Hacker mais valioso do mundo quer proteger Portugal

André Baptista, 24 anos, consagrou-se o “hacker mais valioso” num concurso internacional de cibersegurança. Por cá, é capitão duma equipa de hacking e investigador da UP. Recebe propostas de “valores absurdos”, mas ainda não quer sair. Ao menos para já

O professor começava a aula e era imediatamente interrompido pelo barulho da drive dos CD que não parava de abrir e fechar. E André Baptista, neste momento com 24 anos e desde final de Março o “hacker mais valioso” do mundo, escondia o riso quando por o informático da escola entrar na sala e errar o diagnóstico da avaria. Aí, tinha de se levantar e admitir que aquilo acontecia “simplesmente devido a um código que tinha posto”. “A sério que dá para fazer isso?”, questionava-o de volta o informático.

Esta é, porém, uma pergunta que o mestre e investigador em Proteção Informática no Inesc Tec ainda ouve com bastante regularidade. Até porque continua, todos os dias, “a fazer algumas brincadeiras”, mesmo que neste momento já não as faça a brincar — nem tampouco consiga enganar apenas os colegas.

No Centro de Competências em Cibersegurança e Privacidade (C3P) da UP, André Baptista ajuda, por exemplo, a desenvolver e testar “aplicações seguras de comunicação para o Governo”, a fazer a “peritagem de PCs ou telemóveis enviados pela Polícia Judiciária” e colabora regularmente com o Gabinete Nacional de Proteção ou com a Comissão Nacional de Protecção de Dados, conta ao P3 à entrada do centro, sediado na Faculdade de Ciências da Universidade do Porto (FCUP), onde quase toda a gente tem as duas câmaras do telemóvel tapadas com adesivos.

andrebaptista2

Mas a a a sua principal estratégia de ataque, de momento, tem como alvo a equipa de hacking que treina alguns andares acima, numa sala onde a chave é virtual — para entrar, é preciso solucionar um código que está colado na porta e que depois remete para um formulário onde os estudantes se podem registar na Extreme Security Task Force (xSTF).

André Baptista é, quase desde a formação da equipa, o capitão que dá aulas aos cerca de 15 estudante mais activos. Embora “não seja a típica sala escura que se vê nos filmes” — até porque ali não há “o estereótipo do hacker de capuz”, a trabalhar na clandestinidade —, treinam à noite (mas só porque a equipa funciona como actividade extracurricular), normalmente duas vezes por semana. E todos os fins-de-semana há “ao menos um concurso” à distância em que a equipa pode optar por participar ou não, a partir daquela base.

No ranking que coloca acima de nove mil equipas espalhadas por todo o mundo — e que “pode ser interpretado como um bom indicador do nível de cibersegurança dum país” —, a xSTF surge em 67.º lugar e o objectivo é “chegar muito mais longe”. “É muito divertido porque funciona como se fosse um jogo: temos pontos que contam para o campeonato internacional, participamos em equipas e o objectivo é solucionar verdadeiros quebra-cabeças”, explica.

Em fim-de-semana de jogo, que é como quem diz nas 48 horas que pode durar uma competição de cibersegurança a nível internacional, chamadas Capture the Flag, a sala da equipa universitária, que reúne alunos também de Física e Matemática, enche-se de pizzas e a máquina de café não pára de pingar, até porque há quem não durma até terminar o tempo.

Três membros da equipa acabam de chegar de Amesterdão onde estiveram a participar num desses desafios nos quais “simulam uma autêntica ciberguerra”, que deve ser combatida com “espírito de entreajuda”, ao contrário do concurso em que o capitão se sagrou Most Valuable Hacker. Aí, durante oito horas, André teve de descobrir sozinho lacunas em programas informáticos reais.

O hacker português foi um dos 25 especialistas convidados a atacar a Mapbox — com a autorização da empresa e a partir da própria sede da plataforma de mapas personalizáveis, em Washington, D.C., nos Estados Unidos da América, a 24 e 25 de Março. É este o modelo da H1-202, a competição internacional organizada pela HackerOne, comunidade de hackers e líderes em proteção informática “que apareceu para tornar a Internet mais segura” e onde participou também outro português, José Sousa, estudante de mestrado na UP. Nestes eventos privados, onde os portugueses conseguiram entrar devido aos bons resultados duma primeira prova online, as organizações registam-se e pagam para, de forma totalmente legal, ter “os melhores cérebros da área” a tentarem descobrir lacunas nas suas plataformas.

Baptista faz a analogia com a proteção física dum edifício. Se um atacante “só precisa duma janela aberta para atacar”, quem está a defender “precisa de ser ainda melhor a atacar”, porque lhe cabe “garantir que qualquer janela seja aberta”. Esta táctica de crowdsource é “muito vantajosa para as organizações” porque resulta “na revelação de lacunas com bastante severidade que têm sempre impacto no negócio”, acredita.

Durante a competição, com um prémio total de 100 mil euros, ele descobriu cinco fragilidades: duas com pouca gravidade, outras duas médias e uma crítica “muito interessante”. Foi a “criatividade” com que descobriu esta última, um dos critérios da competição, bem como a interacção positiva com os outros concorrentes, que lhe valeu um prémio monetário no valor de 7300 euros, e o título de mais valioso (provado pelo cinto que se vê numa das fotografias), apesar de no ranking que ordena o número de lacunas encontradas ter ficado apenas em sexto lugar. A vitória deu-lhe ainda um passe para entrar na lista de convidados dos próximos eventos privados da HackerOne.

“Não posso explicar muito bem o que fiz, porque a Mapbox não me deixa”, ri-se — mas deixa escapar. “Consegui fazer com que o servidor me enviasse um token administrativo”, um privilégio que lhe deixaria as portas abertas para aceder a “toda a gestão da empresa, desde o website aos dados dos clientes a que, supostamente, apenas um número de pessoas muito restrito dentro da empresa teria acesso.”

No total, por ano, o investigador natural de Coimbra, onde fez a licenciatura antes de rumar ao Porto, estima participar em 50 concursos, maioritariamente em equipa. O “hacker mais valioso” do mundo garante que, para já e apesar das propostas “muito tentadoras” que lhe têm chegado de organizações privadas, quer continuar na área da investigação a “desenvolver coisas por cá”. “Além disso, o meu trabalho [que faz pro bono] é também tentar levar a xSTF a competições do mais alto nível como a Def Con CTF”, o equivalente à taça do mundo do hacking, cujo apuramento das dez equipas finalistas é já em Maio.

 

Retenção de “cérebros” em Portugal

Mesmo antes do investigador pensar em iniciar o doutoramento, Luís Antunes, director do departamento de Ciências dos PCs da FCUP e do C3P, quer “segurá-lo como docente”. Tarefa árdua quando pesadas as propostas “de valores alucinantes” que o jovem de 24 anos recebe, de organizações portuguesas e estrangeiras, com que a administração pública “não tem capacidade financeira para concorrer”.

“Neste momento, tenho dúvidas muito sérias de que algum doutorado em Portugal tenha o conhecimento específico que ele tem na área da cibersegurança”, afiança o director que o convidou a entrar na equipa de hacking que a universidade “apoia totalmente a todos os níveis” e acredita “ajudar na capacitação de estudantes que podem colmatar lacunas grandes no mercado”. “É o ambiente mais próximo do real que se é capaz de simular e é um ambiente competitivo”, diz, o que “tipicamente agrada a esta geração”.

andrebaptista

“Nesta área, o valor está nas mentes que brilham e isso pode desequilibrar a dimensão dum país”, afiança. Em Portugal, “termos cinco, dez cérebros destes, e podemos competir de igual para igual com países com cem milhões de habitantes”. “Neste momento, temos é de ter uma estratégia de retenção destes cérebros cá”, conclui, a dizer que muitos dos 75 alunos que passaram pelo mestrado em Proteção Informática nem chegam a terminar a dissertação antes “do mercado os vir buscar”.

Para já, ainda conseguem manter André Baptista como aliado e prevêm que, se sair, jamais passaria para o lado sombrio da força — afinal, até quando pregava uma partida inocente ele acabava por confessar.

Fonte: Publico

António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

Inscreva-se e Receba Grátis:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos
Avaliar Artigo:
[0 Estrelas]

DEIXAR COMENTÁRIO:

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.

Categorias:

PROBLEMAS INFORMÁTICOS?
Escolha aqui um serviço!

Este site utiliza cookies para melhorar a sua experiência. Ao continuar a navegar estará a aceitar a sua utilização. Pode consultar mais informação no Centro de Privacidade.