Werther Santanda/Estadão
Gregório Gomes é um 'Hackers do bem' e trabalha, desde os 16 anos, auxiliando empresas a descobrir problemas de segurança em seus sites. Werther Santanda/Estadão

Perfil de sucesso do 'hacker do bem' é de autodidata que começou cedo

Dois especialistas compartilham origem parecida: começaram ainda na adolescência e sem nenhum curso

Renée Pereira, O Estado de S.Paulo

21 de novembro de 2021 | 05h00

A primeira experiência de Gregório Gomes como hacker foi na adolescência, aos 12 anos. Para conseguir ficar mais tempo na frente do computador, ele tinha de burlar as regras dos pais, descobrir as senhas e mudar algumas configurações. Foi nessa época que ele percebeu a facilidade que tinha na área, pois aprendeu quase tudo sozinho. “Sempre fiquei no computador e consumia muita informação externa”, diz Gomes. 

Aos 16 anos, ele já estava em algumas das mais importantes plataformas de bug bounty do mundo tentando invadir, legalmente, os sistemas de grandes empresas. Só em uma plataforma estrangeira, atendeu a mais de 500 chamados de companhias e detectou alguns problemas importantes nos sistemas, com recompensas de até US$ 5 mil. 

Falha grave

Numa delas, descobriu uma falha considerada crítica, em que o sistema da empresa acabava clonando os cartões de crédito das pessoas, numa espécie de chupa-cabra. Em geral, diz ele, as brechas são “legados de sistemas”. “Todo site tem uma construção padrão de um desenvolvedor. Se você não adequar e mudar as configurações, fica fácil explorar o sistema.”

Com a experiência adquirida como “hacker do bem”, ele prestou serviço para empresas como Easy Taxi e Uber até criar sua própria startup. No início de 2017, ele abriu a Refinaria de Dados, empresa especializada na coleta e análise de informações digitais. Com acesso e conhecimento, ele conseguia circular pela chamada dark web e obter informações desse submundo para o ambiente de negócios. Em abril de 2021, a empresa foi vendida para o Modal, e Gomes se tornou gerente de engenharia de dados da instituição.

Hobby

Mas o caçador de recompensas não abandonou as origens. Aos 27 anos, continua inscrito em plataformas e ainda tenta invadir sistemas de outras empresas. “Hoje faço por hobby. No passado era a forma de ganhar dinheiro. Ou se faz para o bem ou para o mal.”

O adolescente Andres Alonso Bie Peres, de 16 anos, é uma fera no bug bounty. Aos 14, ganhou US$ 25 mil do Facebook por descobrir uma falha no Instagram

A exemplo de Gomes, Andres também aprendeu tudo praticamente sozinho. Aos 10 anos fez um curso de design gráfico. A curiosidade o levou a ir mais fundo na internet. Descobriu que poderia ganhar dinheiro invadindo o sistema de empresas e resolveu estudar o assunto. 

Com o dinheiro que ganhou do Facebook, comprou mais equipamentos e usou uma parte para criar uma empresa em que ensina a atividade. Lançada em agosto, a empresa já tem 500 alunos, que pagam R$ 397 pela assinatura anual. A meta atual é ter 2 mil alunos em um ano. Enquanto isso, continua caçado recompensas. 

Como ser um caçador de recompensas 

  • Autodidata

Quase todos os “hackers do bem” aprenderam comandos, códigos e até navegar na dark web sozinhos, fuçando em sistemas e computadores

  • Curiosidade

A principal característica desses especialistas é a curiosidade e persistência. Afinal, alguns testes para encontrar falhas em sistemas de empresas podem demorar dias

  • Conhecimento

É preciso ter conhecimento em redes, desenvolvimento de web, sistemas operacionais, segurança e linguagem de programação

  • Plataformas

Abra uma conta nas plataformas de ‘bug bounty’. No exterior, há a HackerOne (uma das maiores do mundo), BugCrowd e Open Bug Bounty. No Brasil, há a Bug Hunt

  • Base

Tenha uma base tecnológica, com terminal, web e redes 

  • Como se preparar 

É possível fazer cursos e estudar cases práticos, tutoriais, artigos e posts de fóruns na internet. Isso ajuda a ter uma visão geral dos temas

  • Relatórios

Quando um especialista consegue encontrar uma falha ou vulnerabilidade nos sistemas das empresas, ele precisa reportar o erro aos executivos da companhia. Isso é feito por meio de relatórios com todos os dados demonstrando o problema

  • Recompensas

Depois que o relatório é entregue, as empresas fazem uma avaliação criteriosa para validar ou não a descoberta feita pelo hacker. Se for procedente, eles pagam o profissional 

  • Valores

Cada empresa tem uma tabela de valores de recompensa. Os valores variam de acordo com a gravidade do problema. Há falhas consideradas simples, médias e críticas. No exterior, os valores podem chegar a US$ 50 mil ou mais

  • Ranking

Quanto mais descobertas tiver, melhor para o hacker se posicionar no ranking das plataformas de ‘bug bounty’. Isso é importante para ser selecionado para programas privados, em que as empresas escolher quem vai testar o sistema

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

‘Hackers do bem’ são recompensados ao testar os sistemas de grandes empresas

Gigantes brasileiros aderem à tendência de expor fortalezas digitais a desafios para torná-las ainda mais seguras

Renée Pereira, O Estado de S.Paulo

21 de novembro de 2021 | 05h00

Para se proteger de ataques cibernéticos, grandes empresas como Nubank, C6, TIM e OLX estão aderindo a uma tendência mundial e procurando “caçadores de recompensa” para invadir seus sistemas. O objetivo é encontrar falhas ou vulnerabilidades que possam ser a porta de entrada para criminosos roubarem ou “sequestrarem” dados, o que implica prejuízos milionários para as companhias. 

Chamados de “bug bounty”, os programas de premiação envolvem plataformas com milhares de especialistas, conhecidos como “hackers do bem” ou “hackers éticos”. Esses profissionais têm a missão de vasculhar os sistemas das empresas e encontrar pontos fracos de forma legal. Se conseguirem furar a segurança da companhia, recebem recompensas de até R$ 15 mil no Brasil – no exterior, os valores são bem maiores, podendo superar US$ 100 mil, dependendo da descoberta.

Por aqui, esses programas ainda enfrentam uma certa desconfiança dos empresários, que temem ficar mais vulneráveis. Mas, com o crescimento da digitalização durante a pandemia e a consequente multiplicação de ataques cibernéticos, muitas empresas tiveram de buscar novas alternativas. O Nubank, por exemplo, acaba de lançar seu programa com recompensas que começam a partir de US$ 150.

“Segurança é um dos pilares da nossa operação desde o primeiro dia da empresa”, diz o gerente de Engenharia de Segurança de Informação do banco, Rodrigo Santos. Ele conta que, no ano passado, a instituição já havia iniciado um teste sem remuneração com Hacker One – uma das maiores plataformas de bug bounty do mundo. Nesse teste, foram reportadas 15 falhas consideradas válidas.

No programa atual, a empresa optou pela modalidade privada, em que há a escolha de uma quantidade de profissionais para buscar as vulnerabilidades do sistema. Na modalidade pública, qualquer especialista da comunidade de hackers pode fazer os testes. “Como essa cultura ainda não está totalmente difundida no Brasil, as empresas ficam com receio e entram mais leve nos programas”, diz o fundador da BugHunt, Bruno Telles, diretor operacional da plataforma brasileira.

Criada em março de 2020, a empresa tem cerca de 7 mil hackers inscritos e 25 programas ativos. Telles diz que os programas de recompensa estão apenas começando no Brasil, mas devem ganhar tração nos próximos anos com o avanço da digitalização. Além de empresas privadas, os governos também devem começar a aderir essa solução como forma de se protegerem contra cibercriminosos.

Aumento de ataques

De acordo com relatório da Fortinet, empresa de segurança digital, só no primeiro semestre deste ano, o Brasil sofreu cerca de 16,2 bilhões de tentativas de ataques virtuais. O País é o quinto com maior número de ransomware – ataque virtual em que o criminoso só libera o acesso ao sistema por meio de pagamento de um resgate –, conforme dados da consultoria Roland Berger. E os problemas não se restringem a apenas um setor. Tem sido generalizado.

“A melhor forma de se proteger é testar suas falhas. Normalmente tenho um time interno para fazer esse tipo de trabalho, mas agora também posso contar com hackers do mundo inteiro”, diz José Santana, responsável pela área de segurança da informação do C6 Bank. O programa de bug bounty do banco tem 842 pesquisadores (hackers) autorizados a ficar de olho em qualquer furo que o sistema do banco possa ter.

Desde que adotou a solução, em 2019, a instituição já pagou cerca de US$ 25 mil (R$ 136 mil) de recompensas, sendo uma média de US$ 696 (R$ 3,8 mil) por premiação. Santana explica que, se a recompensa for muito baixa, poucos hackers vão se interessar pela oportunidade, uma vez que os testes podem demorar.

“A remuneração maior, de fato, atrai mais gente, mas tem aqueles que querem ganhar pontos para subir no ranking dos que mais encontram falhas. Esses aceitam valores menores”, diz Telles. Os pagamentos seguem uma tabela de gravidade dos problema. Quanto mais crítico, mais alta é a recompensa. 

Tecnologia 

Nos Estados Unidos, esse é um mercado de milhões de dólares. Gigantes, como Google e Apple, têm programas que oferecem US$ 1 milhão para quem conseguir fazer um ataque nos seus sistemas de segurança. Em 2017, só o Google pagou US$ 3 milhões em programas de segurança.

“Acredito que os programas de bug bounty trazem, de fato, um perfil independente (para a análise dos sistemas). Só vejo vantagens”, diz o diretor de tecnologia da OLX Brasil, Raúl Rentería. Na avaliação dele, com essa solução, a empresa consegue ter acesso a profissionais que estão fora do dia a dia da companhia e que conseguem ver outras vertentes do problema.

Só neste ano, os hackers reportaram 32 bugs no sistema da OLX. Desses, 17 foram aprovados ou estão em revisão. As recompensas da empresa podem chegar a R$ 10 mil, dependendo do nível da falha. Ele conta que a empresa tem funcionários internos que também testam os programas de segurança do grupo. “Mas esse olhar de fora, que caça falha em tudo quanto é canto, é importante.”

Esse olhar externo fez Manoel Abreu Netto, de 37 anos, reportar mais de 300 relatórios com falhas e vulnerabilidade no sistema de várias empresas. Ele não gosta de falar os valores, mas diz ser vantajoso. Ele atua como “hacker do bem” há três anos. Formado em Ciência da Computação, Netto divide seu tempo entre um emprego na administração pública e as plataformas de bug bounty. Já ganhou três desafios internacionais de vulnerabilidade em sistemas que lhe renderam três viagens para Argentina e Estados Unidos.

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.