Hackers atuam como profissionais de segurança da informação

Shirley Pacelli

Do Fotolog, Orkut e site da Telefónica à venda de serviço de gerenciamento e validação de contas em nuvem, Vinícius Camacho Pinto, de 30 anos, analista de segurança da informação e sócio da Pontosec, tem uma longa trajetória como o hacker K-Max. A história dele é bastante típica: desde muito cedo se interessou pelo universo de vulnerabilidades, de como tudo funciona por trás das cortinas. Em 2003, quando os álbuns on-line eram a febre do momento, ele descobriu uma vulnerabilidade no Fotolog do tipo cross-site scripting (XSS). Ela permitia sequestrar a conta dos usuários, sem precisar de login ou senha, e mudar configurações do perfil. Esse tipo de bug expõe o usuário e é considerado grave no universo web. “Acabei trabalhando para a empresa durante alguns meses. Em vez de me processarem, eles me contrataram”, lembra.

Já em 2005, ele descobriu que duas falhas usadas em conjunto tinham o potencial de exploração do Orkut. Com uma falha do Internet Explorer ele conseguiu sequestrar as 30 maiores comunidades da rede social então mais popular do Brasil. Quatro anos depois, ele descobriu uma falha no site da Telefónica que afetava 1 milhão de pessoas. Com a exposição do banco de dados da empresa, as informações poderiam ser exportadas por criminosos. Em vez de comunicar à empresa, divulgou a novidade para a mídia. Na época, a Polícia Civil de São Paulo indiciou o hacker por crime de divulgação de segredo qualificado.

“Usei a descoberta para o bem. Criei um buzz na mídia para eles verificarem o erro. Normalmente uma empresa multinacional dificilmente atende hackers. Só recentemente o Google e o Facebook começaram a oferecer recompensas e um canal direto para reportar isso de forma mais rápida”, ressalta. Segundo ele, quem é da área de segurança da informação sabe que a forma mais eficaz para as instituições corrigirem falhas é expondo-as na mídia. Tanto é que o problema da Telefónica foi resolvido poucas horas depois.

Vinícius conta que aos 16 anos de idade já desvendava as funcionalidades do Linux e aprendia noções de programação por interesse próprio. Ele confessa que já enviou o conhecido cavalo de troia para PCs alheios. O malware, como o nome lembra, é um presente de grego: ele permite ao hacker ter controle do seu computador. “Fiz como forma de diversão e testes. Muita gente aproveita para extorquir, rouba dados pessoais e coage depois. É lamentável o uso dessas informações para obter vantagens”, diz. Segundo ele, a ética hacker manda nunca invadir um sistema para obter benefícios ilícitos.

Ele diz que o hacker adolescente tem perfil parecido com o do gamer: tem prazer no PC, não vê o tempo passar, se alimenta com Coca-Cola e pizza. Vinícius diz que já foi viciado em internet, mas amadureceu com o tempo. “Tanto eu quanto os outros hackers que conheço têm, sim, uma vida social. Tenho prazer em frente ao PC, mas também gosto de ler – até mesmo buscando livros em bibliotecas reais”, brinca. Paixão é o que move o hacker. Segundo ele, o profissional de segurança da informação tem que ser tão dedicado quanto qualquer outra pessoa que quer ser especialista. Demanda estudo, perseverança e paciência. Ele compara os hackers aos artistas que perdem noção do tempo quando envolvidos com suas obras de arte. “Já fiquei mais de 30 horas focado em um desafio e não foi cansativo. Mas isso não é uma constante. ”

Amadurecimento

K-Max diz que os criminosos de verdade não fazem parte da comunidade de segurança da informação, estão no universo underground. Segundo ele, a deep web, ao contrário do que se pensa, não é o grande centro desse universo. Tanto nela quanto  fora, é possível encontrar fóruns IRC (internet relay chat, protocolo de comunicação utilizado na internet), onde existem quadrilhas de criminosos trocando informações. “A deep web é só mais uma ferramenta de anonimato que pode ser usada para orquestrar o crime. Ela também pode servir para o ‘bem’, sendo usada por pessoas como o agente Snowden para enviar relatórios à imprensa de forma anônima e resguardar sua integridade”, ressalva.

O analista de segurança conta que aprendeu que nem sempre vale a pena brigar com grande empresas em testes de vulnerabilidades polêmicos, pois há um custo, já que o profissional fica suscetível a processos. Desde 2011, ele trabalha na Pontosec. A ideia, a princípio, era oferecer o chamado pentest, que avalia a segurança de um sistema de computador ou rede. A maré brasileira não foi favorável. “O Brasil está 10 anos atrasado em relação ao mercado americano e europeu. As empresas têm receio de contratar esse serviço. Para elas, em time que está ganhando não se mexe. E assim permanecem vulneráveis a ataques até dos concorrentes”, explica.

Nas próximas semanas Vinícius passa a oferecer o Pontopass – plataforma de autenticação em duas etapas. Ultimamente, só a combinação usuário e senha não é suficiente para preservar sua conta. Há diversos trojans do tipo keylogger físico, que fazem um backup de tudo o que a pessoa digita no aparelho e envia ao cibercriminoso. Com a segunda camada de autenticação, é preciso entrar com um código enviado ao celular, o que reforça a segurança da conta. Há ainda o recurso de ligação telefônica automatizada e comandos em aplicativos especiais. Grandes empresas, como o Facebook já oferecem esse recurso. O Wordpress o implementou este ano e o Twitter no ano passado. A ideia do analista é disponibilizar um serviço que caiba no bolso de pequenas e médias empresas.

INQUIETOS PENSANTES

O desafio se torna hábito. Na Campus Party Brasil 2013, realizada em janeiro deste ano, o grupo Hackers pensando invadiu a apresentação ao vivo de um palestrante que ressaltava a segurança do sistema Joomla. Na edição pernambucana, que começou ontem, o hackathon de dados abertos desafia desenvolvedores a criarem aplicativos inovadores para dispositivos móveis, utilizando conteúdo da Prefeitura do Recife. Os três melhores aplicativos serão premiados.