Universidade Federal de Minas Gerais

Juliana Braga/UFMG
fernando%20quint%E3o%20-%20juliana%20braga.jpg
Fernando Quintão: inteligência artificial detecta vazamentos de informação sigilosa

Ferramenta 'antirroubo' desenvolvida no DCC detecta falhas de segurança em softwares de criptografia

terça-feira, 1 de dezembro de 2015, às 5h56

Entre os bilhões de caminhos do mundo virtual por onde trafegam informações, há aqueles mais vulneráveis a ataques para roubo de dados. Ferramenta desenvolvida por pesquisadores da UFMG detecta as vulnerabilidades, possibilitando correções que tornam os programas mais seguros.

"Nosso algoritmo, FlowTracker, já encontrou falhas de segurança em conhecidos softwares de criptografia, como Open SSL e TrueCript. Por outro lado, provou que NaCl, também famoso sistema criptográfico, é muito seguro", relata o professor Fernando Magno Quintão Pereira, do Departamento de Ciência da Computação (DCC).

Com interface web para acesso gratuito, sem necessidade de instalação de qualquer software, o FlowTracker tem potencial para se tornar uma espécie de selo ou certificação capaz de atestar se um programa protege a privacidade dos seus usuários. Por ser complexa, a ferramenta não é adequada para uso do público comum, mas para desenvolvedores de programas. "A grande comunidade de usuários se beneficia, de forma indireta, da maior segurança agregada pela ferramenta", pondera Fernando Quintão.

Ele acredita que o algoritmo e suas técnicas podem agregar valor à produção brasileira nessa área. "Embora seja um dos maiores desenvolvedores de software, o Brasil não produz algoritmos de codificação de criptografia ou para controle de sistemas críticos, como os de aviação. Ferramentas como essa podem contribuir para tornar o desenvolvimento de software no país mais preciso", observa.

Compiladores
De acordo com o pesquisador, estima-se que mais de 200 bilhões de dólares são gastos por ano, no mundo inteiro, para prevenir ou remediar o roubo de informações sigilosas. "Na Internet, trafegam nomes, valores, dados públicos ou altamente sigilosos. Obviamente, há criminosos que se especializaram em roubar essas informações, o que afeta instituições – como bancos e tribunais – e as redes sociais das pessoas", enfatiza o professor, destacando a dificuldade de garantir proteção, pois há milhões de caminhos em um programa de tamanho médio. "O que nossa ferramenta faz é encontrar exatamente aqueles que são mais vulneráveis a ataques", esclarece.

Para detectar possíveis vazamentos de dados em um universo tão vasto, os criadores do FlowTracker utilizam os chamados compiladores, tipo de software que traduz para linguagem de máquina qualquer uma das mais de 600 linguagens de programação usadas por programadores. Nesse processo de tradução, o compilador analisa todos os caminhos do programa.

"Aproveitamos, desse modo, as análises de códigos para encontrar falhas de segurança, ou seja, pontos de onde a informação sigilosa pode vazar para chegar até canais de leitura. Usamos inteligência artificial para resolver um problema que vai além da capacidade de um ser humano normal", explica.

Fernando Quintão e o doutorando Bruno Rodrigues descobriram maneiras muito eficientes de eliminar alguns caminhos que são redundantes, já que uma das inovações do FlowTracker é saber o que descartar, concentrando-se nas áreas vulneráveis.

O algoritmo realiza a análise em poucos segundos, enquanto os concorrentes levariam minutos ou horas para terminar a mesma tarefa. Por isso, pode ser usado em programas muito grandes, já tendo encontrado falhas reais em algumas bibliotecas de criptografia, ao passo que outras se mostraram seguras.

Entre as falhas encontradas, destacam-se os chamados "vazamentos por canais laterais". Esse tipo de vazamento ocorre em algoritmos de criptografia que levam tempos diferentes para decodificar segredos distintos. Esse descompasso oferece a um hacker brechas para quebrar a proteção criptográfica. O ideal é que a ferramenta leve o mesmo tempo para criptografar dados de usuários distintos.

Atestar a segurança de um programa é tão importante quanto encontrar falhas, porque orienta os usuários, ressalta Fernando Quintão. "Acreditamos que essa pesquisa tem valor para a indústria, pois informação é algo caro, e saber que um algoritmo é seguro, sem vazamentos, vale muito", diz. Ele explica que, embora pudesse tentar patentear a ideia, seu grupo de pesquisas preferiu manter o código aberto e obter o feedback da comunidade de desenvolvedores.

Devido à ferramenta, Fernando Quintão hoje realiza trabalhos acadêmicos em colaboração com o pesquisador Diego Aranha, da Universidade Estadual de Campinas (Unicamp), que, há alguns anos, detectou falhas no software da urna eletrônica utilizada pelo Tribunal Superior Eleitoral. "Ele nos conheceu quando usou o FlowTracker para validar um algoritmo dele, viu que tinha falhas e fez mudanças, para ficar mais seguro", relata Quintão, que tem vários artigos sobre o tema publicados em português, por meio do Simpósio Brasileiro de Segurança e de Sistemas Computacionais (SBSeg).

A contribuição de Bruno Rodrigues para a pesquisa foi importante para eliminar os caminhos redundantes, objeto de tese que será defendida ainda neste ano. "Os brasileiros são muito bons em criptografia e certificação, devido a uma vasta pesquisa e à existência de uma grande comunidade especializada nessa área. Já a UFMG é pioneira no uso de compiladores para rastrear informação em busca de falhas de segurança em estrutura de dados", afirma o professor.

A pesquisa que deu origem ao algoritmo foi financiada pela Fapemig, pelo CNPq e pela Intel Corporation.

(Ana Rita Araújo/Boletim 1922)

05/set, 13h24 - Coral da OAP se apresenta no Conservatório, nesta quarta

05/set, 13h12 - Grupo de 'drag queens' evoca universo LGBT em show amanhã, na Praça de Serviços

05/set, 12h48 - 'Domingo no campus': décima edição em galeria de fotos

05/set, 9h24 - Faculdade de Medicina promove semana de prevenção ao suicídio

05/set, 9h18 - Pesquisador francês fará conferência sobre processos criativos na próxima semana

05/set, 9h01 - Encontro reunirá pesquisadores da memória e da história da UFMG

05/set, 8h17 - Sessões do CineCentro em setembro têm musical, comédia e ficção científica

05/set, 8h10 - Concerto 'Jovens e apaixonados' reúne obras de Mozart nesta noite, no Conservatório

04/set, 11h40 - Adriana Bogliolo toma posse como vice-diretora da Ciência da Informação

04/set, 8h45 - Nova edição do Boletim é dedicada aos 90 anos da UFMG

04/set, 8h34 - Pesquisador francês aborda diagnóstico de pressão intracraniana por meio de teste audiológico em palestra na Medicina

04/set, 8h30 - Acesso à justiça e direito infantojuvenil reúnem especialistas na UFMG neste mês

04/set, 7h18 - No mês de seu aniversário, Rádio UFMG Educativa tem programação especial

04/set, 7h11 - UFMG seleciona candidatos para cursos semipresenciais em gestão pública

04/set, 7h04 - Ensino e inclusão de pessoas com deficiência no meio educacional serão discutidos em congresso

Classificar por categorias (30 textos mais recentes de cada):
Artigos
Calouradas
Conferência das Humanidades
Destaques
Domingo no Campus
Eleições Reitoria
Encontro da AULP
Entrevistas
Eschwege 50 anos
Estudante
Eventos
Festival de Inverno
Festival de Verão
Gripe Suína
Jornada Africana
Libras
Matrícula
Mostra das Profissões
Mostra das Profissões 2009
Mostra das Profissões e UFMG Jovem
Mostra Virtual das Profissões
Notas à Comunidade
Notícias
O dia no Campus
Participa UFMG
Pesquisa
Pesquisa e Inovação
Residência Artística Internacional
Reuni
Reunião da SBPC
Semana de Saúde Mental
Semana do Conhecimento
Semana do Servidor
Seminário de Diamantina
Sisu
Sisu e Vestibular
Sisu e Vestibular 2016
UFMG 85 Anos
UFMG 90 anos
UFMG, meu lugar
Vestibular
Volta às aulas

Arquivos mensais:
outubro de 2017 (1)
setembro de 2017 (33)
agosto de 2017 (206)
julho de 2017 (127)
junho de 2017 (171)
maio de 2017 (192)
abril de 2017 (133)
março de 2017 (205)
fevereiro de 2017 (142)
janeiro de 2017 (109)
dezembro de 2016 (108)
novembro de 2016 (141)
outubro de 2016 (229)
setembro de 2016 (219)
agosto de 2016 (188)
julho de 2016 (176)
junho de 2016 (213)
maio de 2016 (208)
abril de 2016 (177)
março de 2016 (236)
fevereiro de 2016 (138)
janeiro de 2016 (131)
dezembro de 2015 (148)
novembro de 2015 (214)
outubro de 2015 (256)
setembro de 2015 (195)
agosto de 2015 (209)
julho de 2015 (184)
junho de 2015 (225)
maio de 2015 (248)
abril de 2015 (215)
março de 2015 (224)
fevereiro de 2015 (170)

Expediente