Com hackers veteranos, a X-Force Red adota técnicas dos criminosos para testar defesas das empresas.
“Se estas pessoas não fizessem este tipo de trabalhos, provavelmente estariam presas”, brinca Thomas MacKenzie, associate partner da equipa X-Force Red.
Em 2016, nascia esta equipa, composta por hackers veteranos, como uma espécie de esquadrão com uma missão definida: testar defesas e encontrar falhas de segurança. A diferença é que esta equipa não joga “limpo” e recorre a métodos alternativos – dedica-se a testes ofensivos à segurança de empresas, infraestruturas ou produtos.
“Adotamos as mesmas técnicas e mentalidade de quem ataca, para ajudar as empresas a perceber quais são as suas fraquezas a nível de segurança, antes de os criminosos o fazerem.”
Thomas MacKenzie esteve em Lisboa, durante um evento da gigante norte-americana IBM, para falar sobre a equipa, que descreve como “um conjunto de loucos desajustados a fazer coisas doidas”, explica, com um sorriso. MacKenzie tem também um passado ligado à área de hacking. “Na altura da faculdade, estava superinteressado na área. Não tanto na parte de ir para a prisão, mas na parte de aprender as coisas de forma mais ou menos justa.”
Leia também | Caso Champalimaud: “Fundação fez bem, jamais se deve pagar resgate a hackers”
O primeiro contacto aconteceu justamente quando estava do lado dos alvos. “Adorava jogar e um dos servidores do meu jogo favorito foi atacado. Alguém deixou uma mensagem que remetia para um fórum.” O britânico não resistiu à curiosidade e partiu à aventura – foi nesse fórum que aprendeu muitos dos truques. “Acompanhava tudo, como um observador”, conta. Até ao dia em que o FBI entrou em ação e encerrou o fórum.
Uns anos depois, continua ligado ao mundo do hacking, mas do lado da parte ética. Thomas MacKenzie destaca que, mesmo estando ligada à IBM, a equipa mantém a independência. “Operamos como uma equipa independente, para garantir que permanecemos neutros quando fazemos testes para os nossos clientes.”
Leia também | Evgeniy ‘slavik’ Bogachev. O hacker mais procurado do mundo
Ao longo destes anos, a equipa já encontrou vulnerabilidades em cidades inteligentes e empresas, alimentando as manchetes de jornais como o The Wall Street Journal ou de revistas como a Wired ou Forbes. “Estamos a tentar encontrar os erros tontos antes de as pessoas más o fazerem.”
Thomas MacKenzie explica que também as mentalidades das empresas mudaram, no âmbito da segurança. “Há uns anos, os testes ofensivos de segurança não eram uma prática comum, era algo que só as equipas pequenas ou as boutiques de consultoria faziam”, recorda. “Mas agora já há muitas organizações a fazer coisas do género e até já é algo que faz parte das ofertas das firmas grandes.”
Leia também | Microsoft dá proteção contra hackers a políticos e organizações portuguesas
Num dia normal, a equipa da X-Force Red testa um pouco de tudo, desde sites, carros, dispositivos de Internet das Coisas, redes e produtos em busca de falhas. “Os especialistas identificam formas de fazer as tecnologias e os processos trabalharem de forma para as quais não foram criados.”
A diversidade do trabalho é um dos pontos positivos da ligação tecnológica americana. “A melhor parte de estar na IBM é que estamos a trabalhar em todas as indústrias e somos constantemente expostos a soluções complexas e inovadoras, a toda a hora.”
Já pertenceu a um clube de hackers milionários. Agora defende empresas como o Facebook e Twitter
