Darwinismo em Segurança da Informação – Parte 2: vacina contra antivírus milagrosos

Olá pessoal!

Como prometido, aqui estamos nós, falando um pouco mais sobre a relação entre a teoria da evolução e desenvolvimento contra ciberameaças.

Até hoje, não se sabe exatamente o que provoca mutações em seres vivos. Alguns especialistas pouco conservadores atribuem essa ocorrência a vírus, que rearranjam genes intencionalmente (sim, eis os verdadeiros governantes do mundo!). Não importa o caso, mutações similares também ocorrem na Segurança da Informação – e por vezes também por intermédio de vírus.

Como na luta pela sobrevivência, tecnologias de segurança evoluem com o tempo: novas categorias de produtos aparecem, outras tornam-se extintas, ao mesmo tempo que alguns produtos surgem junto a outros. Como exemplos desses últimos, temos monitores de integridade que representaram um avanço relevante em meados do anos 90, mas hoje não possuem muito relevância em segurança de ponta. Novos segmentos de mercado e nichos aparecem (Anti-APT) para complementar o arsenal existente de tecnologias de proteção – sendo essa uma relação mutualista. Contudo, eventualmente os parasitas acabam saindo das sombras em busca de hospedeiros. C’est la vie – sempre foi assim, e não podemos fazer nada para mudar essa lógica.

Na guerra por frações do mercado em Segurança da Informação, aparecem profetas alegando o fim das tecnologias ‘tradicionais’ e um produto fajuto como remédio para todos os males (com descontos generosos para os primeiros cinco clientes).

ai_oil_2

Mas isso não é nada novo: alguns de vocês lembram dos anti-spyware? No começo dos anos 2000, uma bolha de produtos voltados para a eliminação de spywares surgiu do nada. Muitas bobagens foram disseminadas, reforçando que os antivírus comuns eram incapazes de lidar com esse problema específico, mas desde o início nada disso era verdade.

O mercado acabou cansando desses profetas, e hoje em dia ganhar dinheiro com essas soluções milagrosas demanda muito mais investimento e óleo de peroba marketing.

Davi – e Goebbels & Don Draper – contra Golias

Mantendo tradições de propagandas do governo ou do setor privado (estilo Avenida Madison), os produtos tabajaras se aproveitam de vulnerabilidades fundamentais da psicologia humana que remetem à infância; em particular, a crença em milagres e teorias da conspiração.

Esses produtos revolucionários seguem uma lógica bem piegas de contos de fada. Pense no seguinte cenário, imagine que os bandidos têm o monopólio de uma certa fortaleza e oprimem o pensamento da comunidade camponesa. Agora insira nesse contexto o aparecimento dos revolucionários, os caras bonzinhos que aparecem para salvar o dia. Naturalmente, a simpatia dos camponeses acaba terminando do lado dos “inovadores”, enquanto, os caras malvados continuam angariando apenas antipatia. O filme termina com a vitória dos bonzinhos e para eles um futuro brilhante.

Tudo bem, vamos diminuir a emoção e dar mais atenção a essa situação…

 

 

Por debaixo dos panos

A produção de produtos de segurança falsos tem se apropriado do conceito de inteligência artificial (IA) como ferramenta revolucionária de suas “tecnologias”.

A IA é vista como uma tecnologia milagrosa, que por si só é capaz – sem qualquer interferência do usuário – de proteger qualquer um que a use imediatamente, de tudo, para sempre! Bem, soa fantástico. Depois de assistir um comercial sobre essa tecnologia incrível você “percebe” que essa é a nova ordem, o futuro: mágica nos livrando de malware, spam, ataques direcionados e outras ciberameaças!

Como gostamos de ser impressionados. Como precisamos acreditar que seremos salvos por um bem maior – simplesmente porque essa fantasia nos transmite uma ideia de segurança, não por ser crível. Querendo descobrir mais, escavaremos bem fundo. Vamos além do material de divulgação…. Descobrimos que não há nada além. Qualquer pergunta mais complexa, escapando do floreio comum é redirecionada a um guru técnico, e depois disso, hora do Depeche Mode. Para sempre.

 

Sob o microscópio

Tudo bem. Vamos olhar mais de perto…

Todas essas abordagens tradicionais dos produtos fajutos se promovem por meio de métodos não tradicionais, como a inteligência artificial. Que nem a Skynet, não é?

 

Na verdade, ainda melhor que a Skynet, esses produtos questionáveis prometem uso de “aprendizagem automática “, “sem qualquer necessidade de updates”, “usam pouca memória”, “funcionam em segundo plano”,  “funcionam mais eficientemente que produtos tradicionais “, “reportam menos falsos positivos“, e “interceptam ataques sofisticados de espionagem”. Com uma pequena omissão: nunca dizem como fazem todas essas coisas. Ou provam qualquer coisa dita com testes de terceiros.

Quando perguntados sobre o como, alegam que métodos precisos não podem ser revelados: se vazassem seriam usados pelos malvados para criarem um contra-ataque – se não copiado por competidores.  No lugar de qualquer dica sobre como a mágica ocorre, qualquer cliente, investidor ou jornalista simplesmente recebe um monte de baboseiras sem sentido como resposta.

Enfeitar esses produtos com cartilhas bem elaboradas, um site bonito e até coletivas de impressa não fará diferença. Para vender o produto ou atrair investidores, você precisará de algo mais convincente, de preferência vindo de uma organização independente e de boa reputação.

Para produtos milagrosos, esse é o grande problema. Como eles respondem a isso? Simplesmente não participando dos testes independentes, e se o fazem – mantendo a tradição de fazer testes de marketing – participam apenas de alguns cuidadosamente selecionados e interpretam os resultados erroneamente. No lugar do resultado dos testes, emitem suas próprias “evidências” de efetividade – baseada em metodologias obscuras ou falsas.

Lorota Tradição AI

No cerne da retórica do marketing dos produtos fajutos está a rejeição de abordagens tradicionais em favor das mais progressivas. “Os heróis do passado estão vendendo a tecnologia do passado e são incapazes de fornecer qualquer coisa útil e hi-tech.”

Tudo bem, vamos verificar essa declaração. Tomamos como exemplo o aprendizado de máquina. É coisa apenas dos produtos sem credibilidade? Na verdade, aprendizagem automática tem sido usada em sistemas de Segurança da Informação desde o começo dos anos 2000.

Por exemplo, 99,9% dos novos malwares que detectamos são fruto de robôs de aprendizado de máquina – os precursores da IA; apenas uma pequena porcentagem – os malwares mais complexos – precisam de intervenção de especialistas. Na verdade, toda tecnologia de proteção proativa precisa de aprendizado de “artificial”, sem exceção. Esse recurso  nos permite: (i) monitorar atividades com o System Watcher, que ratreia mudanças no sistema e impede qualquer ação maliciosa (ii) fornece proteção automática contra exploits que utilizam vulnerabilidade desconhecidas; (iii) aplica heurística em módulos diferentes para captar malwares baseando-se em pistas indiretas; (iv) realiza emulação, a qual executa arquivos suspeitos em uma “sandbox” isolada; e (v) aplica nosso Targeted Attack Analyzer em ataques direcionados sofisticados. Fora que temos dezenas de exemplos de cada uma dessas coisas para respaldar nossas palavras.

 

O DNA da Segurança

Desenvolvimento contínuo de tecnologias preventivas é a parte mais importante do DNA da indústria de segurança de TI. Potencial defensivo crescente, mudanças de gerações de tecnologias de segurança, introdução de novas ferramentas… São as únicas formas de sobreviver à guerra contra o cibercrime. Também se trata da motivação principal de competição. Novas tecnologias aumentam a efetividade da proteção, diminuem o consumo de recursos, e tornam produtos mais simples e convenientes. Quem ganha espaço no mercado? Sempre quem inova primeiro.

Quando falamos de desenvolvimento contínuo de tecnologias proativas, isso significa principalmente o aperfeiçoamento constante de tecnologias “smarts”, em outras palavras, aprendizado de máquina, ou “artificial”. E não dá para ser de outro jeito: processar manualmente centenas de milhares de amostras de códigos maliciosos por dia é simplesmente impossível. E por que alguém faria isso? Use o cérebro para inventar sistemas inteligentes e deixe que eles trabalhem de maneira confiável e automática? Simples. Chama-se progresso tecnológico. Longe de ser algo novo.

É importante entender que aprendizado de máquina é um componente necessário de segurança de TI, contudo não é suficiente por si só. Segurança da Informação demanda proteção multicamadas – de todos os tipos de dispositivos, contra todos os tipos de ameaças, em todos os níveis de infraestrutura – que consigam reagir rapidamente a novos desafios e se adaptar às necessidades de segurança de TI do mundo empresarial. Claro que essa não é a resposta para proteger tudo agora e para sempre, já que cedo ou tarde algum cibercriminoso encontrará uma forma de sobrepujar o modelo adaptativo: mas não se preocupe, teremos pensado em algo para combatê-los.

 

Achtung Baby.

Acredito que a paixão por inteligência artificial continuará por um bom tempo. O que é bom: à medida que empresas se engalfinham tentando sobreviver por meio de novas descobertas o mais forte esperto será o vencedor.

Por outro lado, fabricantes continuarão a reforçar suas capacidades tecnológicas para automatizar o processamento de malware e proteção preventiva baseada em aprendizagem automática. O mercado terá que continuar tolerando os falsos profetas prometendo curas milagrosas, já que existe algo milagroso nas palavras “inteligência artificial” que lança um feitiço de ingenuidade e fantasia. Tem que ser mágica.

https://twitter.com/ReverseICS/status/733097111160426496?ref_src=twsrc^tfw

Infelizmente, não existe uma vacina contra produtos fajutos.  Concomitantemente, não nego a possibilidade de aparecimento de uma supertecnologia nova capaz de virar o mercado de Segurança da Informação de cabeça para baixo, o que na verdade eu acharia ótimo. Por isso, existe sempre a possibilidade de colocar o carro na frente dos bois com IA, julgando que tudo seja produtos sem credibilidade. Então, colocarei de outra forma: espero que você, querido leitor, seja capaz de separar o joio do trigo no que diz respeito a AI e que encare os supostos lançamentos com cuidado.

 

Horizontes eternos da seleção natural.

A curiosidade humana e a fome por conhecimento geram o desejo de dar uma espiada no futuro, para ver o que estar por vir e entender. Dedicamos tanto tempo e recursos a exploração, compreensão e conquista do futuro que a busca parece não ter fim, continua sempre a frente, mais e mais.

O resultado é uma equação sem solução: do ponto de vista racional, tentar compreender o infinito com recursos finitos não só parece fútil como também tolice. Nós, Homo Sapiens, continuamos a nos aprofundar, acreditando que o universo é uma boneca matriosca que precisamos simplesmente desmontar para ver sua totalidade.

A postura de alguém em relação ao futuro trata-se de uma pergunta filosófica e puramente pessoal. Minha visão é que devemos continuar a busca infindável não importa o que ocorra. Racionalizar o caos e aumentar a conscientização acerca dos principais objetivos da humanidade. Experiências me mostraram que a busca é não só divertida, mas sadia para a alma, o corpo e a sociedade. E importante também para Segurança da Informação: novas gerações de ciberataques aparecem toda semana, então temos que pensar em novas formas de dificultar a vida dos larápios responsáveis por eles.

A seleção natural na indústria de segurança de TI não é nada boazinha. A ubiquidade e a imprevisibilidade de ciberataques (as quais apenas aumentarão) requerem novas formas de pensar, e como qualquer coisa fora da zona de conforto, requer esforço e recursos, sendo, porém, o caminho invariável e inevitável para longe da extinção.

@e_kaspersky discute a falácia da ia – mazela recente no setor de segurança da informação. Retweet
LEIA COMENTÁRIOS 0
Deixe um comentário.