Meio: Imprensa

País: Portugal

Period.: Bimestral

Âmbito: Outros Assuntos

Pág: 54

Cores: Cor

Área: 19,00 x 24,00 cm²

Corte: 1 de 5ID: 76502766 01-09-2018

Meio: Imprensa

País: Portugal

Period.: Bimestral

Âmbito: Outros Assuntos

Pág: 55

Cores: Cor

Área: 19,00 x 21,40 cm²

Corte: 2 de 5ID: 76502766 01-09-2018

Percorremos, quase sozinhos, os corredores do Departamento de Ciências dos

Computadores da Faculdade de Ciências da Universidade do Porto. Era uma tarde

quente de verão e as férias letivas faziam com que o eco dos nossos passos tomasse

uma proporção grandiosa. Seguíamos André Baptista, investigador, e "coroado"

recentemente o hacker mais valioso. O título foi conquistado em Washington, nos

Estados Unidos da América, numa competição organizada pela HackerOne. Aos 24

anos, André revela um conhecimento surpreendente e, atrás do computador, compõe

melodias intrincadas para descobrir as falhas mais críticas que moram no coração de

grandes empresas.

Se te perguntarem o que é quefazerfinfis4ionabnent &arque& //ache r inverugadot?

Não me apresento assim. Nem é por medo do que as pessoas dizem. É o termo. Porque eu também sou investigador. Neste momento, trabalho com investigador na Universidade do Porto, neste caso, no LNESC-TEC (Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência) e vou também dar aulas, em setembro, no Mestrado em Segurança Informática, que concluí no ano passado.

Dirias que o pearamento ertratégia, e a enatividade .frio também muito importantemo ~bailio que desenvolves tomo hadret?

Sem dúvida. A definição que está no dicionário é que o hackeré um "criminoso". Adefinição que pretendem implementar agora nos dicionários, estando a haver umagrande pressão' para isso, é que um hackeré uma pessoa que tema descobrir um caminho alternativo para fazer alguma coisa. Portanto, arranja uma forma criativa de ultrapassar uma cena limitação. A mim ajudou-me muito ter andado no Conservatório. Estudei guitarra clássica durante seis anos (não acabei porque fui para Informática e quis dedicar-me), mas acho que a capacidade de criar música acaba por nos deixar muito mais criativos para esta área. Tentamos ir por um caminho, chegamos a um beco sem saída e temos que voltar para trás. Eu diria que quando compunha música até era mais fácil do que descobrir falhas de tuna grande empresa. Há pessoas que gostam de tentar descobrir falhas que têm pouco impacto. Eu gosto de procurar as falhas mais críticas. Por isso, descubro menos falhas, mas as que descubro têm realmente muito impacto numa empresa.

11),ou are asiced what youdolbr ajob, aio you say

.you arca hada/• ora tereturher?

notprafentmyrelflike diaz t isn'temnfearofwhat peoplesay: lt:rthe tem Becauir alva/met/altar Right now, 1 work ara mrearther in the Univers/0,ot Porto, mote,fpecifica4ya INL'SC-TEC (hutituto de Engenhana deSátemareComputadotm, Tecnologia e Ciência -lardmte ofCompute/W and Sywenar Engineer&g, nyhnobgyand Seienee) and. willbealsn teath&g, bzSéptember,ondteMasterd'in hformatins Senwity. whith 1 tonduchil year.

Wouldyou Jay that stmtegic thinkkgantIcteativity are alto trty nutá impurant in the work you devebp ara hacker?

Withoutquestion The theannaly:rdOnition is dia o haekerisa "criminar Theckfinition that they now intend to Unplementin the dietionariar. and then. irgreat premie to dasn, thata hadrer ira pet:con that Irias tofind an altetnatic e path to do.somedung So,"chia person that comerap with a atulhe uay to oletrome a arta& llinitanna P heOerl me a lot to hatwattended lhe Coa rervatory. studied elardegukarfirsir yetuu• (1 dicbt'tfinish beetume began Inpvidiarin Info/moia and ~tear to decbázte mysefto but 1 dunk that the capatity to creme mude kaves //suai, /noir arative irr driscura. We nytofollow a certa& path. we trach a dearlendandur &neto ma: bach. I anultIsay atai when l wmtemasicd was even carie/. than to c&mver flenarnfa &go:vir/7mo'. Mei. e ate people that bke to . find otallawrwiá a /nino,- import. I like to kokfir mote critial?flator.So, dircoierfitterflatag bus draw! Jim/ have a trally huge impact in a company:

We travelled, almost by ourselves, the

comidors of the Department of Computers'

Science in Facully of Sciences of lhe

University of Porto. II was a warm sunny

afternoon and the summer holidqs caused

ourfiotsteps' echo to take great proportions.

We fbilowed André Balista, researcher and

recently "crowned" the mos( valuablehacker

The lide was conquered in iVashingion, ira ihe

United States of America, in a competition

organized by HackerOne. At 24 years-old.

André remais ara amazing knowledge and.

hehind a computei; Imites intricate melodias

to find out the mosi criticai flaws that live in

the heart qfbig companieS.

Meio: Imprensa

País: Portugal

Period.: Bimestral

Âmbito: Outros Assuntos

Pág: 56

Cores: Cor

Área: 19,00 x 24,00 cm²

Corte: 3 de 5ID: 76502766 01-09-2018

O que éque re motiva naquilo que, fizer?

Primeiro que tudo. é imito desafiante conseguir encontrar falhas, 1 loje em dia, a maior pane das empresas estão a abrir as portas, digamos assim, a h ivesiigadores de segurança para descobrirem 'afilas nos seus sistemas e o que acontece é que isso é uma excelciiit. lima de melhorar a sua própria segurança. Há ‘.áriás empresas a nível mundial a utilizar esse sistema que é o chamado de bug bounty. O que acontece é: as pessoas ao descobrirem falhas dc segurança mais críticas ou menu uri' icas podem

receber recompensas em dinheiro, ou outro tipo, partindo do pressuposto que não estamos a causar danos, mas apenas a descobrir falhas que têm impado nos utilizadores ou na fuga de informação. dc dadós das empresas, e isso alai por ser bom. Para as pessoas que forem menos boas ião é — mas isto há em todas ati profissões, há pessoas boas e pessoas más. As recompensas também são muito aliciantes. Em termos de falhas, se pensarmos em empresas como o Facebook. a Coogle, produtos como o Instagram ou Snapchat, estamos a falar dc valores que podem ir dos 250 aos 100 mil dólares.

What ir your moticattOn ire lhe work you dez

t»:*/(ifd/ ü i$ rerl Yhtdie//15./fg/Olif/dIkil;£

,Noturtht moutphewinpailicywropezzingt/zeii-

dx.ff:j. (111/1111/leri /1:Íptighing to.seeurityreseaerr tu find in their.9:stemrand 'that happenrir that that :,via et <ellen/ trai- to impor e theirown .sryuni: 1 hen, we.setetul (onymmer. umld asinf,rthut.n.:sum whith talled bugbounti: This ir Ilha/ happetts: oterinmunritilkm:s: mole coMal or ople can gela moneyteiwn/ woiherkind ql./et/uni. antas:fassuming that u mi &Imaging anythingl /14 tb:sroreri agi/riu:, that /tare an impar, on the tmerror Mfilitmaion liukr. o/' minpan s ykmt, and that endrup beinp,gxKl. 1Ornot .so,go<frd pc'ople isn't — but that happens eters -.single polés:slot', /heir mrgos,xlandbM1people. lhe tetra/dr are a4o retvappealinp. Ou :that toturruilkmtr.if urthink alx.mt tomputies..swharliurlx,ok,Cooide. pnxhats.stah .1/mugiram or.Shapthat, me are lalking abola rabterthat (an goliom250 to 100 thousand

Em termos de falhas, se pensarmos em empresas como o Facebook, a Google, produtos como o Instagram ou Snapchat, estamos a falar de valores que podem ir dos 250 aos 100 mil dólares.

On what concerns flaws, if we think about companies such as Facebook, Google, products such as Instagram or Snapchat, we are talking about values that can go from 250 to 100 thousand dollars.

lártam por iniciatán. uu.srdtem tine aquela empresa em contreto °permite?

Sabemos. Existe um diretório das einpresas. ExiStem até outras duas entidades que são a ponte entre os investigadores e essas empresas. Também há empresas que têm programas próprios de bug bounty. Por exemplo, com o Facebook reportamos diretamente. 1-1 á também empresas que vã() convidando pessoas pari um programa dc bug bounty privado para terem maior controlo.

Já deimbriste amara/ha que tenha tido um anparto muito grande na empreso em quevào. &Iam, mar também naquilo que no rqléta, no dia adia enquanto utilizadores?

Sim, já... até foi no Instagram. Não foi cm nenhuma. competição, por acaso. Um link muito convincente conseguia fazer com que o utilizador fosse teta outro sítio. sem que a pessoa percebesse, para depois dizer que tinha que fazer login e entrar. Era mesmo uma vulnerabilidade do Instagram que permitia esse redireceionamento desprotegido para um sito de terceiros. Isso afetava os utilizadores do Instagram. Masa falha mais critica que eu já descobri foi conseguir entrar na infrae.strutura toda de uma empresa. O report está público, a vulnerabilidade em si e as técnicas mais específicas. Consegui entrar na infracstrutura da dotal e ter acesso aos servidores todos, incluindo pagamentos em pnxhição. etc. Ou seja, um atacante conseguia peguliaquilo e direcionar os pagamentos para etc próprio. Ao controlar os servidores todos, conseguia nmdar os sitos todos e as lojas todas. Foi muito crítico.

Do yvu test it Zn' yourown intik/til:cor do you now when a panicularcomixutrallows it?

II eÁmnr. -lhe/eira wmpaardhetton: 71tem air eren ro otheremitierwhi‘ h are the brit4,r‘.• between amanhei:rant/ fon/pante,. There cur also (ompanier tha hare /heir own /nig hountsprwralms. 1 ak e dte erampleollarebook whi(h wenport 1/are ate ols( < 7 wiixillie, that inrimpeopiefira plitute hum bounnplogirun.sr)theshare mote tonuol.

Ilawyoue.wrItiturdallaw that harhad a geai t'Nott« on thecompany, qfiounse, bui alço on what affeas on a daily basis; ararei:r?

Yes', 1 dtd... h mutally uar on lustagam. 11 1117-til 611 auvoinqxlition infart. A ters'owrinting nus °Ne to mak,- the In< renth anothetp/aa,. trithow the pervill /rall ingil and /hen it uouhisus • that lowit /lar regIll. telt Ituta2ram rulnerabibis that ulhtu& the tu potected onjw- /11/n1"x/ris . trebsite. Mal ai/ericei Instag,tam userr. Bto the movi tiú/ta/fim/ erertms:sed paths t(ith rires

iabeahletogcrina(onlpa/tr., entáv.sumuuee lhe tepor tt rtr/nadepihli(; the rulnerabibit seil and the mwe.speqlie te(hniquer. /trai (Aletoi2r/ ire //p•ch,ffir,

infra sun( tule and tures:, eteri sett (1: /./U ///ding Paline/lif bl podtution dc. This meu/is/hal an attadiertould use that to beadtheixontents Io [hene h's tonnollingallthe.sen t s. 1 (ouldthangeall the •stieraml doter. It travar/1A im

Meio: Imprensa

País: Portugal

Period.: Bimestral

Âmbito: Outros Assuntos

Pág: 57

Cores: Cor

Área: 19,00 x 24,00 cm²

Corte: 4 de 5ID: 76502766 01-09-2018

Do ponto& vista ddreautruzça eptitweidade temor de estar wurelenterdaqudo quefiumnorenquanto utilizadores; enquanto ezdadiiaz..

Sim, sim. O problema não é tanto o nível da segurança - se vamos ser hackeados Ou não -, mais ao nível da privacidade. Estamos a licar com um bocadinho de medo daqueles anúncios que nos aparecem, que parece que são bruxaria, mas não são. É I nteligèneia Artificial. Há mecanismos que vão vendo O nosso comportamento, os I ikes que colmamos no Instagram, no Facebook, etc. Já estive a ver a aplicação do Instagram e do Facebook, sem ter acesso ao código. e eles não estão a fazer escuta nenhuma. A mim também já me aconteceu. As vezes basta alguém que está próximo. porque, por exemplo, o Coog,le ou Facebook têm acesso-à nossa localização, ter provavelmente pesquisado. É assim

- que acontece e as pessoas acham que se calhar é Coincidência.

4~a:e/editar/para a aberseguranffl?

Acho que as novas gerações estão mais consciencializadas liara esses problemas porque utilizam a internet desde muito cedo c, consequentemente, tini noção. Acabam por começar Mak.codo a preocupar-se com aquilo que partilham. Há muita gente a filiar sobre o ensino da programação como segunda linguagem, que eu acho um bocadinho estranho, mas sc calhar poderá vir a ser uma realidade.

I drearque te interessam mais?

Custo mais de descobrir falhas em empresas que tenham a ver com tecnologia, porque temos que ter cm atenção sempre o impacto) que a filia poderá ter no negócio da empresa. E eu conheço muito melhor a área das tecnologias do que, por exemplo, finanças. Consigo avaliar muito melhor o impacto e explicur à empresa. no meu relatório, que risco existe realmente. Isso ajuda a que eles consigam atribuir um valor muito mais justo ao trabalho que foi feito. Mas cu também exploro Outro tipo de empresas na mesma. Aquilo que me motiva. cm grande pane. é a descoberta das filhas cm si.

fivm the.recudo, and prirmypoint <idem. za chave to 1, e «vir (filha/ do aumns; ayadzens...

Yes; yes: The pmblem not,wmudrabont.reanity- ff wenull beharkedornot limam almuiprávvy ate /x,toming a Inde-garechidmiradrdiatappeat; thatuvm Gut therate not. h:vila/AM! IntelltUence. 71/ete ar e mechanknrthat •smdr out. behariam: the likernywkenn Inunpum, Incei; nok, etc //are rilleadr.wealmth 'mitigam andfinebook. nithom In .‹.,,oinu the (ode, and /hei, notliwening,

hapjxwed to mear well .Ninetime$: onljitdi•es 4omeone that i lacra-yr>«, /xynnielbreautqJle. Cooglé orfinebrmk tr arfflsrm kxation.andleatrhed a/mult./ lhat irhom ithapixn, um/ people dunk it:va coinadena:

ritpámlbk to rdneatefreybenketuity?

//Intik mw. generationran ›nun h man? awatrvf ávre pio/dei/h- because lhe), toe die imeaw.simea rety ‘..wIr.uage in /heir/iraram! in conseguem?, the"' °Ir ..renuble to that ikvend up »Ir vingeadierabout what the1-.,bate. There are a let ofpeo,ole uillangabout teachin2,. v,ding,usa4eamd kinguage, uhid .1 think: is. a bine Int tyid /nu bc-inun, realio:

Are there arem that intetvu you more?

I IIX-e tafind/km mumanie% re/unr/toterhnol i.9 &amo r re (Minus. be an,nfthe Inqxui Mn/ jian: can //are In ~paul hu,ine,3: And Ilmon nnybemy• the (Hm aftechnolo6y thttAlóterample. Jimuney. fica, ely d nate numh //e/ter/kr Unix/a and e?plain isto Me (r,fil/X/1/1'. Mmyrepon: nina the tisk Ir* if: /reli» Mem to gitra morejiM «dueto Mi, mon(' that mas done. But1alsnerplotr•olhe/'//ndo/

campam-e); anl'uso'i; What motirateme ist )/ d/ to duvrer

Há muita gente a falar sobre o ensino da programação como segunda linguagem, que eu acho um bocadinho estranho, mas se calhar poderá vir a ser uma realidade.

There are a lot of people talking about teaching coding as a second language, which I think is a little bit weird, but it can become a reality.

Meio: Imprensa

País: Portugal

Period.: Bimestral

Âmbito: Outros Assuntos

Pág: 58

Cores: Cor

Área: 19,00 x 21,42 cm²

Corte: 5 de 5ID: 76502766 01-09-2018

Se iecebegim uma poposta incrível panl urzbailiar na 4gfurança & uma prulde emprera, ias?

Para já não. Estou a tentar desenvolveras coisas aqui na Faculdade; no Mestrado. Quero que cá formemos pessoas bem. Estamos também a relOrmultu. o Mestrado todo e as cadeiras - eu em conjunto com outro professor que é agora Diretor do Mestrado - para termos cadeiras que estão já disponíveis em Mestrados dc Segurança lideres do inundo: Londres. Santa Bárbara, etc. Tenho esse projeto, tenho o projeto &equipa já há dóis anos e estamos a evoluir há dois anos estáVamos na posição 200 e tal, o ano passado já ficámos no top 100 e este ano a ver se conseguimos ficar nas 50 primeiras posições a nível internacional. Já tive muitas propostas, mas ainda não aceitei nenhuma. Para já fico cá. Tenho ido quase todos os meses a competições lá fora. Consigo ter um rendimento igual ao que tenho lá fora. Consigo ajudar a fazer com que as coisas Cá se desenvolvam. Também colaboramos com o Governo, com o GNS - Gabinete Nacional de Segurança ou Centro Nacional de Cibersegurança. Também já colaborámos com a Polícia Judiciária.

/f p:, got ou amaziwbb offer to 'work rir á e"-eurity deparuneruofa bigaimpatry,u)oultlyou go?

Not noir. am detelop du.up• /tece lhe fiudry. ia Alrh•fen. clegre. beauf opletu

gel a rerygoodeduaulon hem 1r4fale alwrhungilw. lhe efluir Martei:rde .geeruid lhe - culothcr 1-,nl/1.myr that irnow the fitarte/3791/raorand me- do IhuntehalvdruSn' u•hál/ abradt• (nyukible ,Ilemtery &g/mï abo u /ha/ weleadel:riu ihe •orkt loudon..9 Bulhara. eu: I have/ha, pngect, 1

hair the urim :iptrierifiy• iew:$• /uni' rum/ Ire (In-erolving-nro yrt-irrago u e ueie lhe 200mh lu.st irar the Np and //ri, iro/. ire uyutt u ,be<unongit vichride. have

n • lotry'r yfiy:s. bui I luTümt at pled (111.1; yd. for nem. / emr.,uning,. I h~ bem in ruinxid udnn,terrr't•m,uth.lr ia hare the 4yllne »ume I /tigre uh/ ( mui II e tilwqxutnerwith oremment, lhe

Se<witrgfikvorlitel.)41-4remin 1fuárnal Ciwu-e Ire•hare ciso col ílio/roer/ with 1.'1 (1 Porulimese e).