Na véspera da conversa com o Expresso o ponto de encontro é alterado. Já não é na morada que consta no site institucional, mas noutro local. À entrada, o prédio não faz qualquer referência à empresa. Mas, mal a porta se abre, percebe-se que este é o lugar certo: do outro lado dezenas de hackers iniciam mais um dia de trabalho. “Como lidamos diariamente com dados confidenciais de outras organizações, não divulgamos a nossa morada no site”, justifica uma das trabalhadoras da Integrity, empresa portuguesa de consultoria e auditoria tecnológica especializada em segurança de informação.
Entre as 50 pessoas que lá trabalham existem 30 hackers éticos, focados em invadir e descobrir vulnerabilidades nas infraestruturas de terceiros através de testes de intrusão (pentests). Ao contrário dos ‘piratas’ informáticos, fazem-no de forma legal, autorizados pelas empresas que invadem para corrigir as falhas que encontram e cumprindo escrupulosamente a lei portuguesa do cibercrime.
É o caso de Vítor Oliveira e Filipe Reis que em 2016, juntamente com outro colega, ganharam €16 mil por encontrarem uma cadeia de vulnerabilidades na segurança da aplicação da Uber. A liberdade e o desafio é o que mais valorizam nesta profissão. “De certa forma, foi isso que aconteceu com a Uber”, conta Vítor, referindo-se à participação no bug bounty [programa público que paga a hackers que descobrirem bugs nas plataformas de uma empresa] lançado pela multinacional. Aceitaram o desafio e descobriram 15 falhas de segurança, entre elas cupões de desconto, acesso ao user ID e viagens dos utilizadores. “Foi um esforço nosso, mas a Integrity apoiou-nos: forneceu hardware e deu-nos tempo dentro do horário de trabalho para participar”, recorda Filipe. “Mas também fizemos muitas noitadas por nossa conta.” O esforço acabaria por ser recompensado: em dinheiro e reputação.
Cada vez mais dependentes das ferramentas tecnológicas, as empresas e o Estado vão-se deparando com necessidades maiores no domínio da cibersegurança. Banca e seguros, utilities, telecomunicações, retalho e indústria são alguns dos sectores que recorrem a este tipo de serviços. Mas, embora a procura por hackers éticos no mercado seja cada vez maior, encontrar profissionais com as competências de Vítor e Filipe não é tarefa fácil. “Pessoas capazes de começar a trabalhar amanhã como hackers não há muitas”, explica o cofundador da Integrity, Rui Shantilal. “Mas existem várias com apetência para esta área, que podemos formar.” É isto que a maioria das empresas de cibersegurança faz em Portugal: recruta pessoas com menos experiência e paga-lhes formações e certificações, acrescenta o especialista em segurança informática e membro do comité de cibersegurança da AFCEA Portugal, Nuno Teodoro.
Recrutar para o bem
Os profissionais contratados para esta área “vêm normalmente de redes ou administração de sistemas e, com a experiência da empresa e se reunirem as soft skills necessárias, começam a receber formação”, sublinha Jorge Alcobia, diretor-geral da Multicert, que inaugurou em fevereiro um centro de cibersegurança nas instalações. A empresa portuguesa tem também uma parceria com a britânica NCC Group, à qual recorre para colmatar a carência de recursos
humanos em hacking ético, que inclui não só os pentests (virtuais ou presenciais, para detetar falhas de segurança nas instalações dos clientes), mas também um acompanhamento mais contínuo que permite identificar padrões e anomalias.
Competências técnicas sólidas, uma forma de pensar ‘fora da caixa’ e um forte sentido de responsabilidade — aliadas às capacidades de comunicação e de escrita (essenciais para lidar e passar informação a clientes), ao domínio do inglês e a conhecimentos transversais — são algumas competências destacadas por Luís Grangeia. O especialista em segurança informática da S21sec, que ficou conhecido por descobrir vulnerabilidades num relógio de corrida TomTom, que tinha em casa, não gosta de recrutar antigos hackers que infringiram a lei: além das capacidades técnicas, a confiança nestes profissionais é essencial.
“Se fosse há dez anos valorizava mais ex-hackers, porque mostravam um certo pioneirismo. Mas hoje, para darmos liberdade à nossa veia de atacantes, não precisamos de quebrar a lei”, recorda. Existem programas de bug bounty ou competições (a Multicert, por exemplo, organiza anualmente a competição de hacking defensivo para universitários S3cthon), onde é possível ser hacker de forma legal. A integração nestes grupos é outro aspeto que os recrutadores valorizam na hora de contratar, bem como a participação na internet, redes sociais e comunidades de hackers, como os encontros da Confraria de Segurança de Informação, que reúnem regularmente profissionais e interessados.
Mas nem todos os recrutadores pensam da mesma forma. Lino Santos, especialista em segurança informática da FCCN — Fundação para a Computação Científica Nacional, integrada na Fundação para a Ciência e Tecnologia (FCT), diz que o organismo “sempre contratou” antigos hackers. E aconselha. “Os melhores técnicos com os quais trabalhei estiveram antes do outro lado”, garante o antigo diretor da FCCN e ex-coordenador de operações do Centro Nacional de Cibersegurança (CNCS). Embora descreva o perfil destes hackers como “anarca” e descrente no Estado, assevera que estes — se tiverem desafios estimulantes — gostam de contribuir para a segurança nacional. O objetivo é aproveitar o conhecimento e as competências técnicas destes hackers “no bom sentido”, adianta o coordenador do CNCS, Pedro Veiga, que tem no centro um antigo hacker que antes pirateava sites “por divertimento”. São eles, mais do que ninguém, que conhecem a mentalidade de um atacante.
Mas não será arriscado? “Normalmente corre bem, mas também já nos demos mal e falhámos”, reconhece Lino Santos. Para minimizar os riscos existem mecanismos de supervisão do trabalho dos hackers éticos e estes, empresas de cibersegurança e clientes assinam acordos rigorosos de confidencialidade, com informação sobre o tempo de vida dos dados, encriptação e coimas em caso de infração. Tudo o que não está previsto nos contratos, e por isso não é autorizado pelo cliente, pode ser considerado um crime informático punível por lei.