Hacker mais valioso do mundo ao DanielaPress: «Quero tornar o mundo digital mais seguro para todos»

André Baptista encontrou cinco vulnerabilidades e destacou-se pela originalidade na procura dos bugs

O hacker mais valioso do mundo é português. Chama-se André Baptista e foi considerado o Most Valuable Hacker (hacker mais valioso) na “H1-202”, uma das maiores competições de hackers do mundo, que decorreu em Washington, nos Estados Unidos.

André Baptista é investigador do Centro de Sistemas de Computação Avançada do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC) e mestre em Segurança Informática pela Faculdade de Ciências da Universidade do Porto (FCUP).

Durante a competição, que decorreu nos dias 24 e 25 de março, participantes de todo o mundo tiveram de testar falhas de segurança no website e software da empresa Mapbox. André Baptista encontrou cinco vulnerabilidades e destacou-se pela originalidade na procura dos bugs e pelo esforço de equipa, tendo assim conquistado um prémio de 7.300 euros.

A competição H1-202 foi organizada pela HackerOne, plataforma conhecida por recrutar hackers para resolver problemas de segurança, com o objetivo de tornar a Internet mais segura. Além de ter participado nesta competição, André Baptista também teve a oportunidade de abordar o tema da ética de segurança num encontro com jovens de escolas secundárias da capital norte-americana.

Assim que li acerca desta conquista, e porque acredito que existe uma enorme aura de mistério à volta da atividade dos hackers, soube que tinha que ir à procura do André que, amavelmente, roubou uns minutos à sua muito agitada vida depois da conquista para conversar comigo.

 

André Baptista - o hacker mais valioso do momento é português
André Baptista – o hacker mais valioso do momento é português

 

Daniela Azevedo – André, concretamente, o que faz um hacker?
André Baptista – Ser hacker é um mindset. É alguém que gosta de arranjar uma forma criativa de resolver um determinado problema. É também uma forma diferente de olhar para o mundo digital. Um hacker, tipicamente, gosta de contornar proteções em sistemas informáticos. Tal como em todas as profissões existem pessoas boas e pessoas más. Quem trabalha na área da segurança informática tem de ser também um excelente hacker. Para isso, é preciso ter grande conhecimento sobre muitas áreas, desde o domínio de muitas linguagens de programação até conhecimentos avançados de criptografia.

DA – Como é que olhas para esta forma de “luta”?

AB – Existem hackers que participam em hacktivismo, isto é, utilizam técnicas ofensivas para fazer “justiça” ou exprimir uma opinião política. Estes hackers não são como os chamados crackers ou “black-hats”, que utilizam este tipo de conhecimentos para praticar crimes graves, como o roubo. No entanto, é também uma atividade que, caso leve à sabotagem de um sistema informático ou ao acesso não autorizado a dados, é punível por lei em Portugal e em muitos outros países. Nunca encorajei ninguém nem participei em actividades deste tipo. Eu sou um “white-hat”, isto é, um investigador que utiliza este tipo de conhecimentos em prol do desenvolvimento da área da segurança informática.

DA – Qual é a diferença entre hacker e cracker?

AB – Eu prefiro a designação “white-hat” para hackers e “black-hat” para os crackers, porque ambos os tipos são hackers do meu ponto de vista. A diferença está no modo e finalidade da utilização do conhecimento. O objctivo principal de um “black-hat” hacker é ganhar muito dinheiro, muitas vezes através de atividades ilegais e/ou sem ética. Os tipos de ataques mais frequentes são a usurpação de contas de pessoas, venda de dados, roubo, fraude, blackmail e utilização dos computadores pessoais em botnets. Os “white-hat” hackers, tal como já referi, utilizam estes conhecimentos com ética, para melhorar a segurança das pessoas, das empresas e organizações. O dinheiro também é um fator importante, como é óbvio. O salário de alguém que trabalhe nesta área para uma empresa, mesmo cá em Portugal, já está acima da média. No estrangeiro estes valores disparam para números muito superiores: cerca de 10.000 a 20.000 euros brutos por mês, ou até mais. Graças a empresas de Bug Bounty como a HackerOne ou outras iniciativas como a Pwn2Own do Zero Day Initiative, é possível aumentar os nossos rendimentos encontrando vulnerabilidades em software ou serviços de empresas de forma legal. Um investigador de segurança, de acordo com a severidade de cada falha encontrada, pode receber recompensas com valores bastante elevados. A descoberta de vulnerabilidades tem sempre impacto no negócio. No entanto, é necessário ter consciência de que há muitas empresas que não autorizam qualquer tipo de interação em termos de descoberta de vulnerabilidades. Conheço casos em que investigadores reportaram a presença de diversas vulnerabilidades numa determinada empresa portuguesa e que receberam uma carta desagradável do advogado da empresa em questão e que, por mais absurdo que pareça, lhes pedia para corrigirem as mesmas. Algumas empresas não têm ainda consciência da importância da segurança informática para os seus negócios e clientes, o que está a mudar também devido ao Regulamento Geral de Proteção de Dados.

DA – Regra geral, o que pretendem / exigem os hackers?

AB – Quem utiliza conhecimentos de hacking para atividades ilegais, normalmente exige dinheiro às suas vítimas. Os casos de ransomware tiveram bastante relevância no ano de 2017, como o ransomware “Wanna Cry”, em que foram pedidos resgates por dados que foram cifrados e que ficaram inacessíveis. Existem também as botnets, constituídas por muitos computadores pessoais que foram infetados, cujos bots servem diversas finalidades: ataques distribuídos de denial of service, mining de criptomoedas, roubo de passwords ou dados de cartões de crédito, por exemplo. O objetivo destas pessoas é sempre ganhar dinheiro. É este o tipo de hackers que se esconde e que não quer ser apanhado. No entanto considero que “o crime não compensa” neste momento devido ao facto de ser possível ganhar dinheiro de forma legal nesta área.

DA – Houve alguma invasão que te tenha divertido em particular (tua ou de outros)?

AB – Sim, encontrei uma vulnerabilidade muito crítica há algumas semanas num programa público de uma grande empresa registada na HackerOne. O processo de exploração desta vulnerabilidade foi muito interessante e divertido e o que acabei por alcançar foi extremamente gratificante. Descobri o vetor de ataque inicial numa sexta-feira e apenas no domingo à noite é que consegui “entrar” no sistema. Submeti o relatório para a empresa e eles começaram a corrigir a vulnerabilidade em questão nesse preciso momento.

 

DA – Que sanções existem para quem comete crimes deste tipo?
AB – Em Portugal, existe a Lei do Cibercrime (LEI N.º 109/2009) que teve por base a Convenção sobre CIbercrime do Conselho da Europa, relativa a ataques contra sistemas de informação. Os crimes de sabotagem informática e acesso ilegítimo são dois dos crimes previstos pela Lei do Cibercrime em Portugal. A sabotagem informática simples pode ser punível com prisão de um a cinco anos ou multa até 600 dias, enquanto que a sabotagem informática grave pode chegar aos dz anos, entre outras sanções. Considero que a Lei do Cibercrime é essencial para proteger todos os lesados por crimes informáticos, não só entidades públicas, como privadas, organizações e pessoas. No entanto, penso que a Lei do Cibercrime portuguesa, embora siga a convenção europeia, comparativamente à dos Estados Unidos, ainda não está muito madura. Provavelmente ainda não houve necessidade de a alterar dado o número baixo de casos em Portugal.

DA – Quem é que acaba por ter mais força nesta “guerra”: os hackers ou as forças de cyber security?
AB – Os “black-hats” acabam por estar muitas vezes em vantagem. Costumo fazer uma analogia com a segurança física de um edifício. Se um atacante só precisa de uma janela aberta para entrar, quem está a defender precisa de ser ainda melhor a atacar, devido ao facto de ser necessário garantir que nenhuma janela esteja aberta. Felizmente, há muitas pessoas a trabalhar, não só em Universidades mas também em empresas, para que a segurança evolua. É também um facto que descobrir vulnerabilidades hoje em dia é muito mais complexo do que há dez anos. Com o crescimento que temos vindo a assistir na área das tecnologias e das redes sociais, a segurança é um requisito que se tornou prioritário para as empresas, governos, organizações e pessoas.

DA – Portugal estava, do teu ponto de vista, preparado para receber o RGPD?

AB – Muitas empresas estão a trabalhar para isso, mas penso que, no geral, Portugal não está devidamente preparado. O Estado não vai pagar multas por não cumprir o regulamento, o que é equivalente a não se incluir a si mesmo nas regras que definiu para os outros, porque sabe que não está preparado. Por exemplo, grande parte das empresas não têm mecanismos nem meios que garantam a notificação de incidentes nas 72 horas previstas e vai ser difícil implementar os mesmos. Se a análise de logs para perceber o impacto de um eventual ataque não é fácil, preparar uma resposta e comunicar ao cliente em 72 horas é ainda mais difícil. Não sou contra este regulamento, obviamente, mas deveria ser adotado com planeamento, permitindo às empresas prestadoras de serviços crescer organicamente e com os recursos adequados, ao invés de existir uma procura intensiva de recursos, não acompanhados pela formação e adequação de profissionais, o que origina uma pressão no mercado laboral.

DA – Tiveste, recentemente, oportunidade de falar com jovens de escolas secundárias da capital norte-americana. Que mensagem procuraste transmitir-lhes?

AB – Em primeiro lugar procuro transmitir a todos os jovens a ideia de que esta área é muito divertida, que é possível trabalhar na área para o bem comum e ainda assim ter um salário muito acima da média. Obter estes conhecimentos é uma tarefa árdua e que requer muita dedicação. No entanto, hoje em dia há muito mais conteúdo do que quando eu comecei o meu “caminho”. É, portanto, necessário que os jovens tenham cuidado com a aplicação direta deste conhecimentos para atividades que possam ser ilegais, embora muitos não tenham essa consciência inicialmente. As crianças hoje em dia divertem-se com tablets e smartphones desde muito novas. Como a situação é diferente atualmente, é crucial que os pais tenham atenção a eventuais comportamentos suspeitos para prevenir que os seus filhos se juntem a grupos criminosos. É um facto que o grupo de hacktivistas Anonymous tem atraído muitos jovens de todo o mundo e é de facto muito fácil para qualquer jovem juntar-se ao grupo e realizar ataques sem qualquer tipo de experiência prévia. Acho necessário que existam campanhas de sensibilização nas escolas para prevenir este tipo de casos e consciencializar os jovens para a importância da aplicação de conhecimentos de hacking para defender sistemas em vez de os sabotar, principalmente sistemas nacionais e, assim, contribuir para a melhoria da segurança das nossas infraestruturas.

 

DA – Como é que a formação no INESC TEC te ajudou a chegar até aqui?
AB – A minha formação foi realizada na Universidade de Coimbra, onde me licenciei em Engenharia Informática, e na Universidade do Porto, onde terminei em dezembro de 2017 o Mestrado em Segurança Informática. Também aprendi muito sozinho, sempre fui autodidata, mas também participando em concursos de hacking em equipa e no C3P (Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto). No INESC TEC estou a aplicar os conhecimentos que aprendi em ambos os cursos em prol da investigação científica. Quero trabalhar para que a segurança evolua e tornar o “mundo digital” mais seguro para todos. Sendo honesto, não me considero o melhor hacker do mundo neste momento, assim como o Cristiano Ronaldo está para o futebol. Simplesmente, ganhei o título de Most Valuable Hacker numa competição muito relevante e foi uma honra enorme trazê-lo para Portugal.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.