Autor: Vox Leone

Programador, Desenvolvedor, Analista de Sistemas, trabalhando (e estudando) na intersecção da Análise/Ciência de Dados, Aprendizado de Máquina e Segurança.
Publicado em in Blockchain, Cripto

Governos Preparam Blitz Contra as Criptomoedas

Jess Powell, CEO da Kraken, a quarta maior negociadora de criptomoedas do mundo, adverte que governos pelo planeta afora podem estar preparando uma grande blitz contra o uso de Bitcoin e outras criptomoedas. CNBC reporta:

“Acho que pode haver alguma repressão”, disse Jesse Powell em uma entrevista à CNBC. As criptomoedas dispararam em valor ultimamente, com o Bitcoin alcançando um recorde de mais de US$ 61.000 no mês passado. A moeda digital mais valiosa do mundo tem sido negociada ultimamente em torno de US$ 60.105. […] O chefe da Kraken acha que a incerteza regulatória em torno das Criptos não vai dissipar tão cedo. Uma regra contra a lavagem de dinheiro proposta pelo governo dos EUA recentemente exige que as pessoas que mantêm Criptos em uma carteira digital privada passem por verificação de identidade se fizerem transações acima de US$ 3.000. “Algo assim poderia realmente ferir as Criptos e matar o caso de uso original, que era apenas tornar os serviços financeiros acessíveis a todos”, disse Powell.

Foto por Worldspectrum em Pexels.com

As criptomoedas como o Bitcoin têm sido frequentemente associadas a atividades ilícitas devido ao fato de que as pessoas que transacionam com ela são pseudônimas – você pode ver para onde os fundos estão sendo enviados, mas não quem os enviou ou os recebeu. “Espero que agências reguladoras americanas e internacionais não tenham uma visão muito estreita sobre o assunto”, disse Powell. “Outros países, a China especialmente, estão levando Cripto muito a sério e assumindo uma postura de muito longo prazo”.

O CEO de Kraken disse sentir que os EUA são mais “suscetíveis” às pressões de negócios tradicionais em extinção – em outras palavras, os bancos – que “vão perder se as Criptos se tornarem normalizadas”. “Eu acho também que já pode ser tarde demais”, acrescentou Powell. “Talvez o gênio já esteja fora da garrafa e tentar bani-las neste momento só vai torná-las mais atraentes. Certamente enviaria uma mensagem de que o governo as vê como uma alternativa superior à sua própria moeda.”

Link para CNBC (English)

Publicado em in tecnologia

Como a Riqueza é Gerada Hoje

Em 1960, a maioria das pessoas que começam uma startup hoje teria ido trabalhar para uma delas. Era possível ficar rico abrindo sua própria empresa em 1890 e em 2020, mas em 1960 isso não era realmente uma opção viável. Você não podia romper os oligopólios para chegar aos mercados. Portanto, a rota de prestígio em 1960 não era começar sua própria empresa, mas subir na escada corporativa em uma empresa já existente.

Transformar as pessoas em funcionários corporativos diminuiu a desigualdade econômica (e todos os outros tipos de desigualdade), mas se tomarmos como modelo de normalidade a metade do século 20, teremos em vista um modelo muito enganador. A economia das grandes corporações acabou sendo apenas uma longa fase e, a partir dos anos 1970, começou a se desintegrar.

Por que a fase acabou? Em parte por senescência. As grandes empresas que tomávamos como modelos de escala e eficiência em 1930 haviam se tornado frouxas e inchadas em 1970. Na década de 1970, a estrutura rígida da economia estava cheia de ninhos aconchegantes que vários grupos haviam construído para se isolar das forças do mercado. Durante o governo Carter, o governo federal americano percebeu que algo estava errado e começou, em um processo que chamaram de “desregulamentação”, a reverter as políticas que sustentavam os oligopólios.

Mas não foi apenas a decadência interna que quebrou a economia dos J. P. Morgans. Também houve pressão de fora, na forma de novas tecnologias, principalmente a microeletrônica. A melhor maneira de visualizar o que aconteceu é imaginar um lago com uma crosta de gelo. Inicialmente, o único caminho do fundo para a superfície é pelas bordas. Mas, à medida que a crosta de gelo enfraquece, você começa a conseguir chegar pelo meio.

As bordas do lago eram pura tecnologia: empresas que de fato se descreviam como sendo do ramo de eletrônicos ou software. Quando você usava a palavra “startup” em 1990, era isso que você queria dizer. Mas agora as startups estão avançando bem no meio da crosta de gelo e deslocando empresas já estabelecidas, como varejistas, redes de TV e montadoras.

Mas embora o colapso da economia industrial clássica tenha criado um novo mundo no sentido tecnológico, houve uma reversão ao normal no sentido social. Se apenas olharmos para meados do século 20, fica nítido que ficar rico abrindo sua própria empresa é um fenômeno recente. Mas se você olhar mais para trás, perceberá que realmente esse é o padrão natural. Portanto, o que devemos esperar no futuro é mais do mesmo. Na verdade, devemos esperar que tanto o número quanto a riqueza dos fundadores de empresas cresçam, porque a cada década fica mais fácil iniciar uma startup.

Parte do motivo pelo qual está ficando mais fácil iniciar uma startup é social. A sociedade está (re) assimilando o conceito de empreender. Se você começar um negócio agora, seus pais não vão pirar como faziam há uma geração, e o conhecimento sobre como fazer isso estará muito mais difundido. Mas a principal razão pela qual é mais fácil iniciar uma startup agora é que é mais barato. A tecnologia reduziu o custo de construção de produtos e aquisição de clientes.

O custo decrescente de iniciar uma startup, por sua vez, mudou o equilíbrio de poder entre fundadores e investidores. Antes, quando começar uma startup significava construir uma fábrica, você precisava da permissão dos investidores para fazer isso. Mas agora os investidores precisam dos fundadores mais do que os fundadores precisam dos investidores, e isso, combinado com a quantidade cada vez maior de capital de risco disponível, aumentou a valorização do setor.

Portanto, o custo decrescente de iniciar uma startup faz aumentar o número de pessoas ricas de duas maneiras: significa que a) mais pessoas iniciam uma empresa, e b) que aqueles que o fazem podem levantar dinheiro em melhores condições.

Mas também há um terceiro fator em ação: as próprias empresas são mais valiosas, porque empresas recém-fundadas crescem mais rápido do que antes. A tecnologia não só tornou mais barato construir e distribuir coisas, mas também tornou isso mais rápido.

Esta tendência já existe há muito tempo. A IBM, fundada em 1896, levou 45 anos para atingir um bilhão de dólares em receita. A Hewlett-Packard, fundada em 1939, demorou 25 anos. A Microsoft, fundada em 1975, demorou 13 anos. Agora, a norma para empresas de rápido crescimento é de 7 ou 8 anos.

O crescimento rápido tem um efeito duplo no valor das ações dos fundadores. O valor de uma empresa é função de sua receita e de sua taxa de crescimento. Portanto, se uma empresa cresce mais rápido, você não apenas atinge um bilhão de dólares em receita mais cedo, mas a empresa é mais valiosa quando atinge esse ponto do que seria se estivesse crescendo mais devagar.

É por isso que os fundadores às vezes ficam tão ricos tão jovens agora. O baixo custo inicial de iniciar uma startup significa que os fundadores podem começar jovens, e o rápido crescimento das empresas hoje significa que, se tiverem sucesso, poderão ser surpreendentemente ricas alguns anos depois.

Hoje é mais fácil do que nunca iniciar e expandir uma empresa. Isso significa que mais pessoas as iniciam, e aquelas que o fazem recebem melhores condições dos investidores e suas empresas se tornam mais valiosas. Depois de entender como esses mecanismos funcionam, e que as startups na verdade foram suprimidas durante a maior parte do século 20, você não precisa recorrer mentalmente à vaga curva à direita que os EUA deram no governo Reagan para explicar por que o coeficiente Gini da América está aumentando. É obvio que o coeficiente Gini está aumentando. Com mais gente começando empresas mais valiosas, como poderia não ser assim?

Publicado em in Internet, Presença Remota, Segurança

Nova Vulnerabilidade no Zoom

Uma vulnerabilidade “dia-zero” no Zoom, que pode ser usada para lançar ataques de execução de código remoto (Remote Code Execution, RCE), foi divulgada por pesquisadores. Pwn2own, organizado pela iniciativa Zero-Day, é um concurso para profissionais de segurança cibernética com o objetivo de descobrir falhas em software e serviços populares.

A última competição incluiu 23 participantes, em várias categorias, como navegadores Web, software de virtualização, servidores, comunicação empresarial e escalada local de privilégio.

Para os participantes bem-sucedidos, as recompensas financeiras podem ser altas – e, neste caso, os holandeses Daan Keuper e Thijs Alkemade ganharam US$ 200.000 por sua descoberta sobre o Zoom.

Os pesquisadores (da Computest) demonstraram uma cadeia de ataque consistindo de três falhas, que provocou uma Execução Remota de Código em uma máquina-alvo, sem qualquer interação do usuário.

Zoom ainda não teve tempo para corrigir essa questão crítica de segurança.

A vulnerabilidade

Atendendo aos requisitos da divulgação responsável, os detalhes completos do método são mantidos em segredo. O que sabemos é que é uma falha de execução de código remoto (RCE): uma classe de falhas de segurança de software que permitem que um ator malicioso execute o código de sua escolha em uma máquina remota sobre uma LAN, Wan ou a Internet.

Também sabemos que o método funciona na versão Windows e Mac do Zoom, mas não afeta a versão do navegador. Não está claro se os sistemas operacionais iOS- e Android são vulneráveis, já que Keuper e Alkemade não estavam analisando essa questão.

A organização Pwn2own twittou um gif demonstrando a vulnerabilidade em ação. Pode-se ver o atacante abrir a calculadora no sistema rodando o Zoom. Calc.exe é o executável que hackers usam frequentemente como prova-de-conceito para mostrar que eles podem executar códigos arbitrários em uma máquina afetada.

Publicado em in Internet, privacidade

FLoC: A Nova Experiência Controversa do Google

No dia 30 de março último, o Google lançou o “teste de origem” do Federated Learning of CohortsAprendizagem Federada sobre Grupos (que tem o acrônimo inglês FLoC), sua nova tecnologia experimental para segmentação de anúncios. Um comando foi dado em Mountain View, California, e um switch foi silenciosamente acionado em milhões de instâncias do Google Chrome mundo afora: esses navegadores começarão agora a classificar seus usuários em grupos (Cohorts) com base em seu comportamento pessoal, compartilhando os rótulos desses grupos com rastreadores e terceiros anunciantes. Um conjunto aleatório de usuários foi selecionado para o teste, e a eles só foi dada a opção de desativar os cookies de terceiros no navegador.

Embora o Google tivesse anunciado previamente que isso iria acontecer, a empresa até agora foi esparsa em detalhes sobre o teste. Nós bisbilhotamos posts de blogs, listas de discussão, projeto de padrões da Web e o código-fonte do Chromium para tentar descobrir exatamente o que está acontecendo.

A EFF (Electronic Frontier Foundation) já escreveu que o FLoC é uma ideia terrível. O lançamento desse teste pelo Google – sem aviso prévio aos indivíduos que farão parte, muito menos seu consentimento – é uma violação concreta da confiança do usuário, e para completar, a serviço de uma tecnologia que não deveria sequer existir.

Abaixo descrevemos como esse teste funcionará e alguns dos detalhes técnicos mais importantes que soubemos até agora.

Começamos com a decepcionante observação de que o FLoC deveria originalmente substituir os cookies. No teste, ele os complementará.

O Google projetou o FLoC para ajudar os anunciantes a dirigir ao alvo seus anúncios quando os cookies de terceiros desaparecerem no futuro. Contudo, durante este teste, os rastreadores continuarão capazes de coletar, além dos IDs dos FLoCs, os cookies de terceiros.

Isso significa que todos os rastreadores que atualmente já monitoram o comportamento do caro leitor em uma parte da Web usando os cookies, agora vão receber adicionalmete seu IDentificador de grupo gerado pelo FLoC. O ID de grupo é um reflexo direto do seu comportamento em toda a Web. Ele pode complementar os perfis comportamentais dos usuários, o que muitos rastreadores já mantêm.

Foi divulgado que o teste foi originalmente distribuído para 0,5% dos usuários do Chrome em algumas regiões – por enquanto, isso significa a Austrália, Brasil, Canadá, Índia, Indonésia, Japão, México, Nova Zelândia, Filipinas e os EUA. Os usuários nessas regiões serão escolhidos de maneira completamente aleatória, independentemente das configurações de anúncio e privacidade do navegador. Somente usuários que desativaram cookies de terceiros no Chrome serão excluídos.

Além disso, a equipe por trás do FLoC solicitou que o Google aumente a amostra de 0,5 para 5% dos usuários, para que as empresas de tecnologia possam treinar melhor os modelos de Machine Learning usando os novos dados. Se essa solicitação for acatada, dezenas ou centenas de milhões de usuários adicionais serão incluidos no teste. Os usuários foram inscritos no teste automaticamente. Ainda não há como optar por não participar.

Versões futuras do Chrome adicionarão controles dedicados para isto que o Google chama de “Sandbox de Privacidade”, que inclui o FLoC. Mas não é claro quando essas configurações serão lançadas. Assim, por ora os usuários que desejam desligar o FLoC só podem fazê-lo desativando os cookies de terceiros.

Desligar os cookies de terceiros não é uma má ideia em geral. Afinal, esses cookies estão no centro dos problemas de privacidade que o Google diz que quer resolver. Mas desligá-los completamente é uma contramedida bruta, que quebra muitas conveniências (como logon único) nas quais os usuários da Web confiam. Usuários do Chrome conscientes sobre privacidade geralmente empregam ferramentas mais direcionadas, incluindo extensões, como o Privacy Badger, para evitar o rastreamento baseado em cookies. Infelizmente, as extensões do Chrome ainda não são capazes de controlar se um usuário expõe um ID de FLoC. Os sites também não estão sendo solicitados a optar.

O FLoC computa um rótulo de grupo com base no histórico de navegação. Para o teste, o Google vai usar os sites que servem anúncios – isto é, a maioria dos sites na web. Os sites podem optar por ser incluídos em computações de FLoC enviando um cabeçalho HTTP, mas alguns provedores de hospedagem não fornecem aos clientes controle direto sobre os cabeçalhos de seus sites. Muitos proprietários de sites provavelmente não estão cientes do teste.

Isso é um problema porque significa que os sites perdem controle sobre como os dados dos visitantes serão processados. Na prática atual, um administrador de site tem que tomar uma decisão deliberada de incluir o código de um anunciante em sua página. Os sites geralmente podem, pelo menos em teoria, optar por fazer parceria com anunciantes para gerar receita, limitados pelas suas políticas de privacidade. Contudo, agora, informações sobre a visita de um usuário a um site serão embrulhadas em seu ID do FLoC, que será amplamente disponíbilizado pela web (mais sobre isso na próxima seção). Mesmo que um site tenha uma forte política de privacidade e relacionamentos com anunciantes responsáveis, uma visita pode afetar como os rastreadores o vêem em outros contextos. O ID do FLoC de cada usuário – o rótulo que reflete seu histórico de navegação da semana passada – estará disponível para qualquer site ou rastreador que o quiser.

Qualquer um pode se inscrever nesse teste de origem do Chrome. Depois de cadastrado, pode-se acessar os IDs dos FLoCs dos usuários que foram escolhidos para o teste. Isso inclui o vasto ecossistema de anunciantes sem nome ao qual seu navegador se conecta sempre que você visita a maioria dos sites. Se você faz parte do teste, dezenas de empresas podem obter o ID de FLoC de cada site que você visita. Haverá mais de 33.000 grupos possíveis.

Uma das porções mais importantes da especificação do FLoC que ficou indefinida é exatamente quantos grupos existem. O Google fez um experimento preliminar empregando IDs de grupo de 8 bits, o que significa que havia apenas 256 grupos possíveis. Isso limitava a quantidade de rastreadores que poderiam saber o ID de grupo de um determinado usuário.

No entanto, um exame mais recente do Chrome revela que a versão ao vivo do FLoC usa identificadores de grupos de 50 bits. Os grupos são então juntados em lotes de 33.872 grupos, 100 vezes mais do que no primeiro experimento do Google. O Google disse que isso vai garantir que “milhares de pessoas sejam juntadas em cada grupo, de forma a que ninguém possa ser identificado individualmente”. Mas os IDs de grupo ainda vão expor muitas informações – cerca de 15 bits – e vão dar um grande peso a ítens biométricos, como impressões digitais.

O Google prometeu adotar salvaguardas para que os grupos não estejam muito correlacionados com “categorias sensíveis” como raça, sexualidade ou condições médicas. Para monitorar isso, o Google planeja coletar dados sobre quais sites são visitados por usuários em cada grupo. O teste provavelmente durará até julho. O Google liberou um whitepaper descrevendo como será sua abordagem.

Fico feliz em ver uma proposta específica, mas o Whitepaper dá um jeito de contornar os problemas mais prementes. A questão que o Google devia perguntar é: “Podemos, eticamente, segmentar grupos vulneráveis?”; O white paper reduz isso para “Podemos segmentar as pessoas que visitaram um site específico?”. Esta é uma simplicação perigosa. Em vez de trabalhar no problema difícil, o Google escolheu se concentrar em uma versão mais fácil que acredita poder resolver. Enquanto isso, não está conseguindo endereçar os graves potenciais problemas do FLoC.

Durante o teste, qualquer usuário que tenha ativado “Chrome Sync” (deixando o Google coletar seu histórico de navegação), e que não tenha desabilitado nenhuma das várias configurações de compartilhamento padrão, compartilhará o ID de grupo ligado ao seu histórico de navegação..

Na tentativa de mitigar essa potencial intrusão, o Google irá então verificar se cada usuário visitou quaisquer sites que considere parte de uma “categoria sensível”. Por exemplo, o WebMD poderá ser rotulado na categoria “Médica”, ou o Pornhub na categoria “Adulto” (ambas sensíveis). Se muitos usuários em um grupo visitaram um tipo específico de site “sensível”, o Google obfuscará esse grupo. Quaisquer usuários que fizerem parte de grupos “sensíveis” serão colocados em um grupo “vazio” (na tentativa “proteger” esses usuários por obfuscação). É claro que os rastreadores ainda poderão ver que os referidos usuários fazem parte do grupo “vazio”, ​​revelando que, logo, eles eram originalmente classificados como do grupo “sensível”.

Para o teste de origem, o Google está recorrendo ao seu enorme tesouro personalizado de dados de navegação. No futuro, o Google planeja usar outra tecnologia (não especificada) de preservação de privacidade para fazer a mesma coisa sem acessar o histórico de navegação dos indivíduos.

Independentemente de como o Google faz isso, esse plano não resolverá os maiores problemas com FLoC: discriminação e segmentação predatória. A proposta repousa sobre a suposição de que as pessoas em “categorias sensíveis” visitarão sites específicos “sensíveis”, e que as pessoas que não estão nesses grupos não visitarão esses sites. Mas o comportamento humano se correlaciona com a demografia de maneira não intuitiva. É altamente provável que certas demografias visitem um subconjunto diferente da web do que outras demografias, e que tal comportamento não seja capturado pelo simples enquadramento de “sites sensíveis” do Google. Por exemplo, pessoas com depressão podem exibir comportamentos de navegação semelhantes, mas não necessariamente algo explícito e direto, como, por exemplo, visitar o site “depression.org”. Enquanto isso, as empresas de rastreamento são bem equipadas para reunir o tráfego de milhões de usuários, vinculá-lo a dados sobre demografia ou comportamento e decodificar quais grupos estão ligados a quais traços sensíveis. O sistema do Google, conforme proposto, não tem como parar isso.

O Google poderia fazer a escolha de desmantelar os antigos andaimes da vigilância sem substituí-los por algo novo e unicamente prejudicial. O Google não conseguiu abordar de verdade os possíveis danos do FLoC, ou mesmo nos convencer de que esses danos podem ser abordados. Em vez disso, ele está levando a cabo um teste que compartilhará novos dados sobre milhões de usuários desavisados. Este é outro passo na direção errada.

Fonte: Electronic Frontier FoundationLicença Creative Commons

Publicado em in Cripto

A Criptografia Homomórfica se Prepara para a Estréia

Noticias da IBM dão conta de que o primeiro sistema de encriptação homomórfica comercial está quase pronto para o horário nobre. É uma tecnologia realmente disruptiva que poderá tornar o Capitalismo de Vigilância uma tendência do passado. Primeiro, algum contexto. Existem três categorias gerais de criptografia. As duas clássicas são a criptografia para quando os dados estão em repouso ou armazenados, e a outra para “dados em trânsito”, que protege a confidencialidade dos dados que estão sendo transmitidos por uma rede.

A terceira é a peça que está faltando: a capacidade de computar chaves criptográficas para os dados, enquanto ainda eles ainda estão sendo processados. Uma criptografia dinâmica em tempo real, pode-se dizer.

Esta última é a chave para desbloquear todos os tipos de novos casos de uso. Isso porque, com a tecnologia comum disponível hoje, os dados têm forçosamente que ser desencriptados para que possam ser processados, o que sempre cria uma janela de vulnerabilidade. Essa janela de vulnerabilidade torna as empresas relutantes em compartilhar dados altamente sensíveis envolvendo, por exemplo, finanças ou saúde.

Com FHE [Fully Homomorphic Encryption – Encriptação Totalmente Homomórfica], é possível manter os dados criptografados o tempo todo, nunca expondo-os durante o processo de computação. No passado, de uma maneira ou outra tínhamos a capacidade de criptografar os dados a) em repouso e b) em trânsito. Porém, historicamente nunca tivemos a capacidade de manter os dados criptografados durante o processamento.

À esquerda, a encriptação tradicional, onde os dados precisam ser desencriptados para serem processados (em vermelho). À direita, na encriptação homomórfica, os dados são processados mesmo estando encriptados.

Com a FHE, os dados podem permanecer criptografados enquanto são usados ​​por um aplicativo. Imagine, por exemplo, um aplicativo de navegação em um smartphone que possa dar a direção a seguir sem realmente poder ver qualquer informação ou localização pessoal do usuário.

As empresas estão potencialmente interessadas em FHE porque isso permitiria a elas aplicar “inteligência artificial” aos dados e, ao mesmo tempo, prometer honestamente aos usuários que a empresa não tem como visualizar ou acessar os dados subjacentes.

Embora o conceito de criptografia homomórfica tenha existido e sido de interesse por décadas, a FHE sempre exigiu um enorme poder de computação, o que sempre foi muito custoso para ser praticável.

Mas os pesquisadores fizeram grandes avanços nos últimos anos.

Por exemplo, em 2011 era preciso 30 minutos para processar um único bit usando FHE. Em 2015, os pesquisadores já podiam comparar dois genomas humanos inteiros usando a FHE em menos de uma hora.

A IBM vem trabalhando em FHE há mais de uma década, e está finalmente atingindo um ponto em que está pronta para começar a adotar a FHE de maneira mais ambiciosa. E aí então entra o próximo desafio: a adoção generalizada. Há atualmente poucas organizações com habilidades e conhecimentos para implementar a FHE. “

Próximos passos

Para acelerar esse desenvolvimento, a IBM Research lançou ferramentas de código aberto, para fomentar o envolvimento dos desenvolvedores, enquanto a IBM Security lançou seu primeiro serviço comercial de FHE em dezembro de 2020.

Essas iniciativas se destinam a estimular os clientes a trabalhar em protótipos e experimentar a criptografia totalmente homomórfica. São dois objetivos imediatos: Primeiro, educar os clientes sobre como construir aplicações compatíveis com FHE e, em seguida, dar a eles as ferramentas e ambientes de hospedagem adequados para executar esses tipos de aplicações. No curto prazo, a IBM prevê que as perspectivas sejam muito atraentes para indústrias altamente reguladas, como serviços financeiros e saúde. Esses serviços têm uma grande necessidade de desbloquear o valor de seus dados, mas também enfrentam pressões extremas para proteger e preservar a privacidade dos dados que estão computando.

Com o tempo, uma gama mais ampla de empresas se beneficiará da FHE. Muitos setores querem melhorar seu uso de dados, o que está se tornando um diferencial competitivo no mercado. Isso inclui o uso de FHE para ajudar a impulsionar novas formas de colaboração e monetização. À medida que isso acontece, a IBM espera que esses novos modelos de segurança estimulem uma maior adoção corporativa de suas plataformas híbridas de nuvem.

Por meu lado, desejo MERDA, à IBM em sua estréia. Estávamos realmente precisando disso. Saúde!