Dois peritos portugueses em segurança informática venceram uma competição online que lhes dá acesso a um evento exclusivo para hackers (o H1-202), em Washington, nos EUA , e no qual vão lutar por um prémio total de 100 mil euros. André Baptista e José Sousa superaram quase 450 participantes e garantiram dois dos três lugares que estavam reservados para a qualificação online.

Os dois portugueses (e o terceiro escolhido online) vão juntar-se a um grupo restrito com alguns dos melhores hackers do mundo para tentar encontrar falhas de segurança que existem no software e no site de uma empresa-mistério (que irão saber qual é no momento da competição). Além do prémio monetário e de poderem aprender com os melhores da indústria, André Baptista e José Sousa têm como objetivo promover o nome da Portugal no mundo da segurança informática.

A competição vai decorrer a 24 e 25 de março, e está a ser organizada pela HackerOne, a mais conhecida das plataformas que permitem às empresas recrutar hackers para resolver os seus problemas de segurança.

Jovens promessas

No dia em que soube que foi selecionado, José Sousa tinha estado até tarde a olhar para os pedidos de algumas empresas na resolução de bugs. Pouco tempo depois de se ter deitado, recebeu uma mensagem do amigo André Baptista a contar-lhe que fora selecionado para o evento da HackerOne.

Quando viu a mensagem de manhã, e já atrasado para o trabalho, José foi ver as notificações do email para saber se também tinha sido escolhido. “Vi as notificações, não vi uma da HackerOne e pensei que não tinha sido selecionado”.

“Preparei-me, despachei-me a correr, quando estava a vir para o trabalho, fui ver os e-mails e por acaso reparei que embora não tivesse a notificação, estava lá o email da HackerOne. Começou logo a correr bem o dia”, explicou ao Dinheiro Vivo José Sousa, por Skype, com um sorriso na cara.

O que para outros investigadores podia ser um momento único na carreira, para André e José acaba por não ser uma estreia. Não é a primeira vez que os dois jovens são selecionados para participar em eventos de renome internacional

André, de 23 anos, terminou há poucos meses o mestrado em segurança informática na Universidade do Porto e coordena uma equipa especialista em competições de cibersegurança. José, 28, está a terminar o mestrado, também na Universidade do Porto, e já está a trabalhar no centro de incidentes de segurança da universidade.

Para garantirem a presença neste evento exclusivo, ambos tiveram de participar numa competição online na qual precisaram de encontrar várias falhas numa aplicação móvel. Não bastava descobrir o que havia de errado com a app – também era preciso escrever um relatório que explicasse como foram encontradas as vulnerabilidades.

A competição online foi desenhada para garantir que os vencedores são especialistas em várias áreas. Tanto precisavam de saber extrair conhecimento de um software sem ter acesso ao código original, como precisavam de ter conhecimento em criptografia e outras áreas mais específicas.

A presença em Washington já está garantida, mas só quando lá chegarem é que os peritos portugueses vão descobrir quem é a empresa que quer ver os seus produtos dissecados pela elite mundial de hackers. Num dos eventos passados, o ‘cliente’ foi o próprio Departamento de Defesa dos EUA.

“Acabamos por aprender muito com os outros participantes, não só enquanto estamos lá com eles, mas depois mantemos o contacto e acabam por ser quase mentores e ajudamo-nos uns aos outros”, contou José Sousa.

Se a competição pelo estatuto e pelo prémio total de 100 mil euros promete ser o ponto alto do evento, há um outro lado mais educativo e no qual os dois portugueses também vão representar um papel importante: no primeiro dia, o grupo de hackers selecionado para participar no evento da HackerOne vai ensinar regras de ética de segurança aos jovens de algumas escolas de Washington. “Vamos estar ali todos a explicar e a mostrar a nossa experiência, a ensinar algumas técnicas a esses miúdos do secundário”, disse André Baptista ao Dinheiro Vivo, também por Skype.

Fazer de Portugal uma potência

A comunidade de cibersegurança em Portugal pode não ser muito grande, mas é reconhecida pela sua qualidade. Um relatório de 2016, da empresa de segurança Bugcrowd, mostrava que os caçadores de bugs portugueses estavam entre os que ganhavam mais dinheiro. O relatório dizia mesmo que era “notável” o desempenho dos peritos portugueses, pois estavam em terceiro lugar no ranking das falhas mais graves detetadas.

Também há registo de investigadores portugueses que já encontraram falhas de segurança em serviços de algumas das maiores empresas do mundo, como a Google, a Yahoo e a Uber, por exemplo.

A teoria da qualidade foi reforçada pelo diretor executivo (CEO) da HackerOne, Mårten Mickos. André e José participaram num evento da empresa em 2017 no qual conheceram o CEO e este disse-lhes que Portugal parecia estar novamente numa época dos descobrimentos, pois havia vários casos de portugueses que estavam a dar cartas na área da cibersegurança.

“Por isso é que também tenho vontade de ficar por cá, para ver se formamos as pessoas e as colocamos na rota certa”, disse André Baptista sobre a importância de ajudar as novas gerações de investigadores. “O risco de eles se tornarem criminosos é mau. Assim nós conseguimos encaminhá-los e dar-lhes conhecimento de segurança. Acho que um dia vamos ser uma potência em termos de segurança informática, é nisso que eu acredito”.