Fazer perguntas de segurança

Agradecimentos especiais a Hudson Jameson, OfficerCIA e samczsun pelo feedback e pela revisão.

Na semana passada, circulou um artigo sobre uma empresa que perdeu US$ 25 milhões quando um funcionário do setor financeiro foi convencido a enviar uma transferência bancária para um golpista que fingia ser o diretor financeiro... no que parece ter sido uma chamada de vídeo muito convincente e falsa.

Deepfakes (ou seja. O áudio e o vídeo falsos gerados por IA estão aparecendo cada vez mais frequentemente no espaço criptográfico e em outros lugares. Nos últimos meses, deepfakes meus foram usados para anunciar todos os tipos de golpes, bem como moedas de cachorro. A qualidade dos deepfakes está melhorando rapidamente: enquanto os deepfakes de 2020 eram embaraçosamente óbvios e ruins, os dos últimos meses estão ficando cada vez mais difíceis de distinguir. Alguém que me conhece bem ainda pode identificar o vídeo recente em que eu estou vendendo uma moeda de cachorro como falso, porque nele eu digo "let'sf*inggo" (vamos lá), enquanto eu só usei "LFG" para significar "looking for group" (procurando um grupo), mas as pessoas que só ouviram minha voz algumas vezes podem ser facilmente convencidas.

Os especialistas em segurança a quem mencionei o roubo de US$ 25 milhões acima confirmam uniformemente que foi uma falha excepcional e constrangedora da segurança operacional da empresa em vários níveis: a prática padrão é exigir vários níveis de aprovação antes que uma transferência próxima a esse valor possa ser aprovada. Mas, mesmo assim, o fato é que, a partir de 2024, um fluxo de áudio ou mesmo de vídeo de uma pessoa não é mais uma forma segura de autenticar quem ela é.

Isso levanta a questão: o que é?

Os métodos criptográficos por si só não são a resposta

A capacidade de autenticar pessoas com segurança é valiosa para todos os tipos de pessoas em todos os tipos de situações: indivíduos que recuperam suas carteiras de recuperação social ou multisig, empresas que aprovam transações comerciais, indivíduos que aprovam grandes transações para uso pessoal (por exemplo, para investir em uma startup, comprar uma casa, enviar remessas), seja com criptomoedas ou com moeda fiduciária, e até mesmo membros da família que precisam se autenticar em emergências. Portanto, é muito importante ter uma boa solução que possa sobreviver à próxima era de deepfakes relativamente fáceis.

Uma resposta a essa pergunta que ouço com frequência nos círculos de criptografia é: "o senhor pode se autenticar fornecendo uma assinatura criptográfica de um endereço anexado ao seu perfil ENS / prova de humanidade / chave PGP pública". Essa é uma resposta atraente. No entanto, isso perde completamente a razão pela qual envolver outras pessoas ao assinar transações é útil em primeiro lugar. Suponha que o senhor seja um indivíduo com uma carteira multisig pessoal e esteja enviando uma transação que deseja que alguns co-signatários aprovem. Em que circunstâncias eles aprovariam isso? Se eles estiverem confiantes de que o senhor é quem realmente quer que a transferência aconteça. Se for um hacker que roubou sua chave ou um sequestrador, eles não aprovariam. Em um contexto empresarial, o senhor geralmente tem mais camadas de defesa, mas, mesmo assim, um invasor poderia se passar por um gerente não apenas para a solicitação final, mas também para os estágios anteriores do processo de aprovação. Eles podem até mesmo sequestrar uma solicitação legítima em andamento fornecendo o endereço errado.

Assim, em muitos casos, o fato de os outros signatários aceitarem que o senhor é o senhor se assinar com a sua chave acaba com o objetivo principal: transforma todo o contrato em um multisig 1 de 1, em que alguém só precisa obter o controle da sua única chave para roubar os fundos!

É aqui que chegamos a uma resposta que realmente faz sentido: perguntas de segurança.

Perguntas sobre segurança

Suponha que alguém lhe envie uma mensagem de texto afirmando ser uma pessoa específica que é sua amiga. Eles estão enviando mensagens de texto de uma conta que o senhor nunca viu antes e afirmam ter perdido todos os seus dispositivos. Como o senhor determina se eles são quem dizem ser?

Há uma resposta óbvia: pergunte a eles coisas que somente eles saberiam sobre suas vidas. Essas devem ser coisas que o senhor deve fazer:

1. O senhor sabe
2. O senhor espera que eles se lembrem
3. A Internet não sabe
4. São difíceis de adivinhar
5. O ideal é que mesmo alguém que tenha hackeado bancos de dados de empresas e do governo não saiba

O mais natural é perguntar a eles sobre experiências compartilhadas. Alguns exemplos possíveis são:

• Quando nós dois nos vimos pela última vez, em que restaurante jantamos e que comida o senhor comeu?
• Qual de nossos amigos fez essa piada sobre um político antigo? E qual foi o político?
• De qual filme que assistimos recentemente o senhor não gostou?
• O senhor sugeriu na semana passada que eu conversasse com eles sobre a possibilidade de nos ajudarem com a pesquisa?

Exemplo real de uma pergunta de segurança que alguém usou recentemente para me autenticar.

Quanto mais exclusiva for sua pergunta, melhor. As perguntas que estão no limite, em que a pessoa precisa pensar por alguns segundos e pode até esquecer a resposta, são boas: mas se a pessoa que o senhor está perguntando alegar que esqueceu, faça mais três perguntas. Perguntar sobre detalhes "micro" (o que alguém gostava ou não gostava, piadas específicas, etc.) geralmente é melhor do que detalhes "macro", porque os primeiros geralmente são muito mais difíceis de serem descobertos acidentalmente por terceiros (por exemplo, o senhor pode ter uma ideia do que está acontecendo? se pelo menos uma pessoa postou uma foto do jantar no Instagram, os LLMs modernos podem muito bem ser rápidos o suficiente para perceber isso e fornecer a localização em tempo real). Se sua pergunta for potencialmente adivinhável (no sentido de que há apenas algumas opções possíveis que fazem sentido), aumente a entropia adicionando outra pergunta.

Muitas vezes, as pessoas deixarão de se envolver em práticas de segurança se elas forem monótonas e chatas, portanto, é saudável tornar as perguntas sobre segurança divertidas! Elas podem ser uma maneira de lembrar experiências positivas compartilhadas. E elas podem ser um incentivo para que o senhor tenha essas experiências em primeiro lugar.

Complementos para perguntas de segurança

Nenhuma estratégia de segurança isolada é perfeita e, portanto, é sempre melhor combinar várias técnicas.

• Palavras-código pré-acordadas: quando estiverem juntos, concordem intencionalmente com uma palavra-código compartilhada que possa ser usada posteriormente para autenticar um ao outro.
• Talvez até cheguem a um acordo sobre uma chave de coação: uma palavra que possa ser inocentemente inserida em uma frase e que sinalize discretamente para o outro lado que o senhor está sendo coagido ou ameaçado. Essa palavra deve ser comum o suficiente para parecer natural quando for usada, mas rara o suficiente para que o senhor não a insira acidentalmente em seu discurso.
• Quando alguém estiver lhe enviando um endereço de ETH, peça a essa pessoa que o confirme em vários canais (por exemplo, o Signal e DM do Twitter, no site da empresa ou até mesmo por meio de um conhecido em comum)
• Proteja-se contra ataques man-in-the-middle: É bom entender e ficar atento aos "números de segurança" do Signal, aos emojis do Telegram e a recursos semelhantes.
• Limites diários e atrasos: simplesmente imponha atrasos em ações altamente consequentes e irreversíveis. Isso pode ser feito no nível da política (pré-acordar com os signatários que eles esperarão por N horas ou dias antes de assinar) ou no nível do código (impor limites e atrasos no código do contrato inteligente)

Um possível ataque sofisticado em que um invasor se faz passar por um executivo e um beneficiário em várias etapas de um processo de aprovação. As perguntas de segurança e os atrasos podem se proteger contra isso; provavelmente é melhor usar ambos.

As perguntas de segurança são boas porque, ao contrário de muitas outras técnicas que falham por não serem amigáveis aos seres humanos, as perguntas de segurança se baseiam em informações que os seres humanos são naturalmente bons em lembrar. Uso perguntas de segurança há anos e esse é um hábito que, na verdade, parece muito natural e não é estranho, e vale a pena incluí-lo em seu fluxo de trabalho, além das outras camadas de proteção.

Observe que as perguntas de segurança "de indivíduo para indivíduo", conforme descrito acima, são um caso de uso muito diferente das perguntas de segurança "de empresa para indivíduo", como quando o senhor liga para o banco para reativar seu cartão de crédito depois que ele foi desativado pela 17ª vez após viajar para outro país e, depois de passar pela fila de 40 minutos de música irritante, um funcionário do banco aparece e pergunta seu nome, sua data de nascimento e talvez suas três últimas transações. Os tipos de perguntas para as quais um indivíduo sabe as respostas são muito diferentes daquelas para as quais uma empresa sabe as respostas. Por isso, vale a pena pensar nesses dois casos separadamente.

A situação de cada pessoa é única e, portanto, os tipos de informações compartilhadas exclusivas que o senhor tem com as pessoas com as quais talvez precise se autenticar são diferentes para cada pessoa. Em geral, é melhor adaptar a técnica às pessoas, e não as pessoas à técnica. Uma técnica não precisa ser perfeita para funcionar: a abordagem ideal é combinar várias técnicas ao mesmo tempo e escolher as técnicas que funcionam melhor para o senhor. Em um mundo pós-deepfake, precisamos adaptar nossas estratégias à nova realidade do que agora é fácil de falsificar e do que continua sendo difícil de falsificar, mas, enquanto fizermos isso, manter a segurança continua sendo bem possível.

Isenção de responsabilidade：

1. Este artigo foi reimpresso de[Vitalik Buterin], Todos os direitos autorais pertencem ao autor original[Vitalik Buterin]. Se houver alguma objeção a essa reimpressão, entre em contato com a equipe do Gate Learn, que tratará do assunto imediatamente.
2. Isenção de responsabilidade: Os pontos de vista e opiniões expressos neste artigo são de responsabilidade exclusiva do autor e não constituem consultoria de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que mencionado, é proibido copiar, distribuir ou plagiar os artigos traduzidos.