Os hackers no “lado bom da Força”
Reveja o Fronteiras XXI «A privacidade é possível?»
No Instituto Superior Técnico, em Lisboa, um professor formou uma equipa de alunos empenhados em descobrir erros e fragilidades nos sistemas informáticos. São os chamados “hackers de chapéu branco”, piratas informáticos dedicados a prevenir intrusões e ciberataques.
Numa comparação com a saga da Guerra das Estrelas eles estão do “lado bom da força”. Passam os fins-de-semana em competições internacionais, organizadas por universidades ou empresas como a Google, para descobrir falhas em sistemas informáticos e assim aumentar a sua segurança.
Para procurar fragilidades no ciberespaço, desenvolvem técnicas para “entrar” em sistemas protegidos. Ou seja, descobrem formas de contornar a segurança informática de programas ou códigos. E assim ajudam a solucionar problemas e a prevenir ataques maliciosos.
“As competições funcionam como um jogo, como uma caça ao tesouro, em que somos desafiados a ter não só conhecimentos específicos de segurança informática mas também uma visão fora da caixa”, explica Pedro Adão, professor do Departamento de Engenharia Informática da universidade e criador da STT, a sigla que identifica a Security Team do Técnico.
Na prática, todos pensam e agem como um pirata informático mas sem violar a lei. “São desafios feitos de propósito para jogar”, adianta Pedro Adão. “Muitas vezes nestas áreas há o lado branco, o lado negro e também zonas cinzentas. Para nós a linha é clara e a equipa nem sequer se aproxima das fronteiras”.
Para aderir à equipa, todos os alunos têm de assinar um documento, uma espécie de código de conduta em que se comprometem a cumprir as normas e a respeitar a legislação. “Nunca ninguém o violou, nem esteve perto disso”, garante o professor.
É numa sala do segundo piso do edifício de informática do Técnico que muitas vezes a equipa se reúne. Ali treinam, discutem técnicas, apresentam problemas e fazem exercícios de resolução.
Há oito computadores sobre as mesas, mas chegam a ser mais alunos do que lugares. “Às vezes entro aqui e está alguém na minha secretária”, diz o docente de 38 anos.
Do núcleo duro fazem parte pouco mais de uma dúzia de estudantes, dos 18 aos 26 anos. É um grupo masculino. “Há duas raparigas que vêm às reuniões da STT, mas não participam em competições. Não é só aqui, o mesmo acontece noutros países. As mulheres são raríssimas”, justifica o professor, que ainda não encontrou uma explicação para a falta de apetência feminina por este tipo de desafios.
Agora as cadeiras estão vazias, e apesar de já não haver aulas podem voltar a encher-se aos fins-de-semana. Os campeonatos internacionais acontecem sempre nesses dias, e a equipa vem jogar à universidade.
Entrar nestas competições que duram, em regra, 48 horas exige um outro nível de esforço e força de vontade à equipa. Desde o início do ano e até ao final de Junho, os membros da STT só tiveram “folga” em seis fins-de-semana. Os restantes 19 foram passados a jogar. “É quase um desporto de alta competição”, diz Pedro Adão, confessando que nos desafios em equipa se sente em pé de igualdade com os alunos. “Às vezes são eles que me corrigem”.
A ideia de ensinar os alunos através de competições surgiu a Pedro Adão por mero acaso. O professor de segurança informática estava em Veneza com colegas, em 2013, e foi desafiado a entrar num jogo de ataque e defesa organizado pela Universidade de Santa Bárbara: a chamada CTF (Capture the Flag). “Basicamente é um exercício de segurança aplicada. O objectivo é defender e atacar as outras equipas, descobrindo vulnerabilidades que foram colocadas pela organização nos sistemas dos computadores dos adversários”. Estavam em prova mais de 400 equipas. “Se olhar o problema com os olhos do atacante talvez chegue lá”.
Gostou tanto da experiência que resolveu formar uma equipa. “Achei que seria uma boa forma de os motivar a aprender. Cada vez que descobrirmos um novo ataque vamos imediatamente olhar para ele e perceber como aconteceu”, adianta, lembrando que uma vez numa competição a equipa leu duas teses de doutoramento em 48 horas para tentar resolver um problema.
Há competições onde as equipas ganham pontos, mas outras têm prémios que podem ser elevados e onde os jogadores ganham em função do que descobrem. A informação sobre as soluções é publicada e todos podem aprender com as vitórias dos outros.
Além da equipa do Técnico também a Faculdade de Ciências da Universidade do Porto tem uma equipa de hackers de chapéu branco a entrar em competições entre as 100 melhores do mundo, num ranking que reúne mais de 10 mil equipas, entre as quais algumas académicas.
O capitão da equipa nortenha foi mesmo considerado o hacker mais valioso do mundo. André Baptista, de 24 anos, ganhou o título no final de Março numa competição internacional em Washington nos EUA. E estará no próximo Fronteiras XXI, a explicar como arrecadou o título.
O que distingue estes estudantes de outros informáticos vale muito num mercado mundial. Eles são especialistas em testes de intrusão, em encontrar novos caminhos para chegar ao objectivo. E não desistem. “Podem estar 24 horas a tentar resolver um problema, sem chegar a lado nenhum ou a chegar à conclusão que a solução não está ali”, diz o professor. “É um processo que pode ser muito frustrante, mas os que sabem lidar com isso vão procurar novos caminhos”.
Num mundo onde a cada 40 segundos uma empresa é alvo de um ciberataque e o nível das intrusões se torna cada vez mais sofisticado, a prevenção é uma preocupação constante das grandes empresas. Das gigantes Google e Microsoft até às universidades, organizar competições deste tipo tornou-se uma forma de resolver problemas.
O especialista em segurança informática adianta que “o mercado está desesperado”, e alunos com estas características atacantes “são desejados em qualquer parte do mundo”. As competições dão-lhes treino e também visibilidade entre os pares. Mas, por ano, do Técnico só saem três a quatro alunos com estas capacidades.
Esta guerra contra os hackers maliciosos é muito desproporcional, adianta. “Uma organização tem de fechar todas as suas portas e gasta milhares de euros a fazê-lo. Mas o atacante não vai entrar pela porta guardada. Vai escolher o sítio mais frágil para tentar o acesso”.
Quanto vale um jovem destes no mercado? “Um bom hacker recebe sem discutir 300 a 500 euros dia para fazer testes de intrusão em empresas internacionais. São geralmente freelancers, contratados por empresas ou organizações, através de serviços especializados neste tipo de recursos”.
É um processo desgastante para os hackers e não é possível fazê-lo todos os dias. Por outro lado, o resultado nunca é garantido, porque os testes de intrusão podem não chegar a detectar qualquer vulnerabilidade. “Ser um hacker de chapéu branco é uma arte”, garante Pedro Adão. A garantia que eles dão às empresas não são apenas os resultados. Mesmo quando não detectam fragilidades as empresas pensam: se ele não descobriu será preciso outro ainda melhor do que ele para nos atacar”.
O acordo ortográfico utilizado neste artigo foi definido pelo autor
