Cada um está sentado em frente ao computador. Vestem calções e t-shirt, estão longe do estereótipo do nerd, mas preparam-se para passar onze horas fechados numa sala, numa competição de hacking, que vai colocar à prova centenas de potenciais hackers brancos, que é como quem diz, os piratas informáticos bons.

O tiro de partida é dado às 14h de Lisboa, mas o jogo decorre em mais de 200 locais no mundo inteiro. Aqui, nesta sala do Instituto Superior Técnico, o acesso ao desafio vai aparecer no pepper, que é o nome dado ao computador que está no centro da sala.

Entre as duas da tarde e a uma da manhã, Diogo, Filipe e António vão receber acesso a um servidor onde está alojado um pedaço de código com um conjunto de vulnerabilidades de segurança. Demasiado complexo? Imagine um castelo com centenas de portas, em que cada equipa tem uma porta a seu cargo. Atrás de cada porta há uma bandeira e o objetivo de cada equipa é protegê-la, aumentando a segurança da porta. Ao mesmo tempo, tentam abrir as portas dos adversários e roubar-lhes as bandeiras. Tudo isto é feito sem tirar as mãos do teclado.

E, na verdade, há muito de “real” neste jogo imaginário: as vulnerabilidades colocadas nestas competições são quase sempre réplicas de fragilidades que existem nos sistemas informáticos e o objetivo das equipas universitárias é dar aos alunos os conhecimentos de segurança que não são ensinados nas aulas. “O paradigma da segurança informática tem de mudar e as empresas já estão a perceber que melhoram a sua segurança contratando hackers que tentem identificar brechas no sistema, para as poderem resolver”, explica o professor, que insiste que “saber como atacar é fundamental para saber como defender”.

Diogo, Filipe e António têm entre 20 e 26 anos, são dos melhores alunos de informática do Instituto Superior Técnico (IST), e aceitaram o desafio de Pedro Adão, professor do departamento de engenharia informática do IST e coordenador do STT (sigla para security team do Técnico), para aprenderem sobre segurança informática de uma maneira menos convencional. É por isso que participam nestas competições de CTF (Capture The Flag). Aprendem a ser white hat hackers, os hackers “bons” que as empresas começam a contratar para explorarem as suas fragilidades informáticas. Em menos de dois meses, dois grandes ataques informáticos à escala global provocaram prejuízos de milhões de euros. O WannaCry, em maio, e depois o NotPetya, em junho.

Foi, aliás, um white hat hacker que conseguiu derrotar o primeiro ataque. Um jovem britânico, de apenas 22 anos, interessado em segurança informática, decidiu analisar o vírus WannaCry e percebeu que ele estava associado a um endereço web com um nome longo e sem sentido. Para monitorizar a expansão do vírus, decidiu registar esse domínio, que até ali não era detido por ninguém. Quando o registou, bastou dar uma ordem a partir do domínio para ‘matar’ o vírus. Com pouco mais de 10 euros — o custo do registo do domínio — o jovem Marcus Hutchins conseguiu acabar com um esquema de extorsão que já estava a causar prejuízos na ordem dos milhões em todo o mundo.

“Este jogo vai ser um bocadinho diferente dos habituais. Vai haver uma porta para cada equipa, atrás da qual está a respetiva bandeira. E nós temos de explorar fragilidades nas portas dos adversários ao mesmo tempo que defendemos a nossa. Ganhamos pontos de ataque se conseguirmos passar pelas portas dos adversários e perdemos pontos de defesa se nos roubarem a bandeira”, explica ao Observador Pedro Adão na manhã antes de a sua equipa se lançar na competição.

Por trás destes jogadores estão, também, alguns dos melhores alunos da instituição e dos mais cobiçados pelas empresas. Pedro Adão diz que recebe “centenas de chamadas de empresas” que querem recrutar novos especialistas em segurança e que “sabem que neste grupo há fulanos que são bons”. Tanto que, devido à atividade do STT, o curso de informática já tem “dois protocolos com empresas em que os ajudamos a desenvolver a segurança”. Mas por trás destes jogadores estão também hackers em potência. “Eu evito sempre o termo hacker. Não digo que tenho aqui um grupo de hackers”, começa por justificar Pedro Adão. Mas apenas devido às interpretações erradas da palavra, alerta.

“Há ali uma famosa casa de chaves no Areeiro que, se eu me esquecer da chave de casa, vai lá e abre-me a porta. Na prática, o serralheiro arromba-me a porta. Tem conhecimentos para isso e se quisesse podia andar por aí a arrombar casas e a roubar as pessoas, mas não é por isso que deixa de ser necessário haver pessoas com conhecimento para entrar por portas que estão trancadas. No fundo, o que ele faz é hackar a porta, digamos assim“, explica Pedro Adão, sublinhando a importância dos verdadeiros hackers para a segurança informática. E explica-o com uma nova comparação: “Imagine um castelo com dezenas de portas e um conjunto de guardas cuja função é guardar essas portas. Quem tem mais facilidade em identificar uma forma de entrar no castelo? Os guardas que estão junto a cada porta, ou alguém que esteja de fora e descubra uma racha numa parede?”

“Perguntaram-me se eu não tinha medo de que eles fizessem coisas más com estes conhecimentos”

É aqui que entra a distinção entre um white hat hacker, ou “hackers de chapéu branco”, e um black hat hacker, “hackers de chapéu negro”. Em termos técnicos, nada os diferencia. São hackers, ou seja, têm conhecimentos profundos em termos de segurança informática, conseguem descobrir falhas em sistemas informáticos e em redes de computadores e são capazes de as explorar, contornando o sistema e entrando por portas que em teoria lhes estavam vedadas. O que os distingue é a intenção: enquanto um black hat pretende frequentemente fazer dinheiro, atacando instituições bancárias, roubando informações sensíveis e pedindo resgates por elas ou destruindo serviços de uma empresa a mando de uma firma concorrente, os white hat usam os conhecimentos para promoverem uma Internet mais segura. Habitualmente, dedicam-se a explorar fragilidades em serviços que utilizam e, quando as encontram, ajudam as entidades responsáveis a resolver o problema.

É tudo uma questão de ética, garantem os alunos de Pedro Adão. Além da formação tradicional em segurança que os cursos de engenharia informática incluem, um dos principais contributos das licenciaturas na área são as cadeiras de ética. “É lá que percebemos a diferença que faz quando usamos os mesmos conhecimentos para o bem ou para o mal”, diz Diogo Silva, 21 anos, aluno do mestrado em engenharia informática e um dos membros do grupo que se reúne fora das horas das aulas para aprender mais sobre cibersegurança. No STT, não há lugar a falhas éticas. Todos os alunos que se inscrevem no grupo têm de assinar um formulário em que se comprometem com um código de conduta e sabem que vão estar sempre sob a supervisão atenta de Pedro Adão. “Não me canso de dizer: se eu souber que alguém fez alguma coisa incorreta não tenho problema em ser o primeiro a denunciar.”

A imagem do hacker mal intencionado, contudo, é a última barreira a quebrar, e o próprio Pedro Adão sentiu-o quando, em 2014, quis criar o grupo STT no Técnico. “A primeira coisa que me disseram foi ‘Pedro, tu tem cuidado’. E perguntaram-me se eu não tinha medo de que eles fizessem coisas más com estes conhecimentos“, recorda. Não teve e avançou com o projeto, que hoje conta com um núcleo duro de cerca de doze estudantes, além das largas dezenas de outros alunos que vão aparecendo nos encontros para aumentarem os conhecimentos em segurança informática.

Cada aluno que chega ao grupo de Pedro Adão tem interesses distintos na área da informática e um percurso diferente. Filipe Casal, 26 anos, a fazer o doutoramento em engenharia informática, foi o que veio de mais longe. Licenciou-se em matemática e hoje o seu principal ativo é a criptografia. É ele que resolve os complicados desafios de criptografia nas competições em que o grupo participa. Sempre que os colegas se deparam com uma etapa que exige criptografia, chamam Filipe. “Tenho skills em criptografia que os outros não têm. Por outro lado, tive de batalhar muito tempo para chegar a outros conhecimentos mais básicos de informática”, explica o estudante. Mas aprendeu e “hoje é difícil mantê-lo só focado na criptografia, ele já anda em todas as frentes”, garante Pedro Adão.

Quem também aprendeu muito no grupo STT foi Diogo Silva, que demorou um semestre inteiro até resolver pela primeira vez um desafio numa das competições. Mas a paixão pelos computadores já era antiga. Em criança, recebeu um livro chamado “50 Hacks para o Windows XP” e tentou fazê-los todos. “Nem eram mesmo hacks, eram uns truquezitos”, recorda. Acabou por estragar o computador lá de casa e a mãe proibiu-o de voltar a mexer nele. A proibição acabou por se converter em paixão e aos 18 anos Diogo estava a começar a licenciatura em engenharia informática no Técnico, onde viria a interessar-se pelas questões de segurança. Do livro de hacks passou a aprendiz de white hat hacker.

A eles junta-se António Lopes, 24 anos, que acaba de entregar a sua tese de mestrado em engenharia informática depois de ter feito toda a formação no Técnico. Nas aulas admite que não aprendeu o suficiente sobre segurança informática, mas assegura que não deve ser nos currículos dos cursos que deve haver alterações para que se mude o paradigma da segurança informática. “Se aprofundarmos muito mais no curso, há coisas básicas que são necessárias e que podem não ser aprendidas de forma correta”, defende. Por isso, o melhor é mesmo aderir a grupos como o STT, onde há “aplicação dos conhecimentos prévios, mas também há um complemento, aprendem-se coisas práticas que nunca aprenderíamos numa aula”.

Depois do curso, todos querem conciliar os empregos com a atividade de white hacking. “Nós quando atacamos é sempre para ajudar. Uma pessoa mal intencionada que queira atacar não se preocupa com nada disso”, garante Diogo Silva. “A questão é que nós também usamos estes serviços e queremos que eles estejam seguros”, defende Filipe Casal. Enquanto estudantes de informática e membros do STT, estes alunos sabem bem o que é possível fazer com os dados pessoais quando se invade um sistema, e é por isso que querem contribuir para uma Internet menos vulnerável, remata Pedro Adão. “Eu quero ter a certeza de que os meus dados nas finanças estão seguros e por isso quero saber que a rede do Governo não tem falhas de segurança. Não pensem que eu quero piratear o Facebook. Eu quero é dormir descansado.”

O hacker que descobriu que os emails do Estado estavam vulneráveis

Grupos como o STT são um fenómeno recente em Portugal, mas, muito antes de a academia se começar a voltar para a ideia de que também na informática “o ataque é a melhor defesa”, já havia muitos white hat hackers a operar no país. João Pina é um deles. Em abril, João divulgou publicamente que uma centena e meia de domínios de email do Estado estavam vulneráveis a invasões. O informático detetou as falhas, comunicou-as ao Governo e ofereceu-se para ajudar na resolução. Tudo resultado do trabalho que vai desenvolvendo nas horas livres — durante o dia, trabalha na startup lisboeta MeshApp, onde é programador.

Mas é também do ambiente de trabalho que surgem ideias para a sua atividade de hacker. Há meses, quando estava aborrecido no emprego, virou-se para o colega do lado e perguntou-lhe de onde era. “Sou de Arouca”, respondeu-lhe. Pôs-se a pesquisar por Arouca e encontrou uma série de fragilidades em diversos sites. “Ainda antes daquela vez em que o site do Arouca foi hackado, eu já os tinha avisado das fragilidades, mas eles ignoraram-me”, conta.

Na sua página pessoal, João Pina vai divulgando muito do seu trabalho voluntário de hacking branco. Foi lá também que divulgou que era fácil alguém criar um email antonio.costa@gov.pt ou enviar uma mensagem a partir do ISS-NoReply@seg-social.pt, o endereço usado pela Segurança Social para enviar notificações automáticas aos cidadãos. E o processo foi feito de acordo com os princípios de ética que os hackers brancos partilham em todo o mundo, garante João Pina: a falha foi descoberta em novembro de 2016 e desde esse momento sucederam-se diversos contactos com as autoridades governamentais, mas as respostas não foram satisfatórias. Consciente de que o problema punha em causa a segurança dos utilizadores, João Pina informou o Governo, em março, de que iria publicar o problema daí a 45 dias. Foi o que fez no fim de abril.

João começou a dedicar-se ao hacking quando se apercebeu da quantidade de dados de utilizadores com que lidava. “Haver uma falha numa empresa, numa aplicação como a nossa, é uma tragédia”, garante. Por isso decidiu aprender, de forma autodidata, a contornar sistemas informáticos. Queria saber se conseguia atacar uma rede. Se fosse capaz, também conseguiria defender o sistema, pensou. “Então, comecei a tentar entrar numas maquinazinhas.”

À medida que foi adquirindo conhecimentos de cibersegurança, João Pina começou a dedicar-se a descobrir falhas em sistemas que utiliza e a reportá-las às respetivas organizações. “Costumo dizer que faço isto por uma Internet mais segura. Imagino que a minha mãe ou o meu pai recebem um email com um link qualquer e eles clicam lá… Eu não quero isso, e também é a pensar nos meus que dou este contributo. Eu sei proteger-me e sei onde não carregar, mas há pessoas com muito menos traquejo nas questões digitais que são constantemente enganadas, porque os black hat hackers são muito inteligentes.”

A ideia de ganhar dinheiro sendo black hat nunca passou pela cabeça de João. “Quero acreditar que tive uma boa educação dos meus pais e não me meto nesse tipo de jogos, penso que é uma questão de educação”, garante. A forma que encontrou de ganhar dinheiro de forma legítima com o hacking foi participar nos chamados bug bounty programs, iniciativas que são promovidas por grandes empresas que querem detetar eventuais falhas de segurança nos seus sistemas. Então, abrem um concurso em que qualquer pessoa se pode inscrever e ser autorizada a atacar a rede. Caso encontre alguma brecha de segurança, o hacker recebe uma quantia de dinheiro previamente anunciada. “Os bounties são uma grande oportunidade para as empresas, porque podem saber dos problemas antes de eles acontecerem”, esclarece.

O informático segue um código de conduta estrito, que os white hat hackers de todo o mundo partilham entre si. “Tento sempre cumprir a ética, que depende dos casos. Se encontrar uma falha que esteja a ser ativamente usada para prejudicar alguém, o código diz que devo reportar à entidade e dar um prazo de três dias para ser resolvida antes de tornar o problema público e avisar os utilizadores. Mas, por norma, quando são falhas que não apresentam perigo iminente, o prazo são 45 dias”, sublinha.

Ricardo começou como black hat, mas converteu-se

Mas se para João Pina foi fácil começar como hacker branco, o mesmo não se pode dizer de Ricardo (nome fictício). Hoje com 23 anos, diz que passou pelo “lado negro da força” antes de se tornar um hacker bom — a comparação com a Guerra das Estrelas é frequentemente usada pelos hackers para descreverem o mundo da cibersegurança.

A relação de Ricardo com a segurança informática começou na infância, quando um familiar lhe falou do phreaking — hacking com redes telefónicas. “Tinha acabado de receber o meu primeiro computador e os jogos atraíam-me bastante. O clique foi quando me questionei sobre como é que o jogo era programado ou feito, como funcionava. Não sabia a resposta, mas sabia que ter chamadas gratuitas, explorando vulnerabilidades na linha telefónica da PT, era bastante fácil”, recorda o jovem. “Então comecei a interessar-me por programação e arquitetura de computadores, ou seja, como funciona o CPU internamente, o que me levou a estudar o tema. Tinha 17 anos quando fiz o primeiro malware.”

Ricardo tornava-se, naquele momento, num black hat hacker. “Toda a gente que é white hat já passou por ser black hat“, justifica. “Comecei a precisar de ter privilégios administrativos nos computadores da escola e então arranjava maneira de contornar tudo. Existiu sempre um mau tempo, típico da idade, em que não via mal no que fazia“, explica o jovem, recordando que, “quando causava danos ou penetrava sistemas, punha em causa a viabilidade do sistema porque não reportava esse buraco”. O assunto tornou-se sério quando Ricardo deixou de contornar apenas os sistemas da escola e começou a fazer ataques sérios, verdadeiramente como um black hat, “alguém com maus objetivos, hostil, possivelmente destruidor de um sistema“, capaz de “eliminar dados ou fechar completamente servidores”.

Chegou a fazer “alguns” ataques sérios, sobre os quais prefere não divulgar detalhes. “Mas nunca causei danos a não ser o facto de estar a ver informações sensíveis. O meu objetivo foi sempre entrar, ver e sair, e também obter dados para analisar depois. Já encontrei cartões de crédito, mas nunca os usei porque nunca procurei causar danos a ninguém“, lembra. “Sempre fui muito pacífico, o que talvez justifique o facto de agora ser white hat“, acrescenta Ricardo, que começou a mudar quando viu “que tinha potencial a nível de trabalho e que podia ajudar muita gente com as técnicas e experiência que ia ganhando”.

Depois do ensino superior, Ricardo começou a trabalhar numa empresa “ligada ao setor energético e com projetos confidenciais”. Apesar de a sua função estar atualmente relacionada com a programação e administração de sistemas, usa os seus conhecimentos de hacker para contribuir para a segurança do sistema da empresa. Mas é quando chega a casa que o hacker vem ao de cima. “Quando chego a casa tiro o meu ‘chapéu’ de administrador de sistemas e coloco o meu ‘chapéu branco’. Analiso malware, tento quebrar software existente dentro de ambientes virtualizados — geridos por mim, desta forma não quebro nenhuma lei”, explica. E já não faz o que fazia quando era black hat. “Se encontrar alguma falha, como aconteceu uma série de vezes, informo os responsáveis sempre de uma forma, passe a redundância, responsável. Isto é, depois de encontrar uma falha, informo e dou um tempo largo para corrigirem”, detalha o jovem.

A tentação para cair novamente para o lado negro existe, admite Ricardo, mas a ética é mais importante. “Podia fazer imenso dinheiro, da mesma forma que podia assaltar gente na rua e podia fazer outras jogadas ilegais no mundo físico. Mas sou pacífico, acredito no karma e na ordem. Haverá sempre um lado bom e um lado mau”, explica. Como todos os white hat hackers que aceitaram falar ao Observador, Ricardo garante que é a necessidade de fazer uma Internet mais segura para todos que o move . “Posso na mesma fazer dinheiro, como quero fazer dentro de pouco tempo, ao trabalhar para grandes empresas em que a segurança é imprescindível. É sempre menos, mas desta forma ajudo pessoas que nem sequer se apercebem de que lhes tentaram roubar os cartões de crédito ou que lhes tentaram fechar temporariamente o negócio.”

Movido “pelo desafio e pela curiosidade”, Ricardo não esconde a paixão pelo estudo da segurança informática. “Simplesmente amo esta área e ao mesmo tempo considero-a uma arte. Há formas mesmo muito inteligentes de contornar sistemas“, afirma. Agora, o jovem está em vias de integrar o quadro de uma gigante financeira na área de segurança. “Sem cursos, só com o que aprendo. Das pessoas que conheço é praticamente assim. Como é que as empresas se podem proteger? Têm de contratar quem sabe como atacar para se poderem defender. Se não há gente formada na área têm de contratar gente que já passou por black hat e torná-los bons, ou então ir diretamente aos entusiastas da cibersegurança, como é o meu caso.”

Entre o lado bom e o lado mau da força, há os grey hat hackers

Os casos de João Pina e de Ricardo mostram duas realidades bem distintas — o informático que decide ser white hat hacker e o black hat hacker que se decide converter. Mas, pelo meio, fica a questão: como é que um hacker decide ser “branco” ou “negro”? Para Pedro Tavares, a questão não é linear nem deve ser entendida como tendo apenas duas respostas.

Este informático, hoje investigador na Universidade da Beira Interior, onde está a fazer o doutoramento, e fundador do CSIRT.UBI, uma iniciativa local associada ao movimento internacional CSIRT (Computer Security Incident Response Team), defende que “todos os especialistas em segurança, ou white hats, como preferir, passaram certamente por uma cor mais intermédia entre o white e o black hat, nomeadamente o grey hat“.

“Quando se começa a explorar e a entrar no mundo da segurança, e isso acontece na maior parte das vezes enquanto estudante, acaba-se sempre por ser conduzido para o ‘lado negro da força’ inconscientemente“, admite o informático. “Por vezes, quando nos apercebemos, estamos posicionados sobre a fronteira que separa estes dois caminhos”, explica, detalhando: “Isso acontece com extrema frequência porque ainda não construímos um crivo entre aquilo que devemos ou não consumir durante as longas horas de estudo e trabalho.”

Depois, é uma escolha de cada um e “cabe a cada um seguir o seu caminho”, sabendo que “ser um white hacker é seguir os princípios de integridade, ser disciplinado, deter inteligência moral e trabalhar segundo a legislação”. Hoje, Pedro Tavares também se dedica à atividade de white hat hacking, mas não esquece que a fase de grey hat foi fundamental para conhecer os dois lados do problema.

Contudo, garante, foi sempre a curiosidade que o motivou. Recebeu o primeiro computador aos 12 anos, mas “na altura utilizava-o sobretudo para jogar”. “Com o passar do tempo e com o ingresso no ensino secundário, nomeadamente num curso tecnológico de informática, a paixão pelos computadores foi emergindo.” O primeiro contacto com as ferramentas informáticas deu-se com os aparelhos da escola, com o sistema operativo Linux. “Lembro-me de que na altura, quando investigava autonomamente essas ferramentas, tinha sempre no pensamento a seguinte pergunta: ‘E que conhecimento preciso eu de ter para desenvolver uma ferramenta desta natureza?'”.

Foi essa curiosidade que o levou a investigar, de forma autodidata, as questões de segurança informática — e é por isso que hoje é um white hat hacker. Mas sempre com ética, defende Pedro, tal como Ricardo e João. E com muito trabalho. “Os conhecimentos que qualquer fulano intitulado como hacker usa no seu dia-a-dia são fruto de muito esforço, muito estudo e, sobretudo, prazer constante de aprender.”