É um dos maiores peritos mundiais em segurança informática e, em outubro, vendeu a sua empresa por dois mil milhões de euros à gigante mundial Cisco. Esta é a história de Dug Song, o hacker que não se conforma com a insegurança, contada pelo próprio.
O nome w00w00 talvez já não lhe diga muito, pois o pico de atividade deste grupo de piratas informáticos aconteceu entre o final da década de 1990 e o início dos anos 2000. Os membros eram todos hackers de elite e apenas entravam mediante convite. Mas provavelmente conhece aqueles que foram alguns dos seus membros.
Mentes brilhantes como Jan Koum, cofundador do WhatsApp, Shawn Fanning, criador do Napster, ou Sean Parker, o primeiro presidente do Facebook, fizeram parte do w00w00: não é à toa que este coletivo de pessoas interessadas em segurança informática é conhecido como o billion dollar hacker club.
“Era um grupo de pessoas que fazia da segurança informática um hobby. Fazíamos muita investigação em segurança, era organizado por um tipo chamado ‘shok’ [Matt Conover, atual fundador da CloudVolumes]. Estávamos um pouco por todo o mundo e a certa altura disseram que éramos o maior grupo de segurança informática. Não sei se é verdade, mas tínhamos pessoas muito interessantes nos nossos círculos”, explicou, entre alguns risos, Dug Song, em entrevista à Insider.
Cresceu a fazer grafitti e a andar de skate na zona de Washington DC. Quando fazia parte do w00w00, o norte-americano tinha pouco mais do que 20 anos. Aquela experiência e as pessoas de alto perfil com quem conviveu tiveram, no entanto, um grande impacto naquela que seria a sua vida dali para a frente.
“Uma coisa que tínhamos em comum era um interesse profundo sobre como a tecnologia funciona, porque é isso que os hackers fazem. Eles não invadem apenas por invadir, eles tentam perceber os produtos de forma mais aprofundada, mais até do que as próprias pessoas que os desenharam e criaram”.
O conhecimento que tinha para atacar também era valioso a defender. No ano 2000 foi um dos elementos da equipa fundadora da Arbor Networks, uma empresa que criou um ‘sistema nervoso digital’ para operadores de telecomunicações de todo o mundo e que permitia às empresas responderem a ataques informáticos violentos.
“Começámos a empresa porque um miúdo de 15 anos, chamado MafiaBoy, tinha atacado mil computadores e estava a usá-los para ataques de negação de serviço (DDoS), estava a inundar por completo sites como a CNN, Yahoo, eBay. Estavam todos mortos. E ele estava a fazê-lo apenas por diversão e para se gabar aos seus amigos. Estava a demonstrar que a internet não é segura, nem para negócios, nem para nada que possas lá fazer”, recorda o empreendedor agora com 43 anos.
“Se houvesse um ataque em Nova Iorque e estivesse na rede da AT&T, a AT&T podia dizer à British Telecom, que por sua vez podia dizer à France Telecom. Nós rastreávamos os ataques até às fontes e ajudávamos a pará-lo, para manter todo este entulho fora da rede. Nós ajudámos a limpar os tubos da internet”.
Leia também | Como (não) se apanha um hacker?
Dug Song manteve-se na Arbor Networks até 2007, empresa que acabaria por ser vendida três anos depois por um valor que nunca foi revelado, mas que moveu muitos milhões de euros. Curiosamente, 2010 foi também o ano em que o empreendedor decidiu fazer a sua próxima grande investida, criando a Duo Security.
A abordagem desta nova empresa era diferente: em vez de construir uma camada de segurança que ajudasse a proteger os utilizadores dos serviços de internet, a plataforma foi pensada para proteger os funcionários das tecnológicas. Dug Song percebeu que essa seria a próxima grande tendência na área da pirataria informática – atacar um funcionário e usar os seus privilégios para, a partir de dentro da empresa, conseguir criar um ataque de alto impacto.
A Duo Security é aquilo a que se chama uma plataforma de ‘confiança zero’, no sentido em que só permite que um determinado funcionário execute determinada função depois de estarem assegurados diferentes critérios de segurança. Esses critérios variam de acordo com o dispositivo que está a ser usado, a localização da pessoa e outros factos contextuais.
“Quando todos os funcionários das empresas estão nas redes sociais, têm acesso ao email, é muito simples afetar uma empresa enviando apenas alguns emails e um pedaço de malware como anexo”, explica Dug Song, CEO da Duo Security.
“Tem havido uma transformação digital nos negócios, isso significa trazer os ecossistemas dessas empresas para um mundo novo. A maior parte das organizações têm muito mais dados dos seus clientes do que tinham antes. O desafio é que não sabem o que fazer com estes dados. Estão a tentar monetizá-los, mas não sabem como ser os guardiões desta informação. As empresas têm muito mais para proteger digitalmente e essa tem sido a maior falha que temos visto”.
A Duo Security é responsável por garantir a segurança de funcionários de empresas como o Facebook, Instagram, WhatsApp, Twitter, Etsy e Kayak, entre muitas outras. O portfólio de clientes foi o que ajudou, em parte, a Cisco a focar a sua atenção na Duo Security.
Leia também | NFCDrip: Português descobre falha que afeta smartphones, impressoras e milhões de outros equipamentos
Em agosto foi anunciado uma aquisição no valor de dois mil milhões de euros, negócio que só ficou totalmente concluído em outubro. “Numa era em que tudo isto tem acontecido, todas as revelações de comportamentos incorretos de outras empresas, fiquei muito contente por a Cisco, há quase uma década, ser uma das empresas mais éticas do mundo. Isso significou muito para nós”, revelou-nos Dug Song.
Hacker e ético são talvez as duas palavras mais importantes da Duo Security enquanto empresa: a tecnológica tem um laboratório com hackers éticos, no qual os investigadores passam o seu tempo a encontrar ataques e vulnerabilidades muito antes dos atacantes – o que antigamente seria a vantagem de Dug para mais uma ‘brincadeira’ no grupo w00w00, agora é a vantagem do seu negócio.
“Quando começámos a empresa, quebrámos o sistema de autenticação em dois passos da Google. Ajudámo-los a concertá-lo. Quebrámos também a autenticação em dois passos do PayPal. Encontrámos vulnerabilidades em atualizações de software da Apple para os seus dispositivos. Encontrámos vulnerabilidades nos portáteis da HP, Asus e Acer”, exemplifica, sobre como a sua empresa consegue manter-se à frente dos maus da fita.
Para os que ainda não veem a segurança informática como uma parte essencial do seu negócio, Dug Song aconselha uma perspetiva diferente: a segurança informática como uma parte essencial da democracia moderna.
“Numa era em que nem os governos conseguem manter os seus segredos, ninguém está seguro. Nós já vimos grandes desafios à democracia de formas muito distintas. Estes ataques afetam as infraestruturas básicas de como operamos e acredito que é o maior problema geopolítico da atualidade, porque se não tivermos capacidade para mantermos os nossos segredos, há um ditado que diz ‘a privacidade é necessária para uma sociedade aberta e livre na era eletrónica‘”.
São portugueses, hackers de elite e recebem milhares pelas suas descobertas