A eles junta-se António Lopes, 24 anos, que acaba de entregar a sua tese de mestrado em engenharia informática depois de ter feito toda a formação no Técnico. Nas aulas admite que não aprendeu o suficiente sobre segurança informática, mas assegura que não deve ser nos currículos dos cursos que deve haver alterações para que se mude o paradigma da segurança informática. “Se aprofundarmos muito mais no curso, há coisas básicas que são necessárias e que podem não ser aprendidas de forma correta”, defende. Por isso, o melhor é mesmo aderir a grupos como o STT, onde há “aplicação dos conhecimentos prévios, mas também há um complemento, aprendem-se coisas práticas que nunca aprenderíamos numa aula”.

Depois do curso, todos querem conciliar os empregos com a atividade de white hacking. “Nós quando atacamos é sempre para ajudar. Uma pessoa mal intencionada que queira atacar não se preocupa com nada disso”, garante Diogo Silva. “A questão é que nós também usamos estes serviços e queremos que eles estejam seguros”, defende Filipe Casal. Enquanto estudantes de informática e membros do STT, estes alunos sabem bem o que é possível fazer com os dados pessoais quando se invade um sistema, e é por isso que querem contribuir para uma Internet menos vulnerável, remata Pedro Adão. “Eu quero ter a certeza de que os meus dados nas finanças estão seguros e por isso quero saber que a rede do Governo não tem falhas de segurança. Não pensem que eu quero piratear o Facebook. Eu quero é dormir descansado.”

O hacker que descobriu que os emails do Estado estavam vulneráveis

Grupos como o STT são um fenómeno recente em Portugal, mas, muito antes de a academia se começar a voltar para a ideia de que também na informática “o ataque é a melhor defesa”, já havia muitos white hat hackers a operar no país. João Pina é um deles. Em abril, João divulgou publicamente que uma centena e meia de domínios de email do Estado estavam vulneráveis a invasões. O informático detetou as falhas, comunicou-as ao Governo e ofereceu-se para ajudar na resolução. Tudo resultado do trabalho que vai desenvolvendo nas horas livres — durante o dia, trabalha na startup lisboeta MeshApp, onde é programador.

Mas é também do ambiente de trabalho que surgem ideias para a sua atividade de hacker. Há meses, quando estava aborrecido no emprego, virou-se para o colega do lado e perguntou-lhe de onde era. “Sou de Arouca”, respondeu-lhe. Pôs-se a pesquisar por Arouca e encontrou uma série de fragilidades em diversos sites. “Ainda antes daquela vez em que o site do Arouca foi hackado, eu já os tinha avisado das fragilidades, mas eles ignoraram-me”, conta.

Na sua página pessoal, João Pina vai divulgando muito do seu trabalho voluntário de hacking branco. Foi lá também que divulgou que era fácil alguém criar um email antonio.costa@gov.pt ou enviar uma mensagem a partir do ISS-NoReply@seg-social.pt, o endereço usado pela Segurança Social para enviar notificações automáticas aos cidadãos. E o processo foi feito de acordo com os princípios de ética que os hackers brancos partilham em todo o mundo, garante João Pina: a falha foi descoberta em novembro de 2016 e desde esse momento sucederam-se diversos contactos com as autoridades governamentais, mas as respostas não foram satisfatórias. Consciente de que o problema punha em causa a segurança dos utilizadores, João Pina informou o Governo, em março, de que iria publicar o problema daí a 45 dias. Foi o que fez no fim de abril.

João começou a dedicar-se ao hacking quando se apercebeu da quantidade de dados de utilizadores com que lidava. “Haver uma falha numa empresa, numa aplicação como a nossa, é uma tragédia”, garante. Por isso decidiu aprender, de forma autodidata, a contornar sistemas informáticos. Queria saber se conseguia atacar uma rede. Se fosse capaz, também conseguiria defender o sistema, pensou. “Então, comecei a tentar entrar numas maquinazinhas.”

À medida que foi adquirindo conhecimentos de cibersegurança, João Pina começou a dedicar-se a descobrir falhas em sistemas que utiliza e a reportá-las às respetivas organizações. “Costumo dizer que faço isto por uma Internet mais segura. Imagino que a minha mãe ou o meu pai recebem um email com um link qualquer e eles clicam lá… Eu não quero isso, e também é a pensar nos meus que dou este contributo. Eu sei proteger-me e sei onde não carregar, mas há pessoas com muito menos traquejo nas questões digitais que são constantemente enganadas, porque os black hat hackers são muito inteligentes.”

A ideia de ganhar dinheiro sendo black hat nunca passou pela cabeça de João. “Quero acreditar que tive uma boa educação dos meus pais e não me meto nesse tipo de jogos, penso que é uma questão de educação”, garante. A forma que encontrou de ganhar dinheiro de forma legítima com o hacking foi participar nos chamados bug bounty programs, iniciativas que são promovidas por grandes empresas que querem detetar eventuais falhas de segurança nos seus sistemas. Então, abrem um concurso em que qualquer pessoa se pode inscrever e ser autorizada a atacar a rede. Caso encontre alguma brecha de segurança, o hacker recebe uma quantia de dinheiro previamente anunciada. “Os bounties são uma grande oportunidade para as empresas, porque podem saber dos problemas antes de eles acontecerem”, esclarece.

O informático segue um código de conduta estrito, que os white hat hackers de todo o mundo partilham entre si. “Tento sempre cumprir a ética, que depende dos casos. Se encontrar uma falha que esteja a ser ativamente usada para prejudicar alguém, o código diz que devo reportar à entidade e dar um prazo de três dias para ser resolvida antes de tornar o problema público e avisar os utilizadores. Mas, por norma, quando são falhas que não apresentam perigo iminente, o prazo são 45 dias”, sublinha.

Ricardo começou como black hat, mas converteu-se

Mas se para João Pina foi fácil começar como hacker branco, o mesmo não se pode dizer de Ricardo (nome fictício). Hoje com 23 anos, diz que passou pelo “lado negro da força” antes de se tornar um hacker bom — a comparação com a Guerra das Estrelas é frequentemente usada pelos hackers para descreverem o mundo da cibersegurança.

A relação de Ricardo com a segurança informática começou na infância, quando um familiar lhe falou do phreaking — hacking com redes telefónicas. “Tinha acabado de receber o meu primeiro computador e os jogos atraíam-me bastante. O clique foi quando me questionei sobre como é que o jogo era programado ou feito, como funcionava. Não sabia a resposta, mas sabia que ter chamadas gratuitas, explorando vulnerabilidades na linha telefónica da PT, era bastante fácil”, recorda o jovem. “Então comecei a interessar-me por programação e arquitetura de computadores, ou seja, como funciona o CPU internamente, o que me levou a estudar o tema. Tinha 17 anos quando fiz o primeiro malware.”