Quando falamos sobre AI Safety, muitas vezes nos limitamos a pensar em “segurança” dentro de um escopo limitado a áreas como, por exemplo, aprendizagem de máquina adversarial, “machine learning fairness” e interpretabilidade. Contudo, não podemos esquecer que modelos utilizados em aplicações reais quase nunca se encontram isolados.

Modelos de ML geralmente estão embutidos dentro de um contexto que, por mais que o modelo em questão seja robusto/justo/interpretável, ainda assim pode estar vulnerável a atacantes com agendas maliciosas. Como alguns autores já apontam, não podemos esquecer que em ML (assim como em muitas outras áreas), possuímos um problema de Segurança Sistêmica:

“A pesquisa em segurança sistêmica tem como objetivo abordar riscos contextuais mais amplos para a forma como sistemas de ML são tratados. Tanto a cyber segurança quanto a tomada de decisões podem afetar decisivamente se os sistemas de ML falharão ou serão mal dirigidos. Sistemas de aprendizagem de máquina não existem no vácuo, e a segurança do contexto maior pode influenciar a forma como tais sistemas são manuseados. É mais provável que sistemas de ML falhem ou sejam mal dirigidos se o contexto maior em que operam for inseguro ou turbulento.” (Hendrycks et al. 2022)

Dessa forma, quando falamos de “segurança” em Segurança da IA, não podemos esquecer que a Segurança da Informação deve fazer parte do nosso contexto maior. De nada adiantará um sistema robusto exposto por software mal desenvolvido, ou organizações mal administradas.

Segurança da informação é a prática de (literalmente) proteger informação, aonde buscamos prevenir ou reduzir a probabilidade de acesso não autorizado/inadequado a sistemas de informação, seja para uso ilegal, divulgação, interrupção, eliminação, corrupção, modificação, inspeção, registro ou desvalorização do dito sistema.

Cyber Segurança é um campo de estudo vasto e extremamente dinâmico, com vulnerabilidades, patches, e vulnerabilidade dos patches sendo publicadas de forma constante. Atacantes geralmente empregam de um variado arsenal de ataques para testar as defesas de seus alvos, de SQL injections e Cross-site Scripting, até DNS Cache Poisoning e Slowloris attacks. Assim, organizações devem ser prudentes e precavidas ao desenvolver seu contexto informacional. Talvez uma das formas (certamente um das mais familiares a todos nós) que podemos começar a intervir a fim de criar uma cultura de segurança, seja aprimorando como “tornamos seguras as chaves que nos asseguram”: nossas senhas.

Para isso, estamos disponibilizando em nosso site uma página intitulada “Password Security”. Nela, você encontrará informações sobre como certos tipos de ataques (Password Cracking) podem ser administrados, quais ferramentas atacantes utilizam, como criar senhas “entropicamente” seguras, e como você pode medir a segurança da sua própria senha, utilizando algumas ferramentas importadas da Teoria da Informação. Tudo isto pode se feito de forma interativa na nossa página.

Nossa página foi desenvolvida apenas para fins educacionais. Senhas e hashes quebradas foram criadas para este fim específico. SHA-1 está depreciada e não deve ser utilizada para fins de segurança. Utilizar métodos de quebra de senha para acessar sua própria senha é lícito. Utilizar métodos de quebra de senha para obter acesso à senha de outra pessoa pode levar a acusações criminais.