André Baptista, fotografia de Paulo Pimenta |
Texto de Renata Monteiro para o jornal Público, em 23 de abril de 2018
André Baptista, 24 anos, sagrou-se o “hacker mais valioso” num concurso internacional de cibersegurança. Por cá, é capitão de uma equipa de hacking e investigador da UP. Recebe propostas de "valores absurdos", mas ainda não quer sair. Pelo menos para já.
O professor começava a aula e era imediatamente interrompido pelo barulho da drive dos CD que não parava de abrir e fechar. E André Baptista, agora com 24 anos e desde final de Março o "hacker mais valioso" do mundo, escondia o riso quando via o informático da escola entrar na sala e errar o diagnóstico da avaria. Aí, tinha de se levantar e admitir que aquilo acontecia “simplesmente devido a um código que tinha posto”. “A sério que dá para fazer isso?”, questionava-o de volta o informático.
Esta é, aliás, uma pergunta que o mestre e investigador em Segurança Informática no Inesc Tec ainda ouve com bastante regularidade. Até porque continua, todos os dias, “a fazer algumas brincadeiras”, mesmo que agora já não as faça a brincar — nem tampouco consiga enganar facilmente os colegas.
No Centro de Competências em Cibersegurança e Privacidade (C3P) da UP, André Baptista ajuda, por exemplo, a desenvolver e testar “aplicações seguras de comunicação para o Governo”, a fazer a “peritagem de computadores ou telemóveis enviados pela Polícia Judiciária” e colabora regularmente com o Gabinete Nacional de Segurança ou com a Comissão Nacional de Protecção de Dados, conta ao P3 à entrada do centro, sediado na Faculdade de Ciências da Universidade do Porto (FCUP), onde quase toda a gente tem as duas câmaras do telemóvel tapadas com adesivos.
Mas a sua principal estratégia de ataque, de momento, tem como alvo a equipa de hacking que treina alguns andares acima, numa sala onde a chave é virtual — para entrar, é preciso resolver um código que está colado na porta e que depois remete para um formulário onde os estudantes se podem registar na Extreme Security Task Force (xSTF).
André Baptista é, quase desde a formação da equipa, o capitão que dá aulas aos cerca de 15 estudante mais activos. Embora “não seja a típica sala escura que se vê nos filmes” — até porque ali não há "o estereótipo do hacker de capuz", a trabalhar na clandestinidade —, treinam à noite (mas só porque a equipa funciona como actividade extracurricular), normalmente duas vezes por semana. E todos os fins-de-semana há “pelo menos um concurso” à distância em que a equipa pode escolher participar ou não, a partir daquela base.
No ranking que posiciona mais de nove mil equipas espalhadas por todo o mundo — e que “pode ser interpretado como um bom indicador do nível de cibersegurança de um país” —, a xSTF surge em 67.º lugar e o objectivo é “chegar cada vez mais longe”. “É muito divertido porque funciona como se fosse um jogo: temos pontos que contam para o campeonato internacional, participamos em equipas e o objectivo é resolver verdadeiros quebra-cabeças”, explica.
Em fim-de-semana de jogo, que é como quem diz nas 48 horas que pode durar uma competição de cibersegurança a nível internacional, chamadas Capture the Flag, a sala da equipa universitária, que reúne alunos também de Física e Matemática, enche-se de pizzas e a máquina de café não pára de pingar, até porque há quem não durma até terminar o tempo.
Três membros da equipa acabam de chegar de Amesterdão onde estiveram a participar num desses desafios nos quais “simulam uma autêntica ciberguerra”, que deve ser combatida com “espírito de entreajuda”, ao contrário do concurso em que o capitão se sagrou Most Valuable Hacker. Aí, durante oito horas, André teve de descobrir sozinho falhas em softwares reais.
O hacker português foi um dos 25 especialistas convidados a atacar a Mapbox — com a autorização da empresa e a partir da própria sede da plataforma de mapas personalizáveis, em Washington, D.C., nos Estados Unidos da América, a 24 e 25 de Março. É este o modelo da H1-202, a competição internacional organizada pela HackerOne, comunidade de hackers e líderes em segurança informática “que surgiu para tornar a Internet mais segura” e onde participou também outro português, José Sousa, estudante de mestrado na UP. Nestes eventos privados, onde os portugueses conseguiram entrar devido aos bons resultados de uma primeira prova online, as empresas registam-se e pagam para, de forma totalmente legal, ter “os melhores cérebros da área” a tentarem descobrir falhas nas suas plataformas.
Baptista faz a analogia com a segurança física de um edifício. Se um atacante “só precisa de uma janela aberta para atacar”, quem está a defender “precisa de ser ainda melhor a atacar”, porque lhe cabe “garantir que nenhuma janela seja aberta”. Esta táctica de crowdsource é “muito vantajosa para as empresas” porque resulta “na descoberta de falhas com bastante severidade que têm sempre impacto no negócio”, acredita.
Durante a competição, com um prémio total de 100 mil euros, ele descobriu cinco vulnerabilidades: duas com pouca gravidade, outras duas médias e uma crítica “muito interessante”. Foi a “criatividade” com que descobriu esta última, um dos critérios da competição, bem como a interacção positiva com os outros concorrentes, que lhe valeu um prémio monetário no valor de 7300 euros, e o título de mais valioso (provado pelo cinto que se vê numa das fotografias), apesar de no ranking que ordena o número de falhas encontradas ter ficado apenas em sexto lugar. A vitória deu-lhe ainda um passe para entrar na lista de convidados dos próximos eventos privados da HackerOne.
“Não posso explicar muito bem o que fiz, porque a Mapbox não me deixa”, ri-se — mas deixa escapar. “Consegui fazer com que o servidor me enviasse um token administrativo", um privilégio que lhe deixaria as portas abertas para aceder a "toda a gestão da empresa, desde o site aos dados dos clientes a que, supostamente, apenas um número de pessoas muito restrito dentro da empresa teria acesso.”
No total, por ano, o investigador natural de Coimbra, onde fez a licenciatura antes de rumar ao Porto, estima participar em 50 concursos, maioritariamente em equipa. O “hacker mais valioso” do mundo garante que, para já e apesar das propostas “muito tentadoras” que lhe têm chegado de empresas privadas, quer continuar na área da investigação a “desenvolver coisas por cá”. “Além disso, o meu trabalho [que faz pro bono] é também tentar levar a xSTF a competições do mais alto nível como a Def Con CTF”, o equivalente à taça do mundo do hacking, cujo apuramento das dez equipas finalistas é já em Maio.
Retenção de “cérebros” em Portugal
Mesmo antes do investigador pensar em iniciar o doutoramento, Luís Antunes, director do departamento de Ciências dos Computadores da FCUP e do C3P, quer “segurá-lo como docente”. Tarefa árdua quando pesadas as propostas “de valores alucinantes” que o jovem de 24 anos recebe, de empresas portuguesas e estrangeiras, com que a administração pública “não tem capacidade financeira para concorrer”.
“Neste momento, tenho dúvidas muito sérias de que algum doutorado em Portugal tenha o conhecimento específico que ele tem na área da cibersegurança”, afiança o director que o convidou a entrar na equipa de hacking que a universidade “apoia totalmente a todos os níveis” e acredita “ajudar na capacitação de estudantes que podem colmatar lacunas grandes no mercado”. “É o ambiente mais próximo do real que se consegue simular e é um ambiente competitivo”, diz, o que “tipicamente agrada a esta geração”.
“Nesta área, o valor está nas mentes que brilham e isso pode desequilibrar a dimensão de um país”, afiança. Em Portugal, “termos cinco, dez cérebros destes, e podemos competir de igual para igual com países com cem milhões de habitantes". "Agora, temos é de ter uma estratégia de retenção destes cérebros cá”, conclui, dizendo que muitos dos 75 alunos que passaram pelo mestrado em Segurança Informática nem chegam a terminar a dissertação antes “de o mercado os vir buscar”.
Para já, ainda conseguem manter André Baptista como aliado e acreditam que, se sair, nunca passaria para o lado sombrio da força — afinal, até quando pregava uma partida inocente ele acabava por confessar.
Pergunta e resposta
#DeleteFacebook: sim ou não?
Eu continuo a utilizar o Facebook. Foi um pouco escandaloso o que aconteceu [com a Cambridge Analytica], mas a mim não me surpreendeu muito. O importante é os utilizadores terem a noção que o que publicam é público, e que estão quase a vender os seus dados. Se aceitarem isto, com consciência, então sim. Até porque hoje em dia é muito difícil fugir ao Facebook [risos].
Post it a tapar a webcam: sim ou não?
Eu não uso, mas é porque uso um adesivo próprio. Nós tapamos todos a webcam. Existem formas de filmar sem acender a luzinha; é uma das principais preocupações que as pessoas deveriam ter. Porque é relativamente fácil fazê-lo. Claro que eu nunca iria espiar quem quer que fosse.
"Hactivismo": sim ou não?
Lá está, o “hacktivismo” está no meio. Não é aquele black hat (“chapéu preto”) para roubar directamente as pessoas, mas é utilizar estes conhecimentos para exprimir uma opinião política, ou o que seja [outras formas de activismo]. Se bem que isso também é ilegal, portanto, também nunca encorajei nem participei em actividades dessas (e muito menos actividades criminosas mais graves). Eu sou um “chapéuzinho branco”, sou investigador de segurança, gosto de fazer as coisas, mas não gosto de correr o risco de ir preso. E, com alguma dedicação, dá para tirar valores se calhar até superiores aos dos black hat. Compensa, neste momento, utilizar estes conhecimentos para o bem.
Defendes com garras a ética na segurança informática. Achas que o conceito de hacker está mais desmistificado?
Ser hacker não é uma profissão, é um mindset. É querermos resolver as coisas de maneira diferente e desenvolver soluções para proteger as pessoas, empresas, países onde cada vez mais existe a necessidade de prevenir estas vulnerabilidades. É por causa de pessoas como eu, que fazem o que eu faço, que se pode no dia-a-dia utilizar as contas do email e das redes sociais na Internet, por exemplo, onde a segurança é um requisito fundamental, neste momento. As pessoas começam a ficar mais consciencializadas para o que é a segurança dos próprios dados e começa a falar-se mais nisto. Um ataque que deu muito que falar foi o Wannacry, o ano passado, por exemplo. Acho que as pessoas cada vez mais percebem isto e esquecem a ideia do tipo de capuz, numa sala escura a trabalhar sozinho e a participar em actividades criminosas, com o risco de serem apanhados e irem presos. Nós dificultamos o trabalho a estas pessoas mal-intencionadas. O que nos dizem no mestrado e nos concursos é que nós podemos realizar testes de penetração a autoridades e empresas, no entanto, não podemos utilizar estes conhecimentos para actividades criminosas. Se algum aluno daquele mestrado utilizar esse tipo de conhecimentos para o mal, desde logo nenhum o faria, mas se eventualmente algum o fizesse, seria uma vergonha enorme e poderia ser expulso. Nós repudiamos mesmo esse tipo de actividades e tentamos passar sempre a ideia ética na segurança informática. Isto é, ter consciência que nós podemos fazer isto e divertirmo-nos, mas sem causar danos, às empresas, às pessoas e que é na mesma possível usarmos esses conhecimentos para ganhar dinheiro [André fala em salários de 50 mil dólares por mês para os melhores investigadores da área].
Sem comentários:
Enviar um comentário