São portugueses, hackers de elite e recebem milhares pelas suas descobertas

Hackers portugueses caça ao bug
Foto: Michal Kubalczyk / Unsplash

Estão entre os melhores do mundo a encontrar falhas de segurança informática, incluindo em grandes empresas como a Uber, Google e Yahoo. Os caçadores de bugs, como são chamados, ajudam as empresas a proteger os seus utilizadores dos criminosos e chegam a receber recompensas de dezenas de milhares de euros por estes trabalhos.

Estava em Las Vegas, nos EUA, e eram três da manhã quando Miguel Regala começou a receber mensagens de parabéns de outros hackers. Não fazia anos – os resultados do seu ataque é que já estavam a surtir efeito. Pouco tempo antes, tinha conseguido entrar com sucesso numa nova aplicação da Uber através de uma falha que tinha encontrado.

A vulnerabilidade permitia-lhe alterar as informações do perfil de empresas e foi isso que fez. Mudou o nome da vítima para ‘Fisher esteve aqui’, uma referência ao nome pelo qual Miguel é conhecido no mundo da segurança informática.

“Reportei logo aquilo e, no dia a seguir, a vulnerabilidade foi validada. Eles escolheram o meu relatório como um dos melhores do dia, pagaram-me um bónus adicional e convidaram-me para falar sobre como descobri e explorei a vulnerabilidade”, recorda o portuense de 28 anos.

Miguel Regala não estava a cometer qualquer ilegalidade, estava sim a cumprir o desafio para o qual tinha sido convidado por parte da HackerOne, a mais conhecida das plataformas que permitem recrutar hackers para resolver problemas de segurança. “Estás a ‘lutar’ contra os melhores investigadores. E para lutares, no fundo tens que estar ao nível deles”.

O perfil da empresa que invadiu era de testes, mas podia perfeitamente ter sido o de qualquer cliente desta nova app, da área da saúde, da Uber. “Consegui assumir o controlo, ler os dados desse perfil e modificá-los, nomeadamente o nome”.

Atualmente a viver em Gaia, para estar mais afastado da confusão do centro do Porto, Miguel Regala deixou há mais de um ano o emprego fixo que tinha para dedicar-se de forma mais séria à caça de bugs. Ainda não o faz a tempo inteiro porque “como és pago por cada bug que encontras, se não encontrares bugs, não recebes”.

“É um ciclo que muito facilmente pode tornar-se num ciclo negativo e pode ser assustador para quando se está a começar ou não se tem experiência”.

Mas é uma atividade que também pode ser extremamente lucrativa. Miguel Regala faz parte do grupo de hackers que não revela o valor das recompensas que recebe. “Não vês um médico a acabar uma operação e a dizer ‘ok, acabei de ganhar 12 mil euros, bravo!’. Mas posso dar um exemplo muito bom, em que tivemos um colega nosso, norte-americano, e ele há cerca de um mês fez, num dia, 121 mil euros”. Encontrou 14 falhas de segurança que lhe renderam cada uma, em média, 8.600 euros.

Leia também | NFCDrip: Português descobre falha que afeta smartphones, impressoras e milhões de outros equipamentos

É preciso saber colocar os valores em perspetiva: depende muito de quem paga, da gravidade da falha encontrada, se aquele sistema já foi testado e do tempo despendido para encontrar o bug. O que permite perceber que a vulnerabilidade encontrada por André Batista na empresa Shopify era muito, muito grave: ganhou cerca de 21.500 euros por uma sequência de problemas que denunciou.

“Conseguia redirecionar pagamentos para a minha conta, se fosse preciso. Se uma pessoa mal intencionada conseguisse descobrir aquilo, o prejuízo que não dava ao Shopify”, comenta o jovem de 24 anos, que teve a ajuda do amigo Luís Maia nesta descoberta.

Natural de Coimbra, já em pequeno André Batista tinha curiosidade por computadores, o que mais tarde levou-o a criar alguns sites. Quando deu por si, já perguntava “como é que seria possível entrar no computador de outra pessoa ou pregar uma partida”.

Hackers | Caçadores de bugs
Um estudo da BugCrowd (2016) diz que os portugueses descobrem falhas mais críticas, o que lhes dá mais reputação e dinheiro nos programas de caça ao bug. Ilustração: Luís Mestre

Conta que foi esta “vontade e curiosidade de ultrapassar limitações de forma criativa”, que lhe deu a dedicação que tem e o fez chegar onde está. O nome André Batista pode até nem ser-lhe totalmente desconhecido: foi coroado como o hacker mais valioso do mundo, em março, depois de ter vencido uma das competições exclusivas organizadas pela HackerOne. “Desde que ganhei o concurso, ganhei mais o bichinho [da caça ao bug]”, confidencia.

Como quase todos os meses vai para o estrangeiro testar as defesas de diferentes empresas, quisémos saber como é que os pais estão a reagir a este seu novo estilo de vida. “No início se calhar foi um pouco esquisito, mas estiveram sempre muito orgulhosos do meu trabalho e perceberam rapidamente o que fazia. Quando fui para o mestrado, mostrei-lhes e expliquei-lhes porque gostava da área e eles perceberam que estas competições são extremamente vantajosas para as empresas, porque lhes permite poupar no que diz respeito a investimento em segurança”.

O futuro parece promissor: André já está a dar aulas como professor convidado no mestrado de Segurança Informática na Faculdade de Ciências da Universidade do Porto. “Ficaram interessados em que eu continuasse e contribuísse para o mestrado”.

Leia também | SamSam. O vírus que espalha o pânico pelo mundo chegou a Portugal

Mas não é o único a quem se augura grandes feitos no mundo da segurança informática. Com apenas 22 anos, Federico Bento já ganhou um pwnie, o prémio mais relevante do mundo nesta área. Os pwnie são o equivalente aos ‘óscares dos hackers’ e o português arrematou o título de “Feito Épico” em 2017.

“O bug era mais de implementação do que erro de programação”, começou por explicar. “Um utilizador de uma máquina Linux que não tivesse privilégios, depois conseguia ter privilégios de superutilizador”. Ou seja, ganhava acesso a toda a máquina.

“Senti-me mesmo bem, é um reconhecimento de algo que fizeste”, contou. “Mas não é algo que defina as pessoas, eu não sinto que sou o melhor hacker do mundo só por ter ganhado um pwnie, ainda há muitas coisas que tenho de aprender”, acrescentou logo de seguida.

Federico Bento também mostrou que aquela falha não foi sorte de principiante: este ano voltou a estar nomeado para os pwnie na categoria de melhor falha de escalonamento de privilégios, mas acabaria por perder a corrida para o Meltdown, uma das maiores falhas de segurança informática alguma vez já descobertas e que afetou, virtualmente, todos os equipamentos com processadores fabricados nos últimos 20 anos.

O interesse por este mundo dos bugs começou quando tinha 15 anos e tudo graças ao cinema. Uma cena em particular do filme Matrix Reloaded, em que a personagem Trinity ganha acesso a uma rede de energia e desliga todas as luzes de uma cidade. “Gostei mesmo. Tive interesse e comecei a pesquisar como é que se faziam certas coisas”.

Federico é, à semelhança dos outros entrevistados, um self-made hacker, pois encontrou online os materiais disponíveis para aprender o que queria sobre segurança informática. Mas ao contrário do Miguel e do André, não participa em programas de caça aos bugs, fá-lo mais “por iniciativa própria”.

Mesmo a solo, consegue ganhar algum dinheiro com as descobertas que faz. A vulnerabilidade que lhe valeu um ‘óscar dos hackers’ afetava, por exemplo, um software da Google. Submeteu a falha, a tecnológica validou e atribuiu-lhe um prémio de 450 euros. “Ainda estou a estudar, não gosto muito de encontrar bugs por dinheiro, é mais por gosto próprio. Se vier dinheiro, melhor, se não vier, não me importo”.

Apesar de ainda não olhar muito para o futuro, Federico sabe que poderá ter de passar pelo estrangeiro. “Aqui em Portugal não sei se há muito emprego [em exploração de falhas]”.

Leia também | Perito avisa bancos portugueses: um novo ataque informático pode estar a caminho

Quem já está fora de Portugal há três anos é Duarte Silva. O investigador está na Holanda, onde trabalha para uma grande organização internacional. “Em Portugal já estava a trabalhar na área de cibersegurança, já tinha um trabalho em que tinha responsabilidades nessa área. Mas em termos de evolução de carreira não havia, era muito parado”, explicou.

Quando teve o primeiro contacto com a caça aos bugs, através da plataforma BugCrowd, que funciona de forma semelhante à HackerOne, Duarte não ficou muito convencido. Na altura a ideia de tirar partido do conhecimento de milhares de investigadores em todo o mundo para tornar uma plataforma mais segura ainda estava a dar os primeiros passos.

“Um ano e meio depois, resolvi revisitar as bug bounties. Na altura já havia muitos mais programas e foi aí que ganhei bastante interesse”.

Diz que tem andado de volta do router Technicolor que tem lá em casa e que milhares de outras pessoas usam na Holanda, pois é dado pelo fornecedor de internet. “Tenho estado a descobrir falhas e a reportar para a Technicolor, a tentar que eles as corrijam”.

Na opinião deste especialista de 33 anos, natural do Montijo, o sucesso dos portugueses na caça aos bugs justifica-se por esta ser “uma das gerações mais bem formadas em Portugal” e pela muito falada capacidade de desenrascar do povo português. “Improvisar é uma capacidade que é muito boa para os bugs e nós temos um certo dom para tal”.

Em 2016, um relatório da BugCrowd explicava que os investigadores portugueses eram dos melhores a nível mundial, pois apesar de serem poucos, apontavam sempre às vulnerabilidades mais críticas, o que lhes dava mais reputação, recompensa monetária e isso acabava por colocá-los no topo das tabelas dos melhores caçadores de bugs.

Joe Sechman, vice-presidente de entrega de testes de penetração da Cobalt, outra plataforma de caça ao bug, atesta a qualidade dos portugueses.

“Nos últimos dois anos, Portugal cresceu e tem agora a terceira maior concentração de investigadores no núcleo da Cobalt e quase um quarto dos lugares na nossa Administração de Conselheiros de Pesquisa. O modelo da Cobalt enfatiza a colaboração e a colegialidade entre investigadores. A nossa delegação portuguesa exemplifica esses valores”, disse, numa resposta enviada por email.

“É importante mostrar o que se faz de bem em Portugal e o respeito que temos lá fora”, referiu por seu lado David Sopas, visto como um dos precursores da caça ao bug em Portugal. Na sua lista de ‘vítimas’ estão nomes como Yahoo, Yelp, The New York Times, Zomato e até o Departamento de Defesa dos EUA. “Era uma base de dados militares reformados”, explicou.

“Para um país pequeno, com poucos profissionais na área, ter o impacto que têm no mundo de caça aos bugs, acho fantástico. E acho que tem tendência a melhorar, pois eles motivam e ensinam outros jovens”.

O também cofundador da Char49 explica que neste mundo da caça aos bugs não chega encontrar e explorar a vulnerabilidade. “Também é importante entregar um bom relatório ou um vídeo a explicar o passo-a-passo de como lá chegaste, a tua linha de raciocínio, como resolver, voltar novamente a testar quando eles resolveram. Esses pormenores todos muitas vezes valorizam o próprio bug”.

Nascido no Luxemburgo, onde os pais eram emigrantes, regressou ainda novo para Portugal. Agora, a viver na Figueira da Foz, conta com reportório de mais de 600 falhas identificadas em diferentes programas de caça ao bug. “A tua própria reputação está em jogo, por isso tentava sempre encontrar falhas, no mínimo, de gravidade média, mas tentava sempre as falhas mais graves”.

David Sopas e companhia são alguns dos elementos que nos últimos anos têm ajudado a construir aquela que é uma comunidade de hackers portugueses que fazem parte da elite mundial.

* Esta é uma versão alargada do artigo originalmente publicado na edição de outubro de 2018 da revista Insider