O “hacker mais valioso” do mundo só pensa em proteger Portugal
André Baptista, 24 anos, sagrou-se o “hacker mais valioso” num concurso internacional de cibersegurança. Por cá, é capitão de uma equipa de hacking e investigador da UP. Recebe propostas de "valores absurdos", mas ainda não quer sair. Pelo menos para já
O professor começava a aula e era imediatamente interrompido pelo barulho da drive dos CD que não parava de abrir e fechar. E André Baptista, agora com 24 anos e desde final de Março o "hacker mais valioso" do mundo, escondia o riso quando via o informático da escola entrar na sala e errar o diagnóstico da avaria. Aí, tinha de se levantar e admitir que aquilo acontecia “simplesmente devido a um código que tinha posto”. “A sério que dá para fazer isso?”, questionava-o de volta o informático.
Esta é, aliás, uma pergunta que o mestre e investigador em Segurança Informática no Inesc Tec ainda ouve com bastante regularidade. Até porque continua, todos os dias, “a fazer algumas brincadeiras”, mesmo que agora já não as faça a brincar — nem tampouco consiga enganar facilmente os colegas.
No Centro de Competências em Cibersegurança e Privacidade (C3P) da UP, André Baptista ajuda, por exemplo, a desenvolver e testar “aplicações seguras de comunicação para o Governo”, a fazer a “peritagem de computadores ou telemóveis enviados pela Polícia Judiciária” e colabora regularmente com o Gabinete Nacional de Segurança ou com a Comissão Nacional de Protecção de Dados, conta ao P3 à entrada do centro, sediado na Faculdade de Ciências da Universidade do Porto (FCUP), onde quase toda a gente tem as duas câmaras do telemóvel tapadas com adesivos.
Mas a sua principal estratégia de ataque, de momento, tem como alvo a equipa de hacking que treina alguns andares acima, numa sala onde a chave é virtual — para entrar, é preciso resolver um código que está colado na porta e que depois remete para um formulário onde os estudantes se podem registar na Extreme Security Task Force (xSTF).
André Baptista é, quase desde a formação da equipa, o capitão que dá aulas aos cerca de 15 estudante mais activos. Embora “não seja a típica sala escura que se vê nos filmes” — até porque ali não há "o estereótipo do hacker de capuz", a trabalhar na clandestinidade —, treinam à noite (mas só porque a equipa funciona como actividade extracurricular), normalmente duas vezes por semana. E todos os fins-de-semana há “pelo menos um concurso” à distância em que a equipa pode escolher participar ou não, a partir daquela base.
No ranking que posiciona mais de nove mil equipas espalhadas por todo o mundo — e que “pode ser interpretado como um bom indicador do nível de cibersegurança de um país” —, a xSTF surge em 67.º lugar e o objectivo é “chegar cada vez mais longe”. “É muito divertido porque funciona como se fosse um jogo: temos pontos que contam para o campeonato internacional, participamos em equipas e o objectivo é resolver verdadeiros quebra-cabeças”, explica.
Em fim-de-semana de jogo, que é como quem diz nas 48 horas que pode durar uma competição de cibersegurança a nível internacional, chamadas Capture the Flag, a sala da equipa universitária, que reúne alunos também de Física e Matemática, enche-se de pizzas e a máquina de café não pára de pingar, até porque há quem não durma até terminar o tempo.
Três membros da equipa acabam de chegar de Amesterdão onde estiveram a participar num desses desafios nos quais “simulam uma autêntica ciberguerra”, que deve ser combatida com “espírito de entreajuda”, ao contrário do concurso em que o capitão se sagrou Most Valuable Hacker. Aí, durante oito horas, André teve de descobrir sozinho falhas em softwares reais.
O hacker português foi um dos 25 especialistas convidados a atacar a Mapbox — com a autorização da empresa e a partir da própria sede da plataforma de mapas personalizáveis, em Washington, D.C., nos Estados Unidos da América, a 24 e 25 de Março. É este o modelo da H1-202, a competição internacional organizada pela HackerOne, comunidade de hackers e líderes em segurança informática “que surgiu para tornar a Internet mais segura” e onde participou também outro português, José Sousa, estudante de mestrado na UP. Nestes eventos privados, onde os portugueses conseguiram entrar devido aos bons resultados de uma primeira prova online, as empresas registam-se e pagam para, de forma totalmente legal, ter “os melhores cérebros da área” a tentarem descobrir falhas nas suas plataformas.
Baptista faz a analogia com a segurança física de um edifício. Se um atacante “só precisa de uma janela aberta para atacar”, quem está a defender “precisa de ser ainda melhor a atacar”, porque lhe cabe “garantir que nenhuma janela seja aberta”. Esta táctica de crowdsource é “muito vantajosa para as empresas” porque resulta “na descoberta de falhas com bastante severidade que têm sempre impacto no negócio”, acredita.
Durante a competição, com um prémio total de 100 mil euros, ele descobriu cinco vulnerabilidades: duas com pouca gravidade, outras duas médias e uma crítica “muito interessante”. Foi a “criatividade” com que descobriu esta última, um dos critérios da competição, bem como a interacção positiva com os outros concorrentes, que lhe valeu um prémio monetário no valor de 7300 euros, e o título de mais valioso (provado pelo cinto que se vê numa das fotografias), apesar de no ranking que ordena o número de falhas encontradas ter ficado apenas em sexto lugar. A vitória deu-lhe ainda um passe para entrar na lista de convidados dos próximos eventos privados da HackerOne.
“Não posso explicar muito bem o que fiz, porque a Mapbox não me deixa”, ri-se — mas deixa escapar. “Consegui fazer com que o servidor me enviasse um token administrativo", um privilégio que lhe deixaria as portas abertas para aceder a "toda a gestão da empresa, desde o site aos dados dos clientes a que, supostamente, apenas um número de pessoas muito restrito dentro da empresa teria acesso.”
No total, por ano, o investigador natural de Coimbra, onde fez a licenciatura antes de rumar ao Porto, estima participar em 50 concursos, maioritariamente em equipa. O “hacker mais valioso” do mundo garante que, para já e apesar das propostas “muito tentadoras” que lhe têm chegado de empresas privadas, quer continuar na área da investigação a “desenvolver coisas por cá”. “Além disso, o meu trabalho [que faz pro bono] é também tentar levar a xSTF a competições do mais alto nível como a Def Con CTF”, o equivalente à taça do mundo do hacking, cujo apuramento das dez equipas finalistas é já em Maio.
Retenção de “cérebros” em Portugal
Mesmo antes do investigador pensar em iniciar o doutoramento, Luís Antunes, director do departamento de Ciências dos Computadores da FCUP e do C3P, quer “segurá-lo como docente”. Tarefa árdua quando pesadas as propostas “de valores alucinantes” que o jovem de 24 anos recebe, de empresas portuguesas e estrangeiras, com que a administração pública “não tem capacidade financeira para concorrer”.
“Neste momento, tenho dúvidas muito sérias de que algum doutorado em Portugal tenha o conhecimento específico que ele tem na área da cibersegurança”, afiança o director que o convidou a entrar na equipa de hacking que a universidade “apoia totalmente a todos os níveis” e acredita “ajudar na capacitação de estudantes que podem colmatar lacunas grandes no mercado”. “É o ambiente mais próximo do real que se consegue simular e é um ambiente competitivo”, diz, o que “tipicamente agrada a esta geração”.
“Nesta área, o valor está nas mentes que brilham e isso pode desequilibrar a dimensão de um país”, afiança. Em Portugal, “termos cinco, dez cérebros destes, e podemos competir de igual para igual com países com cem milhões de habitantes". "Agora, temos é de ter uma estratégia de retenção destes cérebros cá”, conclui, dizendo que muitos dos 75 alunos que passaram pelo mestrado em Segurança Informática nem chegam a terminar a dissertação antes “de o mercado os vir buscar”.
Para já, ainda conseguem manter André Baptista como aliado e acreditam que, se sair, nunca passaria para o lado sombrio da força — afinal, até quando pregava uma partida inocente ele acabava por confessar.