma ‘Eu não preciso de música’, enquanto toca e canta a palavra ‘música’. À medida que a charge progride, ele continua tocando e cantando com entusiasmo, mesmo depois de repetir a afirmação de que não precisa de música. No entanto, sua ação contradiz suas palavras, sugerindo que, embora ele possa​
(38:30) dizer que não precisa de música, suas ações mostram o quanto a música é importante para ele. Essa charge parece brincar com a ideia de que, mesmo quando negamos algo verbalmente, nossas ações podem revelar nossos verdadeiros sentimentos e paixões”. É boa, cara. É uma explicação, eu diria, impecável da charge, sabe? E que atinge, assim, sabe, uma, não é bem uma intensidade, mas que realmente compreendeu aquilo como uma pessoa interpretaria, na, interpretou melhor dizendo. Bom, mas para além disso, ele reconhece estilos arquitetônicos. Aí eu submeti lá umas fotos de igrejas e prédios e ele​
(39:17) reconheceu como um estilo arquitetônico. E aí também coloquei uma foto de uma igreja de Ouro Preto, e ele não somente reconheceu que é o Barroco brasileiro, da América Latina, em especial o Barroco brasileiro, como conseguiu identificar que, pelas montanhas em volta ali da igreja, poderia ser Ouro Preto, em Minas. E, de fato, é uma foto de uma igreja em Ouro Preto, que é bastante impressionante. E aí eu fico pensando também nos potenciais usos disso, até para acessibilidade, que seria você permitir uma nova possibilidade para as pessoas cegas, sobretudo, de descrever​
(40:01) de descrição, descrever ambientes. Então, é claro, você pode, tem todo aquele potencial que a gente já sabe, de eventualmente retirar empregos, suprimir empregos, substituir a inteligência humana, digamos assim, que a gente sabe que não é inteligência, mas substituir a atividade intelectual humana em muitas frentes aí, e os consequentes problemas econômicos que isso pode causar para a humanidade como um todo. Mas, ao mesmo tempo, abre frentes muito interessantes para esse aspecto da acessibilidade, que realmente pode mudar a vida, sim, de pessoas com​
(40:39) problemas de visão, por exemplo, ou até contribuir também para novas formas, encontrar novos padrões e coisas do gênero, como já vem acontecendo com inteligências, com modelos que analisam exames, por exemplo, que são modelos mais específicos, assim, mas sistemas mais especialistas. Mas eu realmente fiquei impressionado, sabe, das potencialidades dessa nova feature que eles lançaram. Perfeito. Tem mais um vídeo para baixo. [Música] Que acorde é esse? É um belo, é um belo corte. Ok, beleza. Eu realmente não sei essa aí, eu não acertaria de jeito nenhum. É um Dó,​
(41:34) para quem ficou curioso. Está bom. Eu tenho mais uma, só duas rápidas aqui, que são quase tudo de utilidade pública. Mas, enfim, de alguma maneira é de utilidade pública, mas eu quero chamar atenção aqui para um malware que está sendo distribuído já faz algum tempo e ele acabou, recentemente aí, chamando atenção de novo por estar se passando pelo Bitwarden, que inclusive a gente já recomendou aqui algumas vezes, que é um gerenciador, é um software, é um sistema, uma aplicação para gerenciamento de senhas, que inclusive a gente continua recomendando que você use, etc. É free para uso pessoal, assim, e se​
(42:31) você não precisar criar grupos, equipes e times e tudo mais, ele é free. A gente recomenda que você utilize. Tem aplicativo para celular, para tudo que é plataforma, e inclusive para rodar aí no Linux, e Windows, e tudo mais, em Mac. E eles andaram, eles criaram um site diferente, um bitwarden.com​
(42:56) com, em vez de Bitwarden. Eu vou ampliar um pouquinho aqui para quem está vendo no YouTube. Então, eles criaram um site bitwarden.com em vez de bitwarden, que é o nome correto. E nesse site que eles fizeram, quando tu clica, quando tu clica nas versões para baixar, as versões para Linux ou para Mac, ele te joga para o site correto e utiliza o download corretamente. Quando tu clica para baixar a versão para Windows, aí acontece a mágica: você baixa uma outra coisa que não é o Bitwarden. É claro que eles têm que fazer um algum tipo de ataque antes, que é convencer a vítima a acessar o site errado. Então, isso pode​
(43:38) ser por meio de uma mensagem no WhatsApp, por e-mail, alguma propaganda em algum site que você acesse, alguma coisa desse gênero. Então, muito cuidado, principalmente quando você vai baixar softwares relativos à segurança da sua máquina. Por exemplo, vai baixar um antivírus, baixe e tenha certeza que está acessando o endereço correto do site. Não só se visualmente parece ser o site correto, mas verifique direitinho, letra por letra, o endereço, que muito do que a gente tem aí em termos de phishing se baseia justamente em nomes de domínios assim,​
(44:19) parecidos. Então, em vez de facebook.com, se acessa um face.book.com, por exemplo, e não se dá conta de que você está acessando. A página é igualzinha, tudo aparentemente é igual e você acaba acessando um site que não é o real. Então, muito cuidado, usuários de Bitwarden ou para quem planeja usar o Bitwarden, mas também qualquer outro software relacionado à segurança, principalmente, se certifique se você está baixando do site real, original, verdadeiro. Então, muito cuidado com isso aqui. E a outra notícia, Guilherme, que está relativamente próxima, inclusive as duas são do mesmo​
(45:02) site, a gente já percebeu, mas são as duas no mesmo site, do Dark Reading. O BBTok, que é um trojan bancário, ataca, ou seja, ele se passa por mais de 40 bancos mexicanos e brasileiros. Olha só. E ele usa uma coisa bem interessante, ele usa geolocalização para saber se ele está atacando uma pessoa que está geolocalizada no Brasil ou no México. Para as outras, ele não ataca. Em alguma outra forma do sujeito estar localizado que não seja geolocalizado? Agora tu puxou uma sacanagem, que não seja geolocalizado. Sei, ele pode ter uma localização ideológica no espectro ideológico.​
(45:57) Parabéns, parabéns. Tem o local de fala, os locais de fala. Pode estar localizado em um local de fala específico ou em alguns, mais locais de fala, inclusive, como o pessoal coloca. Tu vai ver, então, assim… Fazer brincadeira sobre brincadeira… Não, deixa à parte. Passou minha brincadeira, eu gosto, com todo respeito. Não vou, não vou completar aqui. Vamos lá. Dá para ver, Guilherme. Eu seguirei na minha notícia aqui. Então, eles usam isso. Mas, de novo, a gente, como é que esse tipo de trojan acaba infectando, acaba atacando os​
(46:49) usuários? Por meio, aqui, já está aqui: por meio de phishing, links de phishing. Ou seja, você recebe um e-mail com um link dizendo “atualize”, “olha aqui, tem uma fatura”, “atualize seus detalhes”, “não sei quê”, etc. Ou uma mensagem via SMS, ou via WhatsApp, dizendo que foi feita uma compra no seu cartão, ou foi feito um débito na sua conta, ou sua conta tem algum problema que precisa ser resolvido urgentemente, uma coisa parecida. Muito cuidado porque, de novo, a gente está te falando de novo, uma situação que tem que baixar alguma coisa. A gente está falando do Z-RAT antes, que se passa,​
(47:26) que os caras criaram um site se passando pelo Bitwarden. Aqui nós temos uma aplicação que se passa por mais de 40 bancos diferentes. Então, isso acaba atingindo os usuários que não estão atentos a essa questão do phishing. E não é à toa que tu vai encontrar uma série de situações, inclusive de regulações, que demandam que as empresas façam teste de phishing, para que elas treinem os seus usuários, os seus funcionários, os colaboradores, para que eles não caiam no ataque desses, revendando acesso ou dando acesso ao atacante, um acesso a um agente malicioso que vai gerar um​
(48:08) incidente de segurança. E, de forma incidental aqui, porque eu não havia planejado isso, eu cito que a BrownPipe realiza esse tipo de serviço. Nós fazemos campanhas de phishing e nossas campanhas de phishing gourmet, Guilherme. [Aplausos] Está ligado o que que é? Será que pegou a gravação? O Guilherme agora se emocionou com as palminhas. Mas, assim, o que que é o gourmet? Nós não, a nossa campanha de phishing não é, vamos dizer assim, pasteurizada, ela não é massificada, ela não é simplesmente automatizada e “vamos ver quem cai”. Ela é feita com​
(48:55) extremo cuidado e customização, inclusive algumas vezes, dependendo da listagem que a gente recebe dos nossos clientes, o teste que a gente faz, a gente cria uma campanha às vezes específica para uma pessoa lá dentro, para duas pessoas ou para pessoas em equipes diferentes. Então, tem uma série de coisas que são, que são feitas assim que, que fazem que a gente tenha um grau de sucesso bastante razoável, assim, quando a gente faz os ataques. Mas está aí, feita a propaganda incidental e de fato, agora,​
(49:29) agora o texto agora foi proposital, eu criei agora, mas foi com essa minha intenção. Mas é isso aí. Então, muito cuidado com os links, se explicam tudo mais. A gente tem duas situações aqui, uma do Bitwarden, outra de um aplicativo que se passa por vários bancos. Tens uma última? Tenho, também rapidinho. Pessoal da Alemanha está aí colocando uma pressão para que a União Europeia implemente logo as suas regras do chamado “direito à reparação”, ou “right to repair”, que é aquela situação de que o mercado, o mercado​
(50:11) de maneira geral, eliminou, que é uma coisa engraçada. Antigamente, quem tem um pouco mais de idade, assim, mas vai lembrar que a gente arrumava com muito mais frequência os nossos bens, que eram chamados de “duráveis”. E hoje, isso se tornou menos comum, é mais difícil de se fazer, mais caro e, às vezes, até impossível, a depender do tipo de bem, sobretudo eletrônicos. Então, a ideia é que, o que na Europa já se fala bastante, já, inclusive, está se caminhando para implementar, que é essa, esse, de implementar esse “direito à​
(50:51) reparação”, para, num primeiro momento, proteger mais o consumidor e também para permitir uma agenda mais verde, ou seja, para que você consiga utilizar os bens por mais tempo. Então, é aquela ideia: você estraga o seu celular e você não tem como arrumar o celular, ou você não tem componentes, ou o custo é o valor de um novo celular. Isso envolveria, a ideia seria emendar a diretiva europeia de venda de mercadorias para incluir certos grupos de bens em que a reparação seria obrigatória, claro, dentro de determinados contextos. Sei lá, joga o teu celular do vigésimo andar,​
(51:34) pode ser que não tenha como consertar. Mas, enfim, dentro de determinados limites ali, isso envolveria bens como lavadoras de roupas, lavadoras de louça, geladeiras, refrigeradores, aspiradores, televisões, servidores, servidores de computador, produtos de armazenamento ou bens de armazenamento de dados, HDs e coisas do gênero. E eu acho que o principal, telefones e tablets. A ideia, então, seria com, informar os consumidores que eles teriam esse direito à reparação e também apoiar, criar uma plataforma para apoiar​
(52:11) a busca pela reparação dos produtos. A gente comentou até um aqui que toca também nesse direito à reparação, que é o caso lá dos tratores, das colheitadeiras. Teve, eu estava procurando ver se eu achava o podcast da BBC, eu acho que era BBC Four. Eu acho que era, eu vou ver se eu acho ele aqui agora. É que eles gravaram um episódio, era, era sobre os episódios, era uma série sobre tecnologia. E eles gravaram um dos episódios sobre o direito à reparação e eles citaram na época o caso das colheitadeiras, mais especificamente, eles falaram da John​
(53:00) Deere, mais especificamente. Mas vamos lá, todos os fabricantes estão indo na direção de modernizar seus equipamentos e acaba, a própria questão do software que está ali, acaba sendo, não é dono do software, do hardware, mas tem um software no hardware, não funciona. Mesma coisa com os carros. Então, tem toda uma discussão nesse sentido. E tem um detalhe, a questão do direito à reparação, que ela passa por tu conseguir peças sobressalentes, que são um problema. Então, no momento que tu não tem peças sobressalentes, o que que tu faz? E, ao mesmo tempo, tu não tem peças sobressalentes e​
(53:44) outras empresas que poderiam fabricar, elas não têm a permissão legal lá para produzir aquela peça. Então, tu tem algumas questões desse jeito, ou desse, desse tipo. Ou o valor é tão alto que, se tu for comprar a peça com quem fabrica o equipamento, é inviável tu fazer o reparo do equipamento. É uma coisa que não vale a pena, feito de propósito. Então, tu tens isso e tu tens um outro aspecto que é com relação à complexidade do processo de fabricação e das decisões de arquitetura do equipamento. Então, os nossos notes. Exato. E isso que eu​
(54:26) ia citar exatamente. Então, assim, a gente ainda tem, a gente ainda comprou notes recentes, modelos que ainda permitem isso, mas assim, que tu pode atualizar lá o teu, trocar um SSD para um NVMe, ou, alguma coisa assim. HD nem vou comentar, mas mesmo assim, tu poderia trocar o HD e tal. E também a questão da própria memória, de tu poder aumentar o uso, aumentar a memória da máquina e tal, por exemplo. E a gente já tem fabricantes que estão soldando essas porcarias direto na placa, na placa-mãe diretamente.​
(55:07) Então, e no que tu faz isso, não tem o que, não tem como trocar. Não é que não tem como trocar, tem, mas é um processo assim, extremamente delicado, que precisa de pessoas que tenham, se tu sozinho não vai conseguir trocar. Claro, não esquece. Nesse sentido, o usuário não consegue, a gente abrir, ele não vai dar. Tu vai precisar de alguém que tenha equipamento e tenha não só o equipamento, mas às vezes até o talento, que não é só equipamento, para tu conseguir tirar um chip lá que ele é soldado todo por baixo. Entende? Que tem que aquecer a placa, tirar ele, não sei o quê, os pads e limpar. É uma zona.​
(55:44) Então, e vai custar mais caro. Então, ao mesmo tempo, o fabricante pode alegar: “Ah, mas eu preciso avançar, não posso ficar produzindo coisas da maneira que eu fazia há 10 anos atrás só para facilitar a reparação por parte do usuário”. Então, é uma, é uma equação aí delicada. É uma, o que ainda tem o problema da obsolescência programada, que caminha junto disso. Então, o direito à reparação acaba sendo afetado por certas decisões também de arquitetura que, simplesmente, o teu, até a minha televisão, aquela que está aqui, plenamente funcional, mas não, que não é mais smart porque eles tiveram uma​
(56:40) decisão deliberada de deixar de atualizar a televisão. É um negócio super delicado. Até no Brasil, a gente tem bons artigos, inclusive na Revista de Direito do Consumidor, tanto sobre obsolescência programada, quanto sobre o direito à reparação, que eu entendo assim, que a gente poderia também avançar até no Brasil. O Brasil, ele tem, o direito do consumidor brasileiro é muito bom. E a gente poderia, claro, seria um problema até político para você convencer o Congresso a legislar sobre isso, porque iria ser contrário ao​
(57:18) interesse, o interesse de muita gente. É café expresso e café frio, Vinícius. Bacaa. Te confesso que fui pego de surpresa agora. Estava bem docinho, nem tinha. O meu café expresso vai para a Alemanha, nessa, nessa movimentação deles de promover aí um direito efetivo à reparação lá na União Europeia. Vai café expresso dobrado? Então, beleza, porque eu voto com o relator. E o teu café frio? [Aplausos] Alguém me explica como tirar isso depois da máquina. Ele vai poder, se existe maneira de bloquear isso para ele não usar mais? Frio, cara, café frio.​
(58:14) Café frio. Café frio vai para as empresas que estão treinando o modelo usando os livros, o “Books3”, o “box”, então, violando direitos autorais de inteligência artificial, certo? É, cara, eu te confesso que eu estou sem muito com a minha voz, não vou dizer de novo que eu vou dobrar o café frio, mas eu vou dizer, tá, data máxima vênia, eu vou contigo nas duas, porque realmente eu não penseeino café frio nem no café expresso hoje. Cara, às vezes não tem, a gente já teve episódios que não teve, não teve. Pensando nas notícias que a gente comentou hoje,​
(58:59) concordo contigo. Bom, não, não, eu retiro o que eu disse. O meu café frio vai para esses fabricantes de computador aí que ficam soldando memórias e SSDs direto na mainboard, não deixam a gente atualizar o nosso notebook. Na verdade, ele permite a inclusão de um novo SSD, mas ele não deixa tirar o que que está lá. O meu deixa tirar. Deixa eu tirar, deixa eu… acho que não deixa, não. Eu tirei a memória e aí botei dois novos. Memória, memória tu adiciona, memória é só adicionar. Então, agradecemos a todos aqueles e aquelas que nos acompanharam até aqui.​
(59:50) Nos encontraremos no próximo episódio do podcast Segurança Legal. Para, para tudo. Temos os 10 anos do Segurança Legal, que eu já estava me esquecendo. Então, nós estamos aqui, isso é feito aqui ao vivo, claro, de gravação, mas aqui, a gente está em 2 de outubro, seria ali, outubro de 2013, Vinícius. Seria ali que nós temos em outubro de 2013? Na verdade, seria 2 de outubro, não tem, nem sempre cai. Mas nós temos ali no 17 de outubro, episódio 36, entrevista com o nosso querido Fábio Assolini, da Kaspersky. Eu acho que é a primeira, eu acho que é a​
(1:00:39) primeira entrevista, onde tudo nasceu aqui, onde tudo começou. O nosso, acho que foi a primeira entrevista, sim, há 10 anos que fizemos com o nosso querido amigo Fábio Assolini, que depois participou por um longo período, inclusive com um resumo de notícias. Então, fiquem também aí com o Fábio Assolini nesses 10 anos. E agora, sim, agradecemos a todos aqueles e aquelas que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.