André Baptista reconquistou recentemente o título de Hacker Mais Valioso, numa competição que decorreu nos EUA. O seu percurso já inspirou os mais jovens a dedicarem-se a estas temáticas e a seguirem o caminho do hacking ético. Apaixonado por estas temáticas desde muito jovem, André Baptista recorda, à Security Magazine, o dia em que descobriu uma vulnerabilidade critica na Shopify e a forma como a empresa respondeu à sua descoberta. Há poucos anos decidiu fundar a Ethiack, uma empresa de cibersegurança. Hoje reconhece que as semelhanças entre hacking e empreendedorismo são muitas e olha para o futuro da cibersegurança com esperança.
Security Magazine – Como é que convive com o facto de ser considerado o hacker mais valioso do mundo?
André Baptista – Confesso que, por um lado, não é de todo confortável, porque não considero esta uma designação justa ou precisa: ganhei de facto dois títulos de Hacker Mais Valioso em duas competições internacionais destinadas a um grupo restrito de hackers éticos. Apesar disso, são, de facto, competições com grande impacto onde nos pedem para descobrir vulnerabilidades em softwares de empresas globais muito utilizados em todo o mundo.
Por outro lado, após alguns anos apercebi-me que os prémios que alcancei, acabaram por inspirar muitos jovens portugueses, que ao verem as notícias sobre as minhas conquistas, decidiram seguir o caminho do hacking ético. Foram diversos os casos de jovens que me contaram que estavam nesta indústria porque a minha história os inspirou. Perceber que há um grande impacto positivo que perdura é muito gratificante.
De hacker a empreendedor. Como descreve o seu percurso até chegar à liderança e fundação da Ethiack?
Há imensas semelhanças entre hacking e empreendedorismo, principalmente no que toca à persistência e acreditar que vai ser possível materializar algo que à partida parece impossível, muitas vezes com poucos recursos, sob pressão e mergulhado em incerteza. Em ambas as áreas, temos muitas vezes que conseguir descobrir um caminho para alcançar um determinado objectivo, com os escassos recursos ou ferramentas que temos à disposição.
Criar uma empresa foi algo que fez todo o sentido, que veio complementar o meu desejo de ajudar a melhorar o ecossistema de cibersegurança em Portugal e ter um impacto positivo no Mundo. Algo que já fazia e que continuo a fazer noutras vertentes profissionais, por exemplo, como docente convidado na Universidade do Porto, onde continuo hoje a leccionar no Mestrado em Segurança Informática.
Após ter alguns recursos para investir, obtidos a descobrir vulnerabilidades em programas de Bug Bounty e competições internacionais, a decisão de construir uma equipa e criar um produto inovador nesta área acabou por ser natural.
Em termos académicos e formativos, qual o seu caminho e investimento pessoal a esse nível?
Licenciei-me em Engenharia Informática na Universidade de Coimbra e sou Mestre pela Universidade do Porto em Segurança da Informação. Não tenho outro tipo de investimento pessoal noutras formações, sempre fui muito autodidata e lanço regularmente desafios a mim próprio para adquirir novos conhecimentos: fiz projectos pessoais fora do âmbito dos cursos e participei em hackathons, bem como CTFs (capture the flag).
Como é que estes temas relacionados com a cibersegurança entraram na sua vida?
Comecei a aprender a programar, por curiosidade, aos 11 anos, e passados alguns anos comecei a perceber que era possível “entrar” noutros computadores que havia todo um mundo digital por explorar, onde a imaginação era o limite.
Foi um percurso muito importante, porque me permitiu perceber que o meu caminho era o do hacking ético. Uma área, aliás, onde há uma grande falta de profissionais.
Tem participado em algum projecto ou pesquisa académica relacionada com esta temática e estudos?
Tive já o prazer de ser o supervisor/co-orientador de várias teses no Mestrado em Segurança Informática na Universidade do Porto. Também já dei várias palestras e lancei várias ferramentas open source nesta área em diversas conferências de hacking.
Como olha para estes jovens que se dedicam a estas áreas e que dicas poderia deixar a quem quer seguir-lhe as pisadas?
É um gosto enorme ver mais jovens a entrar nestas áreas e a seguir vários passos que temos em comum. São jovens que decidiram enveredar por um caminho ético no hacking e constituem o futuro do sistema imunitário da Internet e da sociedade digital.
Aqui vão algumas dicas:
● Lançar desafios a nós próprios regularmente – Por exemplo: implementar um software ou ferramenta que não fazemos a mínima ideia como construir
● Participar em CTFs em equipa ou individualmente – estes desafios que são cenários simulados de vulnerabilidades têm sempre uma solução (flag). Permitem adquirir novos conhecimentos e aumentar a nossa persistência
● Mantermo-nos actualizados – todos os dias surgem novas vulnerabilidades, ferramentas, blog posts, tweets (agora posts). Juntarmo-nos a comunidades de hacking no Slack, Discord ou outros canais e redes sociais, é essencial para surfar na crista da onda das novidades.
● Participar em conferências ou meetups – por exemplo a BSidesLisbon ou o OPOSEC no Porto
Que habilidades e conhecimentos considera essenciais para se ter sucesso como profissional nesta área?
Bases sólidas sobre programação são sempre extremamente úteis. Quando procuramos vulnerabilidades em software ou aplicações, saber como são construídos é uma grande vantagem.
Existem várias especialidades ou categorias, desde Web, a Criptografia, Engenharia Reversa, Binary Exploitation, entre outras. Há que tentar focar em uma ou duas no máximo em simultâneo, e aprender ao máximo sobre as mesmas.
É uma área extremamente técnica, em que é preciso mergulhar nas profundezas da tecnologia e compreendê-la. Ainda mais essencial é uma grande dose de curiosidade, criatividade e persistência na procura de novo conhecimento.
Desde que começou a lidar com estes temas, tem alguma história ou experiência que considere marcante no início da sua carreira?
Houve várias, mas sem dúvida que um dos momentos mais marcantes foi quando consegui descobrir uma vulnerabilidade crítica no Shopify que afectava também a Google, e que me deu acesso a mais de 10,000 servidores. Estive vários meses a tentar explorar e provar que a vulnerabilidade existia, até que num domingo à noite, consegui materializar o que ambicionava.
A resposta do Shopify foi notável. Mobilizaram as suas equipas de imediato e em menos de uma hora a vulnerabilidade foi corrigida. Pagaram-me $25,000 como recompensa, um valor que estava na altura pré-definido na tabela de bug bounties do Shopify. Se fosse hoje, este valor seria de $200,000, porque é cada vez mais difícil encontrar vulnerabilidades críticas em empresas maduras que investem fortemente em Segurança Ofensiva e nomeadamente em produtos como os da Ethiack.
Como olha para o futuro da cibersegurança, de uma forma mais abrangente?
Com esperança. Tenho esperança que a palavra “hacker” deixe de ter uma conotação negativa, de que a Tecnologia se torne sustentável e de que não se escale tecnologia sem perceber que efeitos poderá ter na sociedade. Espero que a massificação de novas tecnologias que ainda não compreendemos, como a Inteligência Artificial, nos ajude enquanto humanidade e não nos escravize.
Por fim, tenho esperança de que mais jovens sigam este caminho em vez do cibercrime. São eles e elas que irão evitar que a Internet se torne um caos de vulnerabilidades e desinformação permanente, e que poderão proteger a liberdade de expressão digital.
