.
Código escondido dentro Placas-mãe de PCs deixaram milhões de máquinas vulneráveis a atualizações maliciosas, revelaram pesquisadores esta semana. A equipe da empresa de segurança Eclypsium encontrou códigos em centenas de modelos de placas-mãe criadas pela fabricante taiwanesa Gigabyte que permitiam que um programa atualizador baixasse e executasse outro software. Embora o sistema fosse destinado a manter a placa-mãe atualizada, os pesquisadores descobriram que o mecanismo foi implementado de forma insegura, permitindo que invasores sequestrassem o backdoor e instalassem malware.
Em outro lugar, a empresa de segurança cibernética Kaspersky, com sede em Moscou, revelou que sua equipe foi alvo de um malware de clique zero recém-descoberto que afeta iPhones. As vítimas receberam uma mensagem maliciosa, incluindo um anexo, no iMessage da Apple. O ataque começou automaticamente a explorar várias vulnerabilidades para dar aos invasores acesso aos dispositivos, antes que a mensagem fosse excluída. A Kaspersky diz acreditar que o ataque afetou mais pessoas do que apenas sua própria equipe. No mesmo dia em que a Kaspersky revelou o ataque ao iOS, o Serviço Federal de Segurança da Rússia, também conhecido como FSB, afirmou que milhares de russos foram alvo de um novo malware para iOS e acusou a Agência de Segurança Nacional dos EUA (NSA) de conduzir o ataque. A agência de inteligência russa também afirmou que a Apple ajudou a NSA. O FSB não publicou detalhes técnicos para apoiar suas reivindicações, e a Apple disse que nunca inseriu um backdoor em seus dispositivos.
Se isso não for incentivo suficiente para manter seus dispositivos atualizados, reunimos todos os patches de segurança lançados em maio. Apple, Google e Microsoft lançaram patches importantes no mês passado – vá e certifique-se de estar atualizado.
E tem mais. A cada semana, reunimos as histórias de segurança que não cobrimos em profundidade. Clique nas manchetes para ler as notícias completas. E fique seguro lá fora.
Lina Khan, presidente da Comissão Federal de Comércio dos EUA, alertou esta semana que a agência está vendo criminosos usando ferramentas de inteligência artificial para “turbinar” fraudes e golpes. Os comentários, feitos em Nova York e relatados pela primeira vez pela Bloomberg, citavam exemplos de tecnologia de clonagem de voz em que a IA estava sendo usada para induzir as pessoas a pensar que estavam ouvindo a voz de um membro da família.
Avanços recentes de aprendizado de máquina tornaram possível que as vozes das pessoas sejam imitadas com apenas alguns clipes curtos de dados de treinamento – embora os especialistas digam que os clipes de voz gerados por IA podem variar muito em qualidade. Nos últimos meses, no entanto, houve um aumento relatado no número de tentativas de golpes aparentemente envolvendo clipes de áudio gerados. Khan disse que autoridades e legisladores “precisam estar vigilantes desde o início” e que, embora novas leis que regem a IA estejam sendo consideradas, as leis existentes ainda se aplicam a muitos casos.
Em uma rara admissão de fracasso, os líderes norte-coreanos disseram que a tentativa do país ermitão de colocar um satélite espião em órbita não saiu como planejado esta semana. Eles também disseram que o país tentaria outro lançamento no futuro. Em 31 de maio, o foguete Chollima-1, que transportava o satélite, foi lançado com sucesso, mas seu segundo estágio não funcionou, fazendo com que o foguete mergulhasse no mar. O lançamento desencadeou um alerta de evacuação de emergência na Coreia do Sul, mas isso foi posteriormente retirado pelas autoridades.
O satélite teria sido o primeiro satélite espião oficial da Coreia do Norte, o que, segundo especialistas, lhe daria a capacidade de monitorar a península coreana. O país já lançou satélites anteriormente, mas especialistas acreditam que eles não enviaram imagens de volta à Coreia do Norte. O lançamento fracassado ocorre em um momento de alta tensão na península, enquanto a Coreia do Norte continua tentando desenvolver armas e foguetes de alta tecnologia. Em resposta ao lançamento, a Coreia do Sul anunciou novas sanções contra o grupo de hackers Kimsuky, que está ligado à Coreia do Norte e teria roubado informações secretas ligadas ao desenvolvimento espacial.
Nos últimos anos, a Amazon está sob escrutínio por controles negligentes sobre os dados das pessoas. Esta semana, a Comissão Federal de Comércio dos EUA, com o apoio do Departamento de Justiça, atingiu a gigante da tecnologia com dois acordos por uma série de falhas relacionadas a dados infantis e suas câmeras domésticas inteligentes Ring.
Em um caso, dizem as autoridades, um ex-funcionário da Ring espionou clientes do sexo feminino em 2017 – a Amazon comprou a Ring em 2018 – vendo vídeos delas em seus quartos e banheiros. A FTC diz que Ring deu à equipe “acesso perigosamente amplo” a vídeos e teve uma “atitude negligente em relação à privacidade e segurança”. Em uma declaração separada, a FTC disse que a Amazon manteve gravações de crianças usando seu assistente de voz Alexa e não excluiu dados quando os pais solicitaram.
A FTC ordenou que a Amazon pagasse cerca de US$ 30 milhões em resposta aos dois acordos e introduzisse algumas novas medidas de privacidade. Talvez de forma mais consequente, a FTC disse que a Amazon deveria excluir ou destruir as gravações do Ring anteriores a março de 2018, bem como quaisquer “modelos ou algoritmos” desenvolvidos a partir dos dados coletados indevidamente. A ordem deve ser aprovada por um juiz antes de ser implementada. A Amazon disse que discorda da FTC e nega “violar a lei”, mas acrescentou que os “acordos deixam essas questões para trás”.
À medida que empresas de todo o mundo correm para criar sistemas de IA generativos em seus produtos, o setor de segurança cibernética está entrando em ação. Esta semana, a OpenAI, criadora dos sistemas de geração de texto e imagem ChatGPT e Dall-E, abriu um novo programa para descobrir como a IA pode ser melhor usada por profissionais de segurança cibernética. O projeto está oferecendo subsídios para aqueles que desenvolvem novos sistemas.
A OpenAI propôs vários projetos em potencial, desde o uso de aprendizado de máquina para detectar esforços de engenharia social e produção de inteligência de ameaças até a inspeção do código-fonte em busca de vulnerabilidades e o desenvolvimento de honeypots para prender hackers. Embora os desenvolvimentos recentes de IA tenham sido mais rápidos do que muitos especialistas previram, a IA tem sido usada no setor de segurança cibernética há vários anos – embora muitas reivindicações não correspondam necessariamente ao hype.
A Força Aérea dos EUA está avançando rapidamente no teste de inteligência artificial em máquinas voadoras – em janeiro, testou uma aeronave tática sendo pilotada por IA. Porém, esta semana, uma nova denúncia começou a circular: que durante um teste simulado, um drone controlado por IA começou a “atacar” e “matou” um operador humano que o supervisionava, porque o impedia de cumprir seus objetivos.
“O sistema começou a perceber que, embora eles identificassem a ameaça, às vezes o operador humano dizia para não matar essa ameaça, mas conseguiu seus pontos matando essa ameaça”, disse o coronel Tucker Hamilton, de acordo com um resumo de um evento. na Royal Aeronautical Society, em Londres. Hamilton continuou dizendo que quando o sistema foi treinado para não matar o operador, ele começou a mirar na torre de comunicação que o operador estava usando para se comunicar com o drone, impedindo o envio de suas mensagens.
No entanto, a Força Aérea dos EUA diz que a simulação nunca ocorreu. A porta-voz Ann Stefanek disse que os comentários foram “tirados do contexto e deveriam ser anedóticos”. Hamilton também esclareceu que ele “falou mal” e estava falando sobre um “experimento mental”.
Apesar disso, o cenário descrito destaca as maneiras não intencionais pelas quais os sistemas automatizados podem contornar as regras impostas a eles para atingir os objetivos que foram definidos para alcançar. Chamado de jogo de especificação pelos pesquisadores, outras instâncias viram uma versão simulada de tetris pause o jogo para evitar perder, e um personagem do jogo de IA se matou no nível um para evitar morrer no próximo nível.
.
