Especialista em cibersegurança, perito em engenharia reversa, sócio de uma empresa fundada em Londres há quase nove anos que hoje tem clientes em todo o mundo, e campeão em 2021 da pwn2own, a competição internacional que é uma espécie de Óscares para hackers (mas com duras provas de intrusão informática em vez de poses na passadeira vermelha), Pedro Ribeiro estava em Portugal quando, esta segunda-feira à noite, a Vodafone foi alvo de um ataque informático e se juntou ao rol de empresas e instituições no último mês visadas por hackers no país.
Desde então, o especialista e investigador em segurança informática, que em 2017 se mudou com a mulher para a Tailândia — porque o trabalho de hacking se pode fazer em qualquer parte do mundo —, tem passado parte considerável dos dias a trocar impressões com os amigos e colegas, todos conhecedores da área e da indústria da cibersegurança. Apesar de não ter como saber o que aconteceu realmente, não hesita em garantir que o ataque, que deixou quatro milhões de clientes Vodafone sem acesso à Internet e à rede móvel, não terá sido “ultra sofisticado” mas apenas um pouco mais elaborado do que os ataques que todos os dias, diz, atingem a empresa e outras como ela.
Mais do que isso, numa conversa via Zoom, a partir de Coimbra, de onde é natural e onde não regressava há já dois anos, Pedro Ribeiro, 37 anos, arrisca também dizer que o caso terá sido consequência de inação da própria empresa — e chega mesmo a levantar a hipótese de “negligência”. “Parece-me que não investiram dinheiro suficiente na segurança”, começa por especular, extravasando depois para toda uma realidade nacional de desinvestimento nesta área que terá colocado o país na fila da frente dos alvos a abater por hackers de todo o mundo. “Os hackers procuram sempre os alvos mais fáceis e neste momento, provavelmente, somos dos mais fáceis da Europa Ocidental, dado o pouco investimento que há em segurança em Portugal.”
No caso de uma empresa da dimensão da Vodafone, explica o especialista, seria sempre necessária uma equipa de segurança composta por, pelo menos, uma centena de profissionais. Questionada pelo Observador sobre o assunto, a empresa não respondeu até à publicação desta entrevista.
No limite, e dependendo da sofisticação dos hackers em questão, diz Pedro Ribeiro, um ataque como o que a Vodafone sofreu pode franquear-lhes a entrada nas casas dos seus quatro milhões de clientes. Não é ficção científica, garante: “Podem tomar o controlo da sua smart tv e espiá-lo com a câmara e o microfone”.
Convicto de que a vaga de ataques não vai ficar por aqui, o especialista em cibersegurança, um dos maiores hackers do mundo, conversou com o Observador sobre estes episódios, a indústria de produção e venda de ciber-armas e o panorama da cibersegurança em Portugal e no mundo. E ainda deixou um alerta aos que, teme, poderão ser os próximos alvos a atingir.
Nos últimos dias tem falado muito com os seus amigos, também especialistas em segurança informática, sobre este ataque à Vodafone. O que é que têm dito? O que é que acha que aconteceu?
Só um grupo de pessoas limitado dentro da Vodafone é que sabe o que está a acontecer. A Vodafone, tal como as operadoras semelhantes, é alvo de ataques diários. Este ataque obviamente que é um bocado mais sofisticado, pelo impacto que teve, agora a questão é: quão sofisticado é? Há duas maneiras de olhar para isto: pode ser realmente um ataque ultra sofisticado — que acontece muito raramente, é patrocinado por certos estados como a Rússia, a China, a Coreia do Norte; são atacantes que têm meios muito sofisticados, fundos quase ilimitados e querem criar o caos, o que faz com que seja extremamente difícil, até para empresas com a dimensão da Vodafone, estarem seguras. Agora eu acho que isto é o cenário menos provável.
Antes disso, nesses casos mais extremos. o que está a dizer é que é quase impossível resistir a um ataque?
Sim. Como são entidades que estão normalmente ligadas aos militares ou a serviços de informação, têm fundos praticamente ilimitados e acesso ao número de pessoas que quiserem e que são especialistas de segurança, hackers, etc, portanto têm capacidades que são inigualáveis exceto por outro estado.
Uma mera empresa não vai ser capaz de se defender…
É muito difícil. Uma empresa como a Google ou a Microsoft é possível, agora uma empresa como a Vodafone já é mais discutível, estão sempre sujeitos.
O que é que é preciso ter para se resistir a um ataque desse género?
No fundo é investimento em segurança e em prevenção. E o nível de investimento varia. Neste caso, seria um investimento extremamente elevado. Claro que tenho interesse em dizer isto, mas no fundo é contratar pessoas como eu, não só da minha área — a segurança é muito grande e há várias sub-áreas, eu faço a área das simulações de hackers, mas há outros colegas que tratam mais da parte da prevenção. Uma empresa como a Vodafone, tendo 4 milhões de clientes, já deve ter uma equipa de segurança de mais de 100 pessoas. Se não tiver, é claramente negligência.
Mas dizia que aquilo que lhe parece é que o que aconteceu não foi um ataque ultra sofisticado.
Este cenário não é do atacante ultra sofisticado, da Rússia, da China, etc. Isto é uma coisa muitas vezes invocada pelas próprias empresas para se desculparem da sua própria negligência. Muito sinceramente, acho que foram simplesmente uns hackers que são mais sofisticados do que eles estão habituados. Este modus operandi, com um intuito muito destrutivo, é diferente do que costuma acontecer com os atacantes patrocinados pelos estados. Às vezes fazem ataques destrutivos, mas na maior parte das vezes querem é penetrar nos sistemas e manter-se lá dentro sem serem detetados durante meses ou anos a fio. Tendo em conta o modus operandi e o que fizeram acho que são simplesmente uns hackers mais sofisticados. E, na minha opinião, é negligência da parte da Vodafone. Parece-me que não investiram dinheiro suficiente na segurança. Que, por sua vez, também tem duas componentes: a de prevenção e a de recuperação do negócio uma vez acontecido o ataque.
E isso também não está a ser bem feito?
Isso é capaz de ser a pior parte. E é a parte que exige menos investimento, se bem que exija um planeamento muito cuidado. Provavelmente nunca saberemos, porque as empresas não vão anunciar o que se passou, mas suspeito que seja simplesmente falta de investimento por parte da Vodafone e consequentemente negligência.
Dizia há pouco que a Vodafone e empresas como ela são atacadas todos os dias. Há muita gente ou muitas organizações a dedicar-se a isto?
Neste caso, se excluirmos esse tal atacante super sofisticado patrocinado por um estado pode ter sido só um grupo de hackers com alguma experiência que resolveu criar o caos por diversão. Mas também pode ter sido uma maneira de roubar informação à Vodafone — eles têm quatro milhões de clientes, eu, por exemplo, sou cliente Vodafone, eles têm a minha morada, o meu nome, o meu BI, a minha informação financeira; pode ter sido um ataque que tenha tido esse objetivo e que tenham decidido depois: “Olha, vamos destruir o sistema deles só por diversão”.
A verdade é que estes dados não estão protegidos e a Vodafone já comunicou à Comissão Nacional de Proteção de Dados que foram violados dados pessoais.
Então é mais grave do que nós pensávamos…
Vodafone notifica CNPD de violação de dados pessoais. Operadora diz que não são dados de clientes
Pode dar-se o caso de ser feito um ataque destes, de os sistemas e as redes serem todos desativados, e o acesso aos dados dos clientes não ser possível? Depende dos níveis de segurança?
Se for uma segurança bem feita é possível isso acontecer. Mas seria difícil, tendo em conta o nível de acesso que os hackers tiveram, dada a destruição que foi feita na Vodafone. Ainda assim não é impossível, é uma questão de haver segregação de dados. Mas, se a minha suspeita está correta e realmente a Vodafone foi negligente, não teriam esse controlo interno. Há aqui vários aspetos: a Vodafone tem uma responsabilidade perante os acionistas, de manter o serviço a funcionar, e depois tem uma responsabilidade, perante os clientes, de fornecer o serviço que eles pararam. A seguir ainda tem uma outra responsabilidade, acrescida, sobre os dados dos clientes que tem. E há outra questão, que ainda não vi mencionada: o acesso que a Vodafone tem às casas das pessoas. Se se contrata serviços de Internet da Vodafone, eles dão-lhe uma box, dão-lhe um router, e a Vodafone, através desse router, pode ter controlo de todos os dispositivos da sua casa, do telemóvel, do computador, de tudo o que estiver ligado. Um hacker que consiga penetrar na rede e tomar o controlo destes dispositivos tem controlo da casa de quatro milhões de pessoas.
Isso é absolutamente assustador.
É e é claro que é um caso extremo mas não é impossível, de todo. A Vodafone tem acesso privilegiado para poder gerir os dispositivos remotamente.
Portanto, o que é que quem acede a essa rede pode fazer?
Pode espiar as comunicações. Pode ver o que as pessoas estão a fazer na Internet, obter informações.
A partir do momento em que se acede ao router?
Sim, a partir do momento em que se tem controlo sobre um router é muito fácil ver o que a pessoa está a fazer em termos de comunicações, com quem comunica e, em alguns casos, até o conteúdo das mensagens e dos sites que visita. Isso é o mais fácil. A partir daí, os cenários dependem da sofisticação do atacante. Imagine que tem, por exemplo, uma smart tv em casa, com uma câmara e um microfone. Uma vez tomando controlo do router tem acesso aos outros dispositivos, mas depois, para tomar controlo de um dispositivo, é necessária uma funcionalidade adicional, uma arma cibernética adicional, por assim dizer. Se eles tiverem essa capacidade, podem tomar o controlo da sua televisão e espiá-lo com a câmara e o microfone. Claro que estamos a falar de um ato extremamente elaborado, mas é possível, não é ficção científica de todo.
Se quisesse, conseguia fazer isso?
Se me fosse dado o tempo suficiente, sim, conseguia. É tudo uma questão de tempo. Há coisas que levam um mês, outras que levam dois anos, mas hoje em dia, em termos de hacking, há pouca coisa que é impossível com o tempo e fundos suficientes.
Neste ataque da Vodafone, por exemplo. Quanto tempo terão demorado os hackers a entrar?
É difícil dizer. Já ouvi certos hackers a dizer que havia credenciais de acesso a sistemas da Vodafone à venda na dark web. Portanto, se foi esse o caso, é só uma questão de comprar e usar. Não terá sido menos do que uma semana, mas tanto pode ter sido uma semana, como dois meses. Depende da dificuldade dos sistemas e da sofisticação dos atacantes. Mas, principalmente, é preciso tempo. Esta é uma indústria que é muito difícil de automatizar, é tudo muito manual, e estes atacantes o que fazem é fabricar estas armas, que são armas virtuais. O problema está na produção destas armas, depois utilizá-las é extremamente simples. Há empresas que se especializam em fabricar estas armas virtuais e depois vendem a outras empresas que as utilizam.
E utilizam para quê?
Principalmente para espionagem. Do lado bom temos o anti-terrorismo, do lado mau já houve relatos destas armas serem compradas por narcotraficantes do México para poderem saber onde as vítimas estão.
E quando falamos em empresas falamos num negócio estabelecido legal e internacionalmente?
Sim, há um acordo internacional que regula a venda de ciber-armas, o Acordo de Wassenaar, do qual Portugal é assinante, que gere a venda das ciber-armas dentro do estado em que a empresa que as fabrica está sediado. Uma empresa que vende e fabrica este tipo de armas tem de pedir uma licença de exportação de armas, como se fabricasse armas para matar pessoas. E há muitas empresas desse género, embora não na União Europeia. São mais no Reino Unido, nos Estados Unidos, e em Israel, onde há uma grande concentração delas — que são usadas pelos ocidentais.
Até agora Portugal tem passado um pouco entre os pingos da chuva em relação aos ciberataques, que, no estrangeiro, são muito mais comuns. O que está a acontecer neste início de ano em Portugal? Houve o ataque à Impresa, o ataque ao site do Parlamento, à Vodafone e já hoje surgiram notícias sobre o caso da revista Visão.
Acho que é um problema que iria sempre acontecer. Não trabalho muito em Portugal, mas tenho vários contactos e sou português, e em Portugal há muito pouco investimento em segurança. Vamos ser sinceros, mesmo internamente, o investimento em segurança é muito difícil de se vender. Ao investir-se em cibersegurança está a fazer-se uma espécie de seguro, e quem não compreende realmente a dimensão destes ataques não vai querer gastar esse dinheiro — isto ao nível dos gerentes das empresas. Como em Portugal nos mantivemos sempre um pouco à margem destes ataques, isso fez com que tenha havido muito pouco investimento por parte das empresas, incluindo das grandes empresas, em segurança, o que causou uma diferença no nível de maturidade de segurança entre as empresas nacionais e as empresas estrangeiras. E estivemos um bocado à margem porque falamos uma língua diferente e somos só 10 milhões. Agora, o que é que acontece? Os hackers procuram sempre os alvos mais fáceis e neste momento, provavelmente, somos dos mais fáceis da Europa Ocidental, dado o pouco investimento que há em segurança em Portugal.
E isso acontece até nas grandes empresas? Tem noção do que se passa em Portugal, da percentagem de grandes empresas que têm contratos com empresas de cibersegurança, por exemplo?
Não tenho, mas conheço a cibersegurança em Portugal e há muito poucas empresas, muito poucas. E são empresas pequenas e isso diz-me logo que há pouco investimento. E também há outro problema: nas grandes empresas como a Vodafone a contratação de serviços externos devia ser, não desnecessária, mas apenas em moldes de auditoria. Por exemplo, o que se passa em Inglaterra é que uma empresa como a Vodafone tem uma equipa interna de especialistas em segurança, diríamos de 100 pessoas, dado o tamanho que têm, e esses especialistas tratariam de tudo em relação à segurança com a contratação ocasional de empresas como a minha, de consultoria, que iriam lá para auditar o trabalho deles ou para lhes fornecer alguma capacidade que não tivessem no momento, para aprenderem e depois desenvolverem internamente. Em Portugal, a impressão que me dá é que empresas como a Vodafone têm uma equipa interna muito pequena, normalmente são pessoas que se focam mais na gestão da segurança em vez de na gestão técnica…
Para leigos, o que é que isso significa?
Dentro da segurança há a gestão da segurança e a segurança técnica, a gestão da segurança é o enquadramento da segurança na empresa. No caso da Vodafone: um cliente novo entra, há uma série de coisas que têm de ser verificadas, como por exemplo ver se tem faturas em atraso, tudo isso, é englobado na gestão da segurança, tal como o local onde os dados dos clientes são guardados, se são ou não segregados… Isso passa tudo pela delineação de processos de segurança que estabelecem o que é feito e o que não é feito. Normalmente exige pessoas que tenham compreensão de como o negócio funciona e do que é necessário para garantir a segurança destes dados — isto é o que eu chamaria a gestão da segurança. Depois, temos a segurança técnica, que são pessoas como eu, que se encarregam de verificar e de fazer a triagem da segurança dos sistemas, para garantir que nenhum atacante lá entra. Normalmente, são duas coisas separadas: umas pessoas encarregam-se mais da parte da gestão e outras da parte técnica
E a noção que tem é a de que em Portugal tudo isto está junto no mesmo bolo?
Sim e que há poucas pessoas da parte técnica e que muitas empresas contratam outras para assegurar tarefas que deviam fazer internamente. Claro que é diferente: uma empresa com 100 empregados, dependendo do tipo de informação que tem, se calhar pode ter uma ou duas pessoas dedicadas à segurança e contratar empresas externas para o resto. Mas uma empresa como a Vodafone já deve ter uma equipa considerável de pessoas de caráter técnico elevado a trabalhar para eles. Agora, qual é o problema disto? É que os especialistas em segurança são poucos e os salários são altos. É o problema do investimento.
O que quer dizer com “salários altos”? Estamos a falar de profissionais que em média recebem quanto?
Em Portugal, não sei. Mas diria que no nível de entrada, logo a seguir à universidade, menos de 1.500 euros não é. Até onde pode ir, não sei. Só sei dizer o salário lá fora. Aqui em Portugal, é complicado.
Em Londres, como é que o mercado funciona?
Em Londres, o salário inicial anda à volta das duas mil libras por mês. E um especialista com cinco, seis anos sobe para as cinco ou seis mil. Com dez anos ou mais, acima de 10 mil por mês, mais coisa, menos coisa. Claro que cá é menos. Mas a subida seria equivalente, em termos de evolução.
A Agile Information Security, a sua empresa, foi criada há quanto tempo? E, no seu caso, quanto tempo de experiência já tem?
A empresa vai fazer nove anos. Continuamos a ser uma empresa pequena mas temos clientes um pouco por todo o mundo. Especializámo-nos em tecnologia financeira, a maior parte dos nossos clientes são as chamadas hs do Reino Unido, que são empresas que fornecem serviços de tecnologia a bancos.
E que são empresas que têm de ter um foco muito grande na segurança técnica, certo?
Sim, e Inglaterra é um dos países mais avançados em termos do framework e auditoria, mesmo a nível governamental. Há standards governamentais bem delineados e há muita auditoria da parte do governo, principalmente a serviços financeiros.
A questão de que falávamos há pouco — a negligência que a Vodafone poderá eventualmente ter cometido —, em Inglaterra seria mais difícil porque a segurança das empresas é vigiada e regulamentada a nível estatal?
Exatamente. Não é impossível, porque, se quiserem enganar um auditor, podem fazê-lo. Mas teriam mais pressão por parte do governo para fazer a coisa certa. Mas estas coisas também acontecem em Inglaterra, de vez em quando. E, lá está, vão sempre aos alvos mais fracos. Por isso é que eu digo, e posso estar errado, mas parece negligência.
O seu trabalho passa muito por procurar vulnerabilidades e tentar explorá-las, é isso?
É isso.
É o clássico hacker, ou não podemos defini-lo assim?
É um bocado isso, gosto muito dessa parte. Fazemos duas coisas: fazemos testes de penetração, que são simulações de hacking. Uma empresa contrata-nos, dá-nos um sistema, que pode ser uma página na Internet, um servidor, etc, e nós tentamos penetrar neles. Se conseguirmos, dizemos como conseguimos e como arranjá-los. E, depois, temos outra componente de negócio, que é encontrar e explorar vulnerabilidades. É pegar num produto — que pode ser o Zoom —, e tentar fazer vários tipos de engenharia reversa, que é tentar desconstruir o produto e encontrar-lhe vulnerabilidades. No nosso caso, publicamos as vulnerabilidades através de empresas com as quais temos parcerias para serem resolvidas e para que a segurança dos produtos seja melhorada. Se me dedicasse a esse negócio, poderia também vendê-las a serviços de informação militar, como fazem outras empresas. Nós não fazemos isso por questões éticas e porque, sinceramente, não precisamos. Mas há outras empresas que fazem isso — e é tudo legal.
O que já não será legal é, por exemplo, esta chuva de ataques que está a acontecer em Portugal ser provocada por empresas que vendem esse tipo de serviços, certo?
Não, isso é totalmente ilegal. Há muita especulação, até há quem diga que, por exemplo, a MEO contratou alguém para fazer este ataque. Claro que isso, quase de certeza, não é verdade. Mas é uma possibilidade interessante. Seria muito baixo e muito perigoso para a MEO. Não iam fazer isso para serem apanhados. Não vale a pena, diria eu. Mas é uma possibilidade como qualquer outra.
Quais serão as diferenças entre este ataque à Vodafone e o ataque do início do ano, ao grupo Impresa? Se é que há diferenças.
Acho que não há muitas diferenças. Não me surpreenderia, até, se fosse o mesmo grupo por trás de ambos os ataques. Como disse, acho que não são os super sofisticados que eles vão dizer que são. Nem que os da Impresa disseram. Acho que, simplesmente, o caso da Impresa foi o mesmo, que foi negligência e não houve investimento suficiente. No caso da Impresa, foi menos crítico porque, no fundo, são só serviços de informação. São noticiários, não fornecem um serviço de infraestrutura como a Vodafone fornece, crítico. Nem tem a dimensão, em termos de sistemas informáticos. A Vodafone deve ser cem vezes maior do que o grupo Impresa, por isso é outra dimensão.
Dizia-me que não se surpreenderia se fosse o mesmo grupo, mas o modus operandi, à partida, é diferente, não é? Para já, porque no primeiro ataque os responsáveis, o Lapsu$ Group, se apresentaram, e no caso da Vodafone não.
Sim, mas isso pode ser só porque este é um caso criminoso muito mais grave. Se calhar, neste caso, preferem fazer a coisa pela calada. Mas isto é mais na possibilidade que estamos a especular, também pode ter sido por pura diversão.
Se tivesse de especular só mais uma vez, diria que estes ataques vão continuar a acontecer em Portugal?
Acho que sim. Acho que agora vai começar. Se calhar, serão ataques menos críticos do que estes. Imagino que pior que a Vodafone — e isto é uma possibilidade muito grande e que me assusta muito — será, por exemplo, um ataque ao SNS. Isso é uma possibilidade. Porque, se estamos a falar de investimento, o SNS neste aspeto deve ter muito pouco investimento. Como os sistemas jurídicos. O meu pai é advogado, tem acesso a um portal jurídico que os advogados usam, que obviamente não testei — não posso—, mas que ele já me mostrou. Trabalho há muitos anos nesta área e só por ver aquilo tive logo más vibes, digamos assim.
Logo a olho nu dá para perceber que o sistema não é seguro?
Mais uma vez, posso sempre estar errado, mas tendo alguma experiência, a olho nu, e olhando um pouco como o sistema funciona, só como um utilizador normal, dá para perceber que pode ter problemas. E isso assusta-me. Em resumo, acho que os ataques vão continuar, mas espero que não cheguem a esse nível.
Portanto, o futuro não augura nada de bom.
Infelizmente, não. Eu gostava de ser mais positivo e, obviamente, estando na área, tenho interesse em que ela cresça. Mas, infelizmente, não me parece. Vamos tendo cada vez mais sistemas em casa, cada vez mais computadores, telemóveis, televisões, smart TVs, e isso aumenta a complexidade. E aumenta os problemas de segurança. E nas empresas a mesma coisa.
