Seminário reúne especialistas entre os dias 2 e 5 de abril para discutir tendências e inovação em computação. Apresentação de trabalhos do SecRET, da UFPR, terá foco em soluções para malware e análise comportamental
Investigação em cibersegurança será foco dos trabalhos a serem apresentados pelos pesquisadores do Departamento de Informática da UFPR no 16° do Computer on the Beach, entre os dias 2 e 5 de abril, na Univali, em Itajaí, SC. Neste ano, o evento destaca a importância da computação para o alcance dos Objetivos de Desenvolvimento Sustentável (ODS) da ONU, especialmente nas áreas de saúde, igualdade de gênero e cidades sustentáveis.
O evento também terá workshops e palestras sobre tendências e inovações na área de computação, uso de técnicas de gamificação para melhorar a educação e o engajamento dos alunos, e debates sobre novas tecnologias e suas aplicações práticas. Nesta edição, três trabalhos inscritos pelos pesquisadores do SecRET, grupo de pesquisa em segurança cibernética e engenharia reversa ligado ao Programa de Pós-Graduação en Informática (PPGinf) da UFPR, abordarão soluções para malware e análise comportamental de códigos maliciosos.
Embora abordem diferentes áreas da segurança cibernética, os trabalhos a serem apresentados pela equipe do SecRET compartilham um objetivo comum: desenvolver métodos mais eficazes para proteger sistemas e dados contra ameaças. Os três estudos utilizam técnicas avançadas de análise de dados e aprendizado de máquina para identificar padrões e comportamentos que indicam atividades maliciosas.
Para o coordenador do SecRET e pesquisador do Centro de Computação Científica e Software Livre (C3SL) e do Dinf, André Grégio, o evento tem alcance nacional, e é uma rica oportunidade para que os pesquisadores e alunos ganhem experiência na comunicação científica, aprimorando a carreira acadêmica. “A participação dos alunos de graduação e pós do SecRET é muito importante para a formação desses estudantes como cientistas, uma vez que muitos estão apresentando seus trabalhos de pesquisa pela primeira vez. O evento tem alcance nacional e servirá também de palco para que as alunas e alunos ganhem experiência em falar em público, explicar de forma didática e em tempo hábil seus trabalhos, além de responder perguntas do público. Para muitos, é um primeiro passo na carreira acadêmica”, destaca. Confira abaixo os artigos a serem apresentados:
“Avaliação de Abordagens para Classificação de Malware Bancário sob a Presença de Concept Drift”: artigo de autoria da mestranda em informática, Eloiza Rossetto dos Santos, orientada pelos docentes do DInf, André Grégio e Paulo Lisboa de Almeida. O estudo aborda o desafio de classificar malware bancário em um cenário onde os padrões de ataque evoluem constantemente, um fenômeno conhecido como “concept drift”. O artigo traz contribuições relevantes para o uso de aprendizado de máquina no combate a ameaças cibernéticas, especialmente no contexto brasileiro.
Segundo Eloiza, o trabalho desenvolvido junto com os professores Paulo e Grégio, analisa malware coletado de e-mails de phishing, utilizando análise dinâmica em ambiente controlado, diferentemente da análise estática predominante na literatura. “A abordagem dinâmica permitiu observar o comportamento real do malware, como acessos a arquivos ou envio de dados. Com base nos rótulos das famílias de malware, foi desenvolvido um classificador que revelou o surgimento e declínio de diferentes famílias ao longo do tempo, caracterizando o concept drift. Testamos algoritmos de aprendizado estático e incremental, sendo este último mais eficaz em adaptar-se às mudanças dinâmicas dos ataques. Um gatilho de drift foi implementado para descartar modelos antigos e treinar novos com dados atualizados, melhorando a resposta a novas ameaças”.
Entre junho de 2023 e julho de 2024, foram registradas 725 milhões de tentativas de infecção por malware no país, segundo levantamento da empresa de tecnologia Kaspersky. Apesar dos investimentos em segurança bancária online, os prejuízos financeiros continuam elevados. Além disso, os malwares evoluem constantemente para escapar de sistemas antivírus, tornando obsoletas as abordagens tradicionais de aprendizado em lotes, que assumem uma distribuição estática dos dados. O fenômeno do concept drift, caracterizado pela mudança nas características dos dados ao longo do tempo, é um desafio significativo para modelos de aprendizado de máquina. O artigo propõe o uso de aprendizado incremental, que permite adaptação às alterações na distribuição dos dados. O estudo analisou 4.621 exemplares de malware financeiro coletados entre 2017 e 2022, utilizando ferramentas de análise dinâmica para monitorar a execução desses programas em ambientes controlados. Os resultados confirmaram a presença do concept drift nos dados analisados e destacaram sua relevância para a classificação precisa de malware.
“Agrupamento de Usuários para Verificação de Viabilidade de Distinção Comportamental de Uso”: artigo produzido pelos docentes do Dinf, André Grégio e Paulo Lisboa de Almeida, pelo cofundador e CTO da BluePex S/A, Ulisses Penteado, e pelo acadêmico de Ciências da Computação pela UFPR, Marcelo Marques Ribas. O artigo aborda questões de segurança cibernética e análise comportamental, utilizando técnicas avançadas de aprendizado de máquina. Segundo o pesquisador André Grégio, coautor do trabalho, o artigo realizado em parceria com empresa privada “abordou a exploração dos dados (reais, porém anonimizados) de usuários de organizações para verificar a viabilidade da separação entre eles em grandes grupos de forma a fomentar soluções futuras de autenticação. O principal desafio, e também contribuição do trabalho, foi extrair informações dos dados brutos para gerar vetores de características que representem usuários e seus grupos baseado somente nas aplicações utilizadas e no tempo de uso delas”.
A pesquisa explora a possibilidade de identificar usuários com base em seus padrões de uso de software. A pesquisa visa verificar se é possível distinguir o comportamento de diferentes grupos de usuários, o que pode ser útil para detectar atividades suspeitas e prevenir ataques internos. Um dos aspectos abordados no estudo são os desafios enfrentados por mecanismos tradicionais de autenticação, como senhas e autenticação multifatorial. Tais mecanismos podem ser comprometidos por insiders ou roubo de credenciais.
Soluções baseadas em User and Entity Behavior Analytics (UEBA) surgem como alternativa, utilizando algoritmos para identificar padrões anômalos no comportamento de usuários e dispositivos. As questões que estão em debate no trabalho, portanto, é se é possível caracterizar corporações com base nos hábitos de uso de software dos funcionários, e se é possível identificar se um usuário pertence ou não a uma empresa específica a partir do uso de softwares. A abordagem considera o agrupamento de usuários com base em padrões similares, para detectar intrusos ou comportamentos fora do padrão.
“Detecção e Classificação de Documentos contendo Macros Maliciosas com base em Processamento de Linguagem Natural”: artigo de autoria do doutorando em informática pela UFPR, Dario Simões Fernandes Filho, do mestrando em informática, Cláudio Torres Junior, de João Pincovscy, Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações e dos docentes do Dinf, PauloLisboa de Almeida e André Grégio.
Diante do ressurgimento de vírus de macro, que exploram os recursos de programação de macro em aplicativos Microsoft Office, o estudo propõe um sistema para identificar e classificar macros como maliciosas ou benignas. Esses vírus, escritos em Visual Basic for Applications (VBA), podem causar prejuízos significativos, incluindo roubo de informações e exclusão de dados. De acordo com mestrando do Dinf e coautor do trabalho, Dario Simões, o trabalho a ser apresentado no evento aborda as funcionalidades evasivas utilizadas pelos vírus de macro, como a detecção de execução dentro de máquinas virtuais, tornando a detecção mais complexa. “O foco é basicamente mostrar uma forma eficiente de extrair informações relevantes de vírus de Macro a fim de estudar possíveis modelos que possam ser utilizados na classificação de novos arquivos como maliciosos ou não”, aponta o pesquisador.
O sistema proposto no artigo utiliza técnicas de PLN para analisar o código das macros e identificar padrões que indicam comportamento malicioso. Essa abordagem permite detectar macros ofuscados ou desconhecidos. Segundo Dario, as técnicas de NLP mostram resultados positivos na detecção de macros maliciosas, servindo como base para futuros aprimoramentos. “Os resultados foram promissores e mostram que usando as técnicas empregadas para extrair as características, é possível sim criar uma forma de detectar Macros maliciosas com Processamento de Linguagem natural. Acredito que isso possa servir como um “pontapé inicial” para que novos trabalhos possam ser feitos, aprimorando as técnicas de detecção utilizadas e melhorando os resultados obtidos na detecção”, reforça o mestrando.
Para o pesquisador, o desafio da produção do trabalho se deu principalmente diante de um cenário de escassez de estudos, bem como à complexidade da extração. “Acredito que tiveram duas partes, a primeira foi o levantamento bibliográfico, já que não há muitos trabalhos acadêmicos sobre esse assunto. Outro ponto foi sobre a extração do vetor de características, que demandou um pouco de trabalho sobre a melhor forma de extrair as características”, conclui.