“A cibersegurança não pode depender do obscurantismo”

Cibersegurança e InfoSec Conteúdo Premium Entrevistas Notícias

A Cybers3c nasceu há cerca de dois anos. A empresa dedica-se a formar pessoas na área do hacking. Sérgio Silva, fundador da empresa, acredita que a partilha do conhecimento é o factor chave para aumentar as competências e a sensibilização das pessoas na área da cibersegurança. A Security Magazine marcou presença na última formação de Ethical Hacking, em Lisboa, e falou com Sérgio Silva.

Security Magazine – Que formações são estas que a Cybers3c tem vindo a desenvolver na área do Ethical Hacking?

Sérgio Silva – São essencialmente um ciclo de formações práticas, no domínio da cibersegurança, nomeadamente do hacking. Além do enquadramento técnico, procuramos que estas formações sejam o mais práticas possível, ou seja, mostramos as coisas a acontecer e ensinamos os nossos alunos as técnicas que permitem explorar determinadas vulnerabilidades. Desta forma, acreditamos que os alunos ficam mais consciencializados e podem influenciar todo o ecossistema à sua volta, nomeadamente as suas empresas e famílias.

Que tipo de pessoas freqüenta estas acções?

Na acção de hoje temos uma plateia muito distinta e heterogênea. Temos um rapaz de 14 anos que já programa, universitários, mecânicos, programadores, profissionais de direito, entre outros.

Essa heterogeneidade também demonstra que o hacking é mais simples do que se possa imaginar?

Exacto. Um dos grandes problemas na cibersegurança é a complexidade da linguagem, ou seja, quanto mais complexa é a linguagem mais difícil se torna interiorizar a cibersegurança. O que procuramos fazer é, de facto, aproximar a linguagem e as técnicas e mostrar que não são coisas difíceis.

Neste tipo de acções de um dia, abrangemos várias áreas do hacking e demonstramos como as coisas se fazem para que as pessoas possam perceber o seu funcionamento. Por exemplo, comprometemos o telemóvel de um das pessoas presentes, que se voluntariou, e acedemos às mensagens, câmara, fotografias, entre outras coisas. Também fizemos um site de phishing de uma rede social, em que foi usado um menu com três opções, podendo funcionar como plataforma de ataque.

No fundo, é importante que as pessoas percebam, cada vez mais, como estas coisas são fáceis de fazer e percebam o seu funcionamento.

Não é preciso ser-se um expert em informática para conseguir fazer estas coisas?

Não. O hacking está muito democratizado porque o acesso à informação é muito grande. Hoje, existem ferramentas que automatizam várias tarefas de ataque, em que se escolhem opções e executa-se um ataque. É importante que as pessoas percebam que isto é fácil de realizar, de forma a que possam proteger-se melhor e percebam que não é preciso ser um grande expert para executar este tipo de ataque.

Há quem considere positiva a disseminação deste tipo de conhecimento e quem a considere nociva na medida em que poderá intensificar outro tipo de práticas. O que tem a dizer sobre isso?

É um facto que nunca sabemos as intenções das pessoas. Porém, no início de todas as formações, fazemos um enquadramento legal, fornecemos uma cópia da lei do cibercrime, alertamos para a utilização de ambientes controlados e não reais e acompanhamos os alunos posteriormente. Porém, é sempre um risco, mas é um risco muito maior se não existir conhecimento e se não se fomentar a existência de profissionais nesta área.

A cibersegurança não pode depender do obscurantismo. A cibersegurança depende de um conhecimento efectivo de tudo, nomeadamente de processos e técnicas. Se não tivermos pessoas capacitadas e a dominar técnicas não conseguiremos defender-nos. Acredito que a maior parte das pessoas não tem intenções más. O risco existe mas é reduzido.

Muito se fala em sensibilização na cibersegurança e de pessoas. Este tipo de formações enquadra-se nesse processo de sensibilização?

Sim, após estas acções, as pessoas conseguem tomar medidas para se protegerem e protegerem o seu ecossistema. Por exemplo, passam a colocar o autocolante na câmara do computador ou a desligar o wi-fi do telemóvel sempre que não for necessário.

Além dessas práticas, sensibilizamos as pessoas para a existência do Centro Nacional de Cibersegurança,  Comissão Nacional de Protecção de Dados e Polícia Judiciária, bem como para as suas competências. Ou seja, caso as pessoas passem por alguma questão de cibersegurança sabem a que entidade devem dirigir-se.

Em que medida a Regime Geral de Protecção de Dados (RGPD) se cruza com a cibersegurança?

Defendo que não há RGPD sem cibersegurança. Se não protegermos os dados não podemos implementar o regulamento existente. Há muitos artigos no regulamento que falam disso mesmo, ou seja, que apontam como fazer regularmente testes de intrusão, implementar técnicas de cifra, etc.

Se não houver profissionais de segurança de informação e cibersegurança com esse conhecimento não teremos RGPD. O RGPD assenta nos processos, na componente legal e na componente técnica, ou seja, sem estes três pilares é impossível implementar o RGPD.

Para termos uma ideia, é muito diferente perdermos uma pen com dados sensíveis cifrada ou não cifrada. Essa diferença pode passar, por exemplo, por termos (ou não) de comunicar a perda à CNPD e aos titulares dos dados em caso de perda.

Quando olhamos para Portugal, estamos a avançar num bom caminho? As empresas estão sensibilizadas para o tema da cibersegurança? As nossas empresas estão preparadas para responder a uma situação mais grave?

Acredito que as grandes empresas e administração pública estão seguras e têm planos de defesa. O que me preocupa são as PME que compõem a maioria do tecido empresarial português, as quais não têm nenhum mecanismo que as ajude e apoie no caso de um problema de cibersegurança. Não há nenhuma linha de apoio.

Se uma fábrica for atacada a uma sexta-feira à noite, os responsáveis vão falar com quem? Uma questão é cortar o problema, outra é ajuda para resolvê-lo rapidamente. Muitos dos problemas são comuns a várias empresas, ou seja, são atacadas por ataques comuns. Neste sentido, se existisse uma base de dados de conhecimento e mecanismos de partilha de informação de resolução rápida desses problemas seria uma mais-valia tremenda para a indústria nacional.

Mas não estamos a caminhar nesse sentido?

Acredito que sim. Porém estamos em 2019 e já deveria ser tudo completamente diferente. Estamos a progredir muito lentamente. Isto deve-se também ao facto de não existir uma figura central em Portugal que defina e represente a cibersegurança a nível político, por exemplo. Deveria existir um ministério ou alguma entidade do género. Temos várias entidades mas cujo relacionamento entre elas e articulação são difíceis. Embora estejamos a caminhar nesse sentido é algo que está extremamente demorado e é perigoso para o país.

Uma outra questão está relacionada também com a ajuda às empresas. Deveria existir uma rede de empresas certificadas que possam ser contactadas, responder e actuar perante grandes problemas.

Um ataque a uma empresa pode ter um efeito dominó, na medida em que pode afectar, não só a empresa alvo do ataque, como também os seus clientes e fornecedores.

Sim e já vimos casos desses, ou seja, verifica-se um ataque cruzado a fornecedores e clientes com utilização das mesmas técnicas.

Usando o Google é muito fácil perceber que existem empresas em Portugal que têm os seus sites comprometidos. Além disso, é muito fácil identificar nas empresas informação que não deveria estar aberta para a Internet, como dados de contabilidade ou recursos humanos.

Se a identificação destas situações é tão fácil porque não existe uma estrutura governamental que faça esse scan e avise as empresas? Penso que existe vontade, começam a haver meios mas temos de acelerar. Tem de existir uma estratégia definida e uma referência, caso contrário será muito complicado responder a alguma situação mais complexa.

Quando detectam uma situação numa empresa, conseguem estabelecer a ponte com essa empresa, no sentido de alertá-la para o problema?

Quando detectamos determinado problema é muito difícil entrar em contacto com alguém dentro de uma empresa no sentido de avisá-la e alertá-la. Temos alertas feitos há quase dois anos, os buracos continuam lá e ninguém nos contacta.

Na Cybers3c não fazemos testes de intrusão. Estou a falar de problemas detectados com a utilização de open source intelligence, através da qual qualquer pessoa pode aceder a essa informação.

Só para termos ideia, temos uma estrutura que disponibiliza na Internet os CV de pessoas que se candidataram a ofertas de trabalho, com informação que deveria ser confidencial.

A sensibilização para estes temas deveria começar mais cedo?

Sim, logo ao nível da escola. Deveria existir uma estratégia nacional de educação em cibersegurança.

Concorda com a definição de white e black hacker?

Não. Um hacker domina o conhecimento sobre determinada área e consegue encontrar problemas e formas de corrigi-los. Quando alguém usa esse conhecimento e faz algo contra a lei passa a ser um cibercriminoso.

O termo hacker é muitas vezes usado de forma errada. Existem hackers e criminosos. Em Portugal, felizmente, existe a lei do cibercrime de 2009 que tipifica quase todas as acções num cenário de crime.

Como tem sido o percurso da Cybers3c e que iniciativas estão previstas para o próximo semestre?

A Cybers3c conta quase com dois anos de actividade e tem tido um crescimento muito grande. Começámos com workshops muito pequenos e fomos crescendo. Este ano fizemos alguns protocolos, nomeadamente com a Ordem dos Engenheiros. Iremos dar o primeiro curso deste tipo, no final do mês, na Madeira. Somos responsáveis pela pós-graduação na Universidade Lusófona e, no próximo semestre, teremos a pós-graduação no ISP Gaia.

Além disso, iremos lançar, a partir de Setembro, a Academia de Cibersegurança, a qual contemplará um percurso de formação de quatro a cinco meses. Pretendemos capacitar pessoas de conhecimentos nesta área, mesmo que não os tenham na origem. No final, farão um estágio e serão capazes de desempenhar funções de defesa e segurança nas organizações.

Estamos também em processo de expansão para o Porto.

A Cybers3c não é apenas uma empresa de formação, correcto?

Iniciámos com as formações, porém, começámos a ter solicitações para serviços, o que inicialmente não era o nosso objectivo. Como nos apercebemos que faltava no mercado algo mais artesanal, daí também o nosso nome (Artesãos da Cibersegurança), decidimos aceitar o desafio de algumas organizações e fazer esse tipo de trabalho – testes de defesa e desenvolvimento de aplicações seguras, principalmente nas PME.