Como funciona a autocustódia de ativos digitais? Lista de verificação em 15 passos do cofundador da OpenAI

Título original: Como manter a segurança digital na Era de Claude Mythos (usando a lista de verificação de 15 passos de Karpathy)
Autor original: Ole Lehmann
Tradução: Peggy, BlockBeats

Nota do editor: À medida que as capacidades da IA começam a aproximar-se do limite de uma «ferramenta geral», o significado da cibersegurança também está a mudar. Já não se trata apenas de uma questão de defesa contra hackers, vírus ou fugas de dados, mas está a evoluir para um jogo de «capacidades assimétricas».

Com o lançamento do Claude Mythos pela Anthropic, que demonstra uma capacidade de deteção de vulnerabilidades ao nível de especialistas, os ataques à rede estão a entrar numa nova fase, mais dissimulada e automatizada, e a segurança individual está a passar de uma «opção» para uma «necessidade». Por um lado, o limiar de ataque está a baixar e, por outro lado, a eficácia dos ataques está a aumentar exponencialmente. Isto significa que a «segurança passiva» se tornará cada vez mais insustentável.

Neste contexto, a lista de verificação de «higiene digital» proposta por Andrej Karpathy, cofundador da OpenAI, oferece um caminho prático a seguir. Na era da IA, a segurança já não é apenas uma «solução após um incidente», mas sim parte integrante do «comportamento quotidiano». Verificação de identidade, isolamento de permissões, minimização de informações e reeducação de hábitos. Esses 15 passos, aparentemente triviais, recriam, na essência, uma barreira de segurança que um utilizador comum pode controlar.

O verdadeiro risco não reside no facto de ser alvo de um ataque, mas sim no facto de estar indefeso quando um ataque ocorre.

Segue-se o texto original:

O que é certo é que, no que diz respeito à cibersegurança, já não há margem para a negligência.

O marco «Mythos», lançado ontem pela Anthropic, marca um ponto de não retorno.

Esta tecnologia ainda não foi divulgada ao público, mas assim que cair nas mãos de agentes maliciosos (o que é quase inevitável)... irá enfrentar um ciberataque extremamente sofisticado, e a maioria das pessoas só se aperceberá disso quando já for tarde demais, antes mesmo de se darem conta de que foram alvo de uma violação.

É como a «COVID-19 do mundo do software».

É por isso que, a partir de agora, a sua cibersegurança tem de ser à prova de falhas.

Guia de Higiene Digital da Karpathy

No ano passado, Andrej Karpathy (@karpathy, cofundador da OpenAI) elaborou um «Guia de Higiene Digital», que descreve de forma sistemática os métodos básicos para se proteger na era da IA.

Este é um dos guias introdutórios mais úteis que já encontrei.

Eis todas as medidas de segurança que deve tomar nesta época de incerteza:

1. Utilize um gestor de palavras-passe (por exemplo, o 1Password)

Crie uma palavra-passe aleatória única para cada conta que possua. Quando um serviço é alvo de uma violação, os atacantes costumam utilizar essas senhas de conta para ataques de preenchimento de credenciais. Um gestor de palavras-passe pode eliminar completamente este risco e até preencher automaticamente os campos, tornando-se, na prática, mais rápido do que reutilizar palavras-passe.

2. Configurar chaves de segurança de hardware (por exemplo, YubiKey)

Trata-se de um dispositivo físico que funciona como segundo fator de autenticação para iniciar sessão. Os atacantes têm de «ter a chave física» para aceder à sua conta. Em contrapartida, os códigos SMS são facilmente roubados através de ataques de troca de cartão SIM (em que alguém se faz passar por si junto da operadora para transferir o seu número para o telemóvel dessa pessoa).

Recomenda-se adquirir 2 a 3 YubiKeys e guardá-las em locais diferentes, para evitar ficar sem acesso às suas contas caso perca uma delas.

3. Ativar a biometria em todo o lado

Por exemplo, o Face ID, o reconhecimento de impressões digitais, etc., devem estar ativados em gestores de palavras-passe, aplicações bancárias e aplicações essenciais. Esta é a terceira camada de autenticação: o próprio «tu». Ninguém pode roubar o teu rosto de uma base de dados.

4. Trate as perguntas de segurança como senhas

Perguntas como «Qual é o apelido de solteira da sua mãe?» podem ser encontradas online em 10 segundos. Deve gerar uma resposta aleatória e guardá-la no seu gestor de palavras-passe. Nunca forneça informações reais.

5. Ativar a encriptação do disco

No Mac, chama-se FileVault; no Windows, chama-se BitLocker. Se o seu computador for roubado, a encriptação garante que tudo o que o ladrão vai conseguir é um «pedaço de ferro» em vez de todos os seus dados. A ativação desta funcionalidade demora apenas 2 minutos e funciona automaticamente em segundo plano.

6. Reduzir o número de dispositivos domésticos inteligentes

Todos os «dispositivos inteligentes» são, essencialmente, computadores conectados com um microfone. Recolhem dados continuamente, ligam-se frequentemente à Internet e são frequentemente alvo de ataques. O seu monitor de qualidade do ar doméstico inteligente não precisa de saber a sua localização exata. Quanto menos dispositivos, menos vetores de ataque.

7. Use o Signal para comunicar

O Signal oferece encriptação de ponta a ponta, impedindo que qualquer pessoa (incluindo a própria plataforma, a sua operadora ou quem pretenda espiar) leia o conteúdo. As mensagens SMS normais e até mesmo as iMessage guardam metadados (quem, quando, frequência do contacto). Ative a opção «Mensagens temporárias» (por exemplo, 90 dias) para evitar que a manutenção do histórico constitua um risco.

8. Utilize navegadores que privilegiam a privacidade (por exemplo, o Brave)

Baseado no Chromium, compatível com as extensões do Chrome, oferecendo uma experiência de utilizador praticamente idêntica.

9. Alterar o motor de busca predefinido para o Brave Search

Tem o seu próprio índice (ao contrário do DuckDuckGo, que utiliza o Bing). Se um resultado da pesquisa não for satisfatório, pode adicionar «!g» para mudar para o Google. A versão paga, que custa cerca de 3 dólares por mês, vale a pena — torna-se um cliente, e não o «produto que está a ser vendido».

10. Utilize cartões de crédito virtuais (por exemplo, Privacy.com)

Gerar um número de cartão único para cada comerciante e definir limites de despesas. Pode até fornecer nomes e endereços aleatórios. Se um comerciante for alvo de um ataque, apenas o número do cartão descartável fica exposto, e não a sua identidade financeira real.

11. Utilize um endereço postal virtual

Serviços como o Virtual Post Mail recebem a sua correspondência física, digitalizam o conteúdo e permitem-lhe visualizá-lo online.

Pode decidir quais os itens que deseja eliminar e quais os que deseja reencaminhar. Desta forma, não precisa de fornecer a sua morada real a vários comerciantes desconhecidos sempre que efetuar um pagamento online.

12. Não clique em links contidos em e-mails

Os endereços de e-mail são extremamente fáceis de falsificar. Com a ajuda da IA, os e-mails de phishing atuais são quase impossíveis de distinguir dos verdadeiros. Em vez de clicar nos links, introduza manualmente o endereço do site e inicie sessão.

Ao mesmo tempo, desative a funcionalidade de carregamento automático de imagens no seu e-mail, uma vez que as imagens incorporadas são frequentemente utilizadas para verificar se abriu o e-mail.

13. Utilizar uma VPN de forma seletiva (por exemplo, Mullvad)

Uma VPN (Rede Privada Virtual) pode ocultar o seu endereço IP (o identificador único do seu dispositivo e da sua localização) dos serviços a que acede. Não é necessário mantê-lo sempre ativado, mas certifique-se de o utilizar quando estiver ligado a uma rede Wi-Fi pública ou a aceder a serviços menos fiáveis.

14. Configurar o bloqueio de anúncios ao nível do DNS (por exemplo, NextDNS)

O DNS pode ser considerado como a «lista telefónica» de um dispositivo para pesquisar sites. O bloqueio a este nível significa que os anúncios e os rastreadores são bloqueados antes mesmo de serem carregados.

E funciona com todas as aplicações e navegadores no seu dispositivo.

15. Instalar ferramentas de monitorização de rede (por exemplo, Little Snitch)

Mostra-lhe quais as aplicações no seu computador que estão a ligar-se à Internet, a quantidade de dados que estão a enviar e para onde esses dados se dirigem. Qualquer aplicação com uma frequência anormalmente elevada de «comunicação com o servidor» deve ser motivo de alerta e, provavelmente, deve ser desinstalada.

Atualmente, o Mythos continua exclusivamente nas mãos da equipa de defesa do Projeto Glasswing (como a Anthropic, a Apple, a Google, etc.). No entanto, modelos com capacidades semelhantes acabarão em breve nas mãos de agentes maliciosos (possivelmente dentro de seis meses ou até mais cedo).

É por isso que é fundamental reforçar as suas defesas de segurança agora. Dedicar 15 minutos a concluir estas configurações pode ajudá-lo a evitar uma série de problemas graves no futuro.

Fique em segurança e desejo-lhe tudo de bom.

[Link para o artigo original]