![Trás-os-Montes [tom]](https://tras-os-montes.eu/wp-content/uploads/Tras-os-Montes-Black-446x64px-b1.svg){kind=small}
![Trás-os-Montes [tom]](https://tras-os-montes.eu/wp-content/uploads/Tras-os-Montes-White-446x64px-b1.svg){kind=small}
🗣️ Transcrição automática de voz para texto.
a minha geração este país também é para novos e é por isso que recebemos em estúdio um acar ético e atenção que não estamos perante um acar qualquer já foi considerado o mais valioso nasceu em Coimbra em 94 e foi perto do mondego que cresceu e que tirou a licenciatura em engenharia informática aprendeu a programar aos 11 anos de forma autodidata ainda ecou estudar física mas dada a paixão pelo hacking optou pelos computadores e em 2015 rumou à Universidade do porto Onde se especializou em segurança informática atualmente é professor convidado na Universidade do Porto e ensina jovens a serem acres éticos no mestrado em segurança informática é também cofundador e CTO da EAC uma empresa de segurança informática que está a construir um produto revolucionário na área André Batista muito bem-vindo Nós já vamos ao produto revolucionário mas antes conta-me tudo o que é um haer ético bem muito obrigado disting ah existem do Mal depende da perspectiva portanto mais uma vez muito obrigado pelo convite é um grande prazer estar estar num programa como a minha geração hum portanto um um eer é um indivíduo criativo é um indivíduo curioso eh sobre as profundezas da tecnologia uhum eh que nos envolve cada vez mais e nas nossas vidas portanto esta esta fusão do digital com o físico eh é cada vez mais Evidente com com com consequências eh que às vezes podem ser realmente impactantes como temos assistido e temos realmente estes indivíduos que estão a tentar proteger este Progresso tecnológico portanto nós quando ouvimos a palavra Ecker tipicamente é pejorativa mas a palavra Ecker tem uma conotação positiva e é isso que que eu tento desmistificar Depois temos é os crackers é Vai um bocadinho de encontra a à questão Nós preferimos chamar crackers porque realmente são indivíduos que até podem realmente ser criativos mas destroem ou prejudicam a utilização da tecnologia o rio pinto é um acético é um Cracker é um whistleblowing como é que nós conseguimos aqui diferenciar o Rui Pinto portanto é um whistle blower hum agora eu não vou ser qualquer tipo de juízo eh porque não tenho informações suficientes para comentar esse esse cas mas em Portugal é o primeiro caso que nós temos que nos faz refletir de alguma forma sobre estes assuntos certo certíssimo Claro e tens acompanhado com não confesso confesso que que que é um caso que me interessa mas de certa forma está H nas mãos da justiça e e será tomada uma decisão e que espero que seja a correta então wer é o wacking aliás é um crime ou é a liberdade de expressão eu diria que é a liberdade de expressão tecnológica digamos assim Ou seja é uma liberdade de verificarmos se os sistemas estão Seguros do ponto de vista e dos nossos dados estarem seguros para que a nossa privacidade H exista no fundo ou seja para nós termos esse direito à comunicação e e segura por exemplo e direita à nossa privacidade o wacking é um é um mindset no fundo H É nós conseguirmos realmente encontrar um caminho no sistema um caminho para realizar uma ação para o qual ele não foi Originalmente concebido agora claro que há leis para serem cumpridas e E essas leis basicamente protegem as organizações para que esse tipo de ilegalidades não as prejudique no fundo como tem que acontecer nem elas nem às pessoas que que que estão envolvidas nesse tipo de entidades a maior parte dos eckers são do bem se tivéssemos aqui uma balança temos cada vez mais ecars digamos do bem agora isto depende sempre das perspectivas por exemplo neste momento os ecars russos que trabalham com o governo são ecaros do bem ou do mal para nós são ecar do mal mas do lado deles são ecar do bem certo sim Mas isso é de depende da Bandeira que abraçar de certa forma agora eh em termos de estamos a falar de ecar que são e portanto são os chamados state actors portanto que são suportados por estados Ok H também há quem trabalhe nessa perspectiva do lado do ocidente obviamente agora eu independentemente desses lados e é um bocadinho como uma outra qualquer profissão é a mesma coisa que nós sermos polícias e sermos corruptos ou sermos polícias porque realmente queremos garantir o bem-estar da sociedade e das pessoas eh e os ecar de certa forma também também passa por isso ou seja no fundo hã há ecars como eu que somos éticos e não passamos essa linha não passamos a linha de eh nós nem sequer nos passa pela cabeça ou é completamente impensável chantage armos uma pessoa eh portanto por motivos financeiros por exemplo eh enquanto que depois há indivíduos que sim são capazes de o fazer e fazem-no com motivações financeiras e aqui gostava de fazer uma pergunta M filosófica que é o que é ética e que valores éticos é que um akar deve ter em conta há um conjunto de políticas que TM que ser seguidas ou seja não pode haver disrupção de sistemas não pode haver a fuga de informação e sensível por exemplo é a mesma coisa nós tentamos deste lado da segurança ofensiva nós tentamos no fundo encontrar vulnerabilidades Para conseguirmos ent no sistema mas depois há certas regras temos que seguir nós reportamos de forma responsável essas vulnerabilidades eh e depois a organização obviamente vai nos agradecer e por o termos feito ou seja vamos aceder à aquele sistema por temos autorização para o efeito mas não vamos fazer essas informações vazar na internet por exemplo não vamos tocar em partes do sistema que não é suposto Ok não vamos tentar escalar uma determinada vulnerabilidade sem autorização para efeito porque somos profissionais e trabalhamos ao lado dessas dessas entidades tu falas muito do em vulnerabilidade já nos artigos de opinião também o que é que pode ser considerado uma vulnerabilidade somos todos vulneráveis emocionalmente e digitalmente o que é que pode ser considerado uma vulnerabilidade uma vulnerabilidade no no fundo uma vulnerabilidade é uma fraqueza Ok é uma fraqueza é uma é uma janela que ficou aberta ficou esquecida num Edifício digital invisível esquecido ela é desconhecida tipicamente por isso é que nós trabalhamos para as descobrir h vulnerabil a nível das pessoas há vulnerabilidades a nível portanto vulnerabilidades dependem do fator humano e não há uma cura fácil para muitas vezes para a estupidez humana não é fácil porque há muitos vetores a nível de de de campanhas por exemplo de Fishing etc que se aproveitam de vulnerabilidades em pessoas mas temos vindo a assistir cada vez mais a vulnerabilidades a serem exploradas em Sistemas ou seja à medida que nós temos cada vez mais sistemas nesta digital e e cada vez mais operações a serem digitalizadas h mais vulnerabilidades vão existir nos sistemas e menos nas pessoas OK Até porque as pessoas nós nós naturalmente estamos a ficar mais consciencialização certo portanto hoje em dia eh já nem toda a gente confia nas mensagens que recebe ou ou nos telefonemas que recebe ou nos email que recebe em fraudes assim a fazer de mãe e de pai qu C Sim infelizmente ainda há quem caia e há e h alguma sofisticação nesse tipo de de ataques e convetores a que realmente até envolvem alguma criatividade agora eh esse tipo de indivíduos eh T que pensar que não é de todo ético roubar qualquer outra pessoa sim são pessoas que podem estar em dificuldades e não vão e muitas vezes não voltam a ver o dinheiro por exemplo no mbway às vezes eu ainda outro dia me enganei e mandei dinheiro pelo mbw ainda hoje estou à espera porque é uma transferência que é responsabilidade neste caso de da cbes digamos assim não é não é tanto dos bancos e não é fácil não sei se já se já te aconteceu mas eh realment naste de que forma já me aconteceu eu mandar para um João errado e depois o João errado devolveu e eu paguei ao João certo pois eu também eu também enviei para um número antigo da minha namorada neste caso H que alguém teria e al esse número foi reciclado e depois esse dinheiro há de ter e de ter a uma outra a uma outra conta e há mecanismos para tentarmos recuperar com o banco mas é muito complicado mas pronto Isto foi s sim mas real quem está a fazer este tipo de de ataques está a retirar dinheiro a pessoas que estão a passar dificuldades isto não pode acontecer isto simplesmente não pode acontecer e é completamente não ético é utilizar este tipo de magia para fazer o mal isto aqui já nem Depende de lados isto depende diretamente de estar a prejudicar outrem de forma intencional para proveito próprio Sim nós estamos a entrar aqui já na nomenclatura eh que envolve todo este mundo do ethical hacking e depois das vulnerabilidades eu gostava de te perguntar pelos testes de penetração fazes muitos testes de penetração eh O que é que é um teste de penetração pronto basicamente eh um teste de penetração é uma metodologia eh que é seguida por profissionais de segurança informática em que nós vamos olhar para a superfície de ataque de de uma determinada organização tipicamente uma entidade pública ou privada eh e vamos analisar eh a sua exposição digital Ok começamos por analisar a sua exposição digital e depois identificamos serviços eh que estão Associados a ativos possuídos por essa por essa organização depois para cada serviço que existe tipicamente podem ser websites podem ser apis podem ser aplicações móveis etc a partir daí nós começamos a analisar obviamente que somos contratados para o efeito e e em termos legais É completamente possível fazê-lo h e e e portanto nós conseguimos depois a partir daí identificar vulnerabilidades que são compiladas num relatório e são entregues à organização pronto e é isso também já agora que nós tentamos e oferecer e que nós oferecemos neste caso na empresa mas como é que tu eh abordas a avaliação de vulnerabilidades e de testes de penetração em Sistemas sem invadir a privacidade ou a legalidade eh Isso é uma outra é uma outra questão nós Só fazemos isso eu só faço esse tipo de testes quando tenho permissão para o efeito ou às vezes essa permissão pode estar pode haver um contrato envolvido ou pode haver simplesmente uma política de segurança ou que nós chamamos por exemplo programas de bug Bounty ou canais de responsible disclosure Uhum hh em que Felizmente há cada vez mais empresas e entidades a terem esses a criarem esses canais porquê Porque basicamente assumem uma posição de Ok todos os jovens que encontrarem uma vulnerabilidade podem-nos reportar essa vulnerabilidade e nós não só não os vamos processar se seguirem estas regras todas que nós que está aqui estipulada nesta página no nosso site tipicamente e ainda vos recompensamos por isso e muitas vezes monetariamente eh portanto é um é um mercado que tem vindo a evoluir imenso e temos jovens neste momento eu posso dizer está sempre a evoluir nós ainda tivemos eh em em 2023 uma uma vulnerabilidade Paga pelo shopify de 200.000 e eu consegui uma vulnerabilidade dessas em 2018 crítica e foram 000 na altura para a mesma gravidade portanto é algo que está a evoluir E pode ráp rapidamente mudar a a vida também a estes eh a estes jovens e isso até é notável agora são à parte que eu fui até à Índia também eh eh o ano passado hh e e realmente foi Fantástico ver como esta abertura das organizações em Serem testadas e recompensaram de forma completamente legal eh este tipo de de de de jovens alguns até menores eh que às vezes podem reportar estas vulnerabilidades muda-los completamente a vida eh é é brutal e como é que se equilibra a necessidade de divulgar as vulnerabilidades com a responsabilidade de de proteger os sistemas e dados muitas vezes sensíveis Ah há duas opções para fazermos isto para identificarmos irmos atrás destas fragilidades nos sistemas porque as empresas acabaram por se se aperceber que eh se continuarem na ignorância em relação à às vulnerabilidades que podem existir nos seus sistemas a coisa não vai correr bem vai acabar por haver um ataque que que muitas vezes até lhes pode parar o o negócio por completo A nível operacional e at destruir a empresa já já tivemos vários casos desses portanto Isto é tdo um processo que é articulado com providers de segurança como é o caso da EAC por exemplo a minha a minha Startup Hum como é o caso também dessa dessa abertura que eu estava a falar em termos de políticas de de de canais de reporting de de de vulnerabilidades claro que há muitas questões legais e na redação desse tipo de de de policies que são que são publicadas H mas é um processo que geralmente corre bastante bem porque é tudo muito bem definido e é definido também as recompensas se existirem e o que é que pode ou não ser feito que vai de encontar aquelas questões éticas que eu estav a falar também Sim eu estou aqui a insistir um pouco nisto porque às vezes pode ser difícil para as pessoas que não percebem muito estas partes mais técnicas de de entender e por isso André pedi-te se pudesses partilhar connosco uma história de um teste de penetração ou uma avaliação de vulnerabilidade que tenha sido particularmente desafiante para ti e que tenha proporcionado algum tipo de de ensinamento sim até pode ser essa essa vulnerabilidade que eu estava a falar de 2018 do shopify porque foi realmente uma vulnerabilidade muito muito interessante foi das primeiras que eu descobri na minha carreira mais profissional depois de ter saído à universidade enquanto enquanto aluno do mestrado na altura e que foi no shopify Ou seja eu tinha tentado eu qualifiquei e para essa para essa competição a nível Internacional e fui um dos melhores a nível Internacional qualifiquei e conseguir essa competição Sim isto já em 2017 h e acabei por chegar a essa competição e não consegui encontrar nenhuma vulnerabilidade porquê Porque estava habituado a cenários simulados de H de de de ataque digamos assim para descobrir vulnerabilidades que eu sabia que elas existiam e mas no mundo real não sabia bem Onde é que eu Asia procurar em alvos reais digamos assim sabia as técnicas avançadas mas não sabia onde procurar H Acabei por ser muito persistente e qualifiquei me depois novamente eh e eu disse para mim próprio Ok eu agora desta é que vai ser vou ter que eh estar quase 24 sobre 7 a a tentar descobrir vulnerabilidades em alvos reais para me preparar para essa competição e foi aí que eu tropecei nessa vulnerabilidade no no shopify em que aquilo eh cheirou um bocadinho mal Logo no início eh e acabei por revisitar depois dois meses mais tarde e depois aí é que ela é que ela acabou por por sair e eu acabei por reportar isso um domingo à noite eh e foi brutal a equipa do do shopify acabou por às 8 8:30 da noite eh dos Estados Unidos recebeu a vulnerabilidade ao final de uma hora já estava corrigida porque realmente era bastante crítica dava para basicamente redirecionar os os pagamentos eh se fosse um ator malicioso não é Ou seja se fosse um ator malicioso eh iria aproveitar esta vulnerabilidade para redirecionar os pagamentos para para um para um terceiro portanto para uma para uma conta e então Imaginem o impacto que tem para o volume de negócios que tem uma empresa como a shopify que tem permitido até a muitos jovens criar as suas PR as lojas online e aqui no meu smartphone e no meu computador eu tenho muitas vulnerabilidades como é que eu posso protegerme e dos acares não éticos e também dos éticos como é que cada um de nós pode pode dos éticos não precisas porque estamos aqui para só fazer o bem porque estamos aqui para para reduzir a probabilidade de existirem essas vulnerabilidades hum pronto neste caso tens aí um iPhone penso eu e um e um Mac é assim desde que eles estejam atualizados eh não não h assim grande grande risco digamos assim agora que H vulnerabilidades na mesma há vais ser um alvo dessas vulnerabilidades da exploração dessas vulnerabilidades provavelmente não se que se fores uma pessoa Talvez mais high profile H um modo na Apple que é o lockdown mode que pode ser ativado desativa um conjunto de funcionalidades e superfície de ataque que dificulta a exploração típica de de de vulnerabilidades em Sistemas da Apple neste caso H portanto eu diria que desde que não o mais importante é não saltar à frente quando te pedem para para atualizar o sistema não sei se atualizasão ou se dizes que queres fazer mais tarde muitas vezes são atualizações de segurança Ok mas e os eckers podem ser muitas vezes um pesadelo para grandes empresas já assistimos alguns casos em Portugal lembro-me por exemplo da SIC e do Express que tiveram muito tempo o site em baixa como é que as empresas podem se podem proteger e assim tão fácil mandar um site com anos de existência segurança supostamente e credibilidade é assim há as organizações têm vindo a investir muito na formação dos colaboradores Isto é algo que a nível eh também do por exemplo do centro Nacional de cibersegurança tem sido feito um excelente trabalho do ponto de vista de capacitar os recursos humanos para esta temática hum as empresas têm vindo a comprar soluções eh também de segurança principalmente defensivas H segurança defensiva e à segurança ofensiva em termos de do do mundo digital h e a segurança defensiva e é aquela que acaba por ser mais standar digamos assim eh que passa por nós eh comprarmos firewalls para colocar à frente dos nossos sistemas ver se está ali alguém a entrar por por aquela janela aproveitar aquela vulnerabilidade e tentar parar esse ataque e reagir a essa a esse ataque H ou seja nós sabemos das vulnerabilidades quando elas são exploradas e há efeitos Ok a segurança ofensiva vem complementar a segurança defensiva eh do ponto de vista em que nós tentamos descobrir as vulnerabilidades antes dos Bad guys basicamente ou seja nós tentamos a e e basicamente as organizações começam a ver que também têm que investir nisso ou seja acabam por saber que aquelas vulnerabilidades existem antes do tempo elas já existem lá são a desconhecidas para eles eh e quanto mais vulnerabilidades eles souberem Principalmente as críticas e mais prioritárias para serem corrigidas hum mais mais baixa vai ser a probabilidade de materialização de um ataque Futuro por parte de Agentes maliciosos portanto H as empresas têm vindo têm vindo a a investir tanto nos nos nos recursos humanos na formação todos os departamentos a contratar também jovens Há uma grande falta de mão d’obra e de de talentos nessa área Há uma grande procura e e não há e e portanto e as empresas lá de fora têm estado a levar os jovens eh portugueses eh para para grandes grupos internacionais hh e e e portanto acaba por ser um bocadinho complicado e então tem-se vindo a recorrer também este tipo de soluções mais produti para tentar automatizar essa procura de vulnerabilidades que é um bocadinho o que nós fazemos também na na na na EAC ou seja nós no fundo temos uma uma plataforma que torna esta segurança acessível a todas as organizações para que elas possam finalmente ver que vulnerabilidades é que tê com poucos cliques terem um relatório ao final de uma hora desde que se registram na plataforma e depois podem prioritizar e corrigi-las e isso reduz brutalmente a probabilidade de materialização de um ataque é uma solução mais moderna digamos assim de segurança é complementar aquilo que já existe e blindar e basicamente prevenindo realmente um ataque futuro sim os trabalhadores na área da ética começam a ser dos mais bem pagos e em todo o mundo em empresas como a Google e a Facebook o mesmo acontece com a com a profissão de H haer ético é uma profissão regulada em Portugal como acho que salvo na Bélgica já é não existe não existe nenhum código de atividade económica para para isto nem para empresas nem a nível portanto para quem para quem é profissional liberal ou seja hh H há um cai que é outras atividades em em informática eu penso eu H há um C escolh ah é sim é esse que Nós escolhemos são outras atividades na na na área de informática eh portanto é assim regulamentação anda sempre atrás da da da da tecnologia no fundo Ou seja a tecnologia anda eh a uma velocidade estonteante e é exponencial há sempre imensas novidades tecnológicas todos os dias há cada vez um fluxo de informação maior etc depois vem a segurança que a segurança vem um bocadinho mais atrás depois vêm as preocupações todas com ética privacidade etc ou seja é muito complicado eh por ser cada vez mais difícil perceber a tecnologia do ponto de vista técnico então se falarmos de Inteligência Artificial agora que tem tem vindo a revolucionar um conjunto de de de brutal de de áreas de até de negócio mas até a nível pessoal permite a muitos jovens criarem os seus próprios projetos etc eh E que nos auxilia no fundo como é cada vez mais difícil perceber como essas como é que essas coisas funcionam eh a regulamentação acaba por ter cada vez mais dificuldades a a ter a a portanto a ter algum tipo de de normas e de leis etc que realmente sejam ajustadas à realidade E era necessário eh sim eu defendo que sim porque nós deveríamos eh deveríamos não ter medo de reportar às vezes por exemplo no caso que estamos aqui a falar da da segurança que é o meu background de reportar vulnerabilidades porque tropeçamos nessas nessas vulnerabilidades ou seja devia haver uma uma abertura maior para que essas vulnerabilidades fossem reportadas eh e está a haver até algumas algum alguns avanços nesse nesse sentido a Bélgica foi pioneira nesse aspecto em que acaba por ser legal tentar descobrir vulnerabilidades em Sistemas Belgas por parte de cidadãos Belgas OK e eu defendo que nos outros estados membros da União Europeia eh também Devíamos dar esse passo em frente porque é um passo que vai reduzir a a discrepância que existe atualmente entre a tecnologia e a segurança da tecnologia para que nós consigamos confiar nela para que nós não tenhamos receio de de a utilizar porque confiamos que os nossos dados são nossos e estão e são efetivamente privados e os sistemas que utilizamos são seguros sim tocaste aqui num ponto importante que é a rapidez com que eh o conhecimento vai vai mudando nesta área na área da tecnologia como é que tu André Batista manténs as tuas habilidades e conhecimentos atualizados neste ritmo tão Frenético em que se desenvolve a segurança cibernética Talvez um pouco como aos jornalistas é Twitter é o Twitter que com os os artigos mais atualizados sim a comunidade de segurança informática e ética leing acaba por estar no Twitter já houve muitos que quiseram sair porque não estavam a concordar muito com as mudanças que o Elan musk fez lá mas independentemente disso continuamos lá e e Há muitas ideias ou seja tudo aquilo que vem vai acontecendo por por exemplo novas vulnerabilidades novos ataques etc sabe-se lá tipicamente primeiro ok hum portanto é di Tens os alertas todos eh sim alguns e portanto eu posso dizer que até às vezes ao fim de semana OK saiu aqui uma nova vulnerabilidade e nós lá na empresa ou às vezes ao domingo já estamos a fazer um módulo para proteger todos os clientes e avisá-los o mais rápido possível há um mercado das vulnerabilidades ah ah mas isso é aí já estamos a entrar outra vez e em coisas um bocadinho mais sh digamos assim há um mercado assim há um mercado de de zero 10 por exemplo aquelas V de zero 10 são vulnerabilidades conhecidas à data ok ok no fundo ou seja se tiveres o teu computador atualizado e eu nunca tenho nada atualizado isso é um risco devias como é óbvio Ok já atualizado tudo para casa pronto eu acho que não deixa pelo menos passar muito ouvintes na rádio no podcast O André levou as mãos à testa neste momento pronto é assim deves atualizar o mais rápido possível Ok ah também uma opção para atualizar automaticamente mas independentemente disso O que é que eu estava a dizer há um mercado de dessas armas cibernéticas digamos assim eh um termo mais mais comum eh mais mundano eh basicamente é uma é um é uma forma de exp é uma vulnerabilidade desconhecida e que pode afetar por exemplo o o iPhone Ok e há mercados na Deep web disso Ok ou seja há esse tipo de vulnerabilidades a serem vendidas por milhões de euros estamos a falar de milhões de euros eh Há preços até algumas alguns preços tabulados uma portanto uma forma de entrar num dispositivo iOS remotamente sem qualquer tipo de interação da vítima ascende a vários milhões de euros pelo menos dois dois 2 e meio eram eram eram um portanto é um é um valor que eu tenho que eu tenho ideia pelo menos já de alguns anos e há esse mercado e depois há países que compram eh Há investigadores que que vendem mas aí são investigadores que já estão numa área mais cinzenta digamos assim é uma área assim um bocadinho eh complicada porque nós temos por exemplo no contexto geopolítico atual eh temos ISO já acontece há muitos anos o Governo dos Estados Unidos tem vindo a comprar este tipo de de formas de entrar em Sistemas e para utilizar em contextos de ciberguerra H Israel também é uma grande potência e sempre foi na parte de de de de cibersegurança e de desenvolvimento deste tipo de de mecanismos para entrar em Sistemas e o mesmo se pode dizer da Rússia da China eh e de outras grandes potências a nível de de de segurança e há todo um mercado paralelo onde onde onde isso acontece até a nível corporativo há empresas não éticas porque pronto há os ecar éticos não mas também há empresas éticas e empresas não éticas não é pronto Ou seja no fundo eh também já se tem vindo a assistir eh a empresas para eh por motivos de espionagem Industrial estarem a contratar este tipo de crackers para entrar em Sistemas terceiros ou danificarem sistemas terceiros para por motivos de de competição de mercado até que é completamente ilegal e não ético no fundo s mas André como é que é o teu dia a dia enquanto ético todos te imaginamos à frente do computador atualizado Claro e encontras muitos dilemas éticos diariamente pronto é assim como é que como é que é um bocadinho a minha vida durante o dia não estou estou a assumir um papel de ecar no fundo ou seja durante o dia eu estou a trabalhar na na na empresa no fundo ou seja estamos tem uma posição de CTO neste momento eh em que coordeno todo o desenvolvimento tecnológico junto das equipas de de Engenharia e e e portanto apesar de também ter alguns contributos noutros departamentos portanto durante o dia porque sou cofundador e temos sempre que estar atent portanto no fundo a tudo o que vai acontecendo para que realmente os clientes estejam satisfeitos com com com o produto que nós oferecemos e depois à noite ou quando tenho tempos livres é que acabo por eh às vezes eh participar neste tipo portanto em algum tipo de competições que vai existindo a nível internacional eh ou reportar vulnerabilidades às vezes também investigar novas vulnerabilidades para serem reportadas a estas empresas obviamente depois há tipicamente um retorno um retorno financeiro hum posso dizer também que às vezes nem há retorno financeiro mas é são vulnerabilidades impactantes por exemplo eu descobri juntamente com os meus colegas na EAC uma vulnerabilidade no Git que é utilizado por mais de 100 milhões de pessoas que trabalham em tecnologia em todo o mundo eh e que era uma vulnerabilidade de severidade alta com algumas com alguma complexidade de exploração mas ainda assim que permitia no final o acesso a todos os computadores de todos os os programadores que utilizassem essa tecnologia OK hh obviamente que isso foi uma vulnerabilidade reportada a a Quem gera esse projeto que é um projeto open source hum no entanto realmente o impacto seria seria brutal se ela fosse explorada por parte de atores maliciosos pronto e aí não houve nenhuma recompensa porque não estamos a falar nenhuma empresa Ok sim e quando olhamos para as principais ameaças informáticas quais é que são as mais preocupantes e em crescimento também as vulnerabilidades mais impactantes que nós temos visto são aquelas que já nem dependem de fator humano Ok ou seja são vulnerabilidade em Sistemas em que de forma completamente imprevisível às vezes é um sábado à noite ou um domingo à noite em que ninguém está a olhar para para o que é que se está a passar na infraestrutura e pode haver esse ataque por via de uma vulnerabilidade num sistema que permita depois acesso por exemplo a todos os sistemas da organização Ok enquanto que se for eh por via humana obviamente que pode haver efeitos devastadores dependendo ao que é que as credenciais tipicamente dessa pessoa dão acesso Ok sim hh mas dada a consciencialização crescente que eu tinha que eu que já estive a falar há há bocado estamos a ver essa transição a ser cada vez mais Evidente mais V em Sistemas e menos vulnerabilidades em pessoas porque há uma digitalização a nível operacional sim então mas aqui entre a inteligência artificial e o machine learning que afetam de alguma forma a segurança informática e para bem ou para mal eh esperemos que seja para o bem e pronto Ou seja a inteligência artificial tem nos vindo a auxiliar e algo que nós também utilizamos na na na EAC h para conseguirmos detar vulnerabilidades ir a uma profundidade maior de forma de forma automática ou seja a a inteligência artificial é é uma uma uma tecnologia que neste momento é aberta e é disruptiva do ponto de vista em que está a mudar o paradigma eh a nível tecnológico a nível internacional cada vez mais empresas a utilizarem essa essa essas esse tipo de tecnologias para conseguirem realmente oferecer melhores soluções e resolver problemas Como é o problema da cibersegurança que é um dos maiores que nós que nós temos e e atualmente eh e bem como há outros não é hum pronto e no no fundo há também a a obviamente crackers neste caso eers não éticos que também estão a recorrer esse tipo de ferramentas não é para conseguirem explorar ou novas vulnerabilidades ou conseguirem explorar e portanto conseguirem e descobrir novos caminhos para para para encontrar algum tipo de novo Vetor que possa afetar um sistema por exemplo e podem depois também em escala fazer esse tipo de análise Ok para conseguirem entrar em Sistemas a hum às vezes pronto lá está no contexto da ciberguerra ou então h para para benefício próprio e para depois inventarem o ransomware e e e fazerem chantagem como é como é habitual ou seja o facto dela ser aberta faz com que seja possível utilizá-la tanto para fins lícitos como ilícitos Não é porque está o acesso de de qualquer um portanto acaba por continuar aqui a haver algum equilíbrio mas estamos a ver que há um desequilíbrio na parte da segurança ofensiva porque está a haver muitos ataques e não está a haver tantos autoaqua fazer Ok os autoaqua ques éticos que é passam por no exatamente no fundo já prendi a matéria exatamente não sabia até aqui olha Eh quem te ouve eh quem te ouviu até aqui já não tem nenhuma dúvida já não tá cético em relação à aquela questão de teres aprendido a programar aos 11 anos desde os 11 anos que sabes programar ou que aprender de forma a auto data Como assim como é que vem esta este interesse tão grande pela informática eram jogos que tu jogava online hum online não mas no computador não sempre foi Teve sempre a ver com uma curiosidade nata no fundo sempre fui curioso sobre eh sobre a realidade eh sempre gostei muito física também como como faste no início hum portanto no fundo tinha uma curiosidade imensa de perceber como é que um determinado programa funcionava jogar este jogo na PlayStation por exemplo como é que isto funciona como é que isto foi construído e obviamente grande parte se calhar dos Miúdos na altura pensava oká foi construí de alguma forma eu quero é utilizar o programa ou ou ou jogar ou ou ir à internet ou o que seja Hum e depois houve Miúdos mais como eu e que eh são são são já na altura era muito persistente qualquer problema que existisse no computador independentemente do temp mas desmas o computador também se fosse preciso ou seja desde ver as peças sim ou seja no fundo eh sempre fui persistente para perceber como é que o computador realmente funcionava E depois quando eu percebi como é que se programava e construí um programa fez-se aqui luz dentro de mim ou seja no fundo eu percebi Ok é assim que as coisas funcionam e faz todo o sentido eh porque acaba quase como ser a traduzir um processo em máquina eh e e um primeiro livro que eu encontrei n estante do meu pai na altura que foi foi foi esse livro que eu acabei por utilizar Quando quando comecei a aprender a programar eh falava em como traduzir para programação fazer um café por exemplo eh e e esse e esmiuçar o processo de fazer um café a Passos determinísticos eh foi realmente esse momento em que eu vi esta esta luz de como realmente as coisas funcionam eh no na informática e depois foi uma questão de continuar sempre a aprender mas isso é ainda mais Evidente nas gerações de hoje em dia eh e eu fico completamente fascinado com os Miúdos de hoje em dia que que vão aparecendo até em algumas competições internacionais e com 16 17 18 anos e que na altura ou seja na altura vez meeles Miúdos como tu eras vejo Miúdos que me dão 30 a z0 é quando eu tinha 18 anos não sabia nem 10% que eles sabiam neste momento ou seja esse contacto com a tecnologia e de uma forma cada vez mais precoce obviamente tem efeitos muito nocivos Ok em especial se for um ecrã de telemóvel ligado todo o dia certo tem efeitos muito nocivos nós temos que e isso é toda uma outra uma uma outra questão que que acaba por dis é um bocadinho ao tópico mas mas a verdade é que há muitos jovens que são autênticos génios por terem esse acesso à informação sim e e aqueles que eu tenho reparado que tem esse tipo de de de genialidade digamos assim nem são aqueles que estão mais agarrados a esse tipo de tecnologia ou os telemóveis porque acabam por conseguir talvez compreender melhor e como é que as coisas funcionam e isso faz com que ok tem um hiperfoco também também sim ou seja mas acabam por perceber mais facilmente desde muitos jovens Ok Isto é só um anúncio que me está aqui a tentar levar a comprar alguma coisa e ignoram nem sequer querem saber dailos que tens conhecido vê-los a crescer e ser a ser hackers éticos ou crackers felizmente É Para Isso é para isso também que eu aqui estou eu tenho mas pode ser tentador ser Cracker ou não hum Talvez para alguns jovens que possam que possam estar a ser aliciados para irem para esse lado mas felizmente a construção deste modelo por exemplo das bug bounties etc tem vindo a desr isso este modelo que não esqueço essa essa palavra essas duas palavras também complexas que que significa muito rapidamente para quem não está a ouvir o modelo das bug mtis eh eu já falei um bocadinho mas basicamente é recompensar quem reporta vulnerabilidades monetariamente por exemplo V vulnerabilidade crítica pagamos 000 esse investigador só para nossos ouvintes não perderem o fio à meada pronto ou seja Isto é completamente legal e incentiva que cada vez mais jovens por poderem eh implementar e e usar a sua magia e evoluirem enquanto eers éticos poderem ser poderem ter a oportunidade de trabalhar nessa nessa área e realmente e é uma área que precisa de muita gente Há uma grande procura e há salários a nível internacional extremamente competitivos eh portanto é uma área completamente em em explosão ou seja isso também contribui para que haja cada vez menos jovens no lado eh mal das forças digamos assim sim mas isso é interessante Porque mesmo nos cursos de engenharia há escassez de pessoas a quererem e seguir estas áreas mais mais ligadas a à inovação e e e ao futuro Porquê o que é que achas que afasta as pessoas os jovens é assim na área de engenharia temos cada vez mais fornadas a sair digamos assim aqui em aqui em Portugal em segurança hh nem tanto eh por exemplo por mim em cerca de 6 anos agora que sou o professor convidado na na Faculdade Ciências da Universidade do porto já passaram por mim por cerca de 150 jovens mas a necessidade é para aí 20 30 ou 40 vezes maior para as empresas portuguesas por exemplo eh e há outros há outros cursos obviamente que que têm vindo a surgir na universidade de Coimbra H portanto e e e mais instituições e do nosso do nosso país h mas falta também algumas bases principalmente na área de cibersegurança eh falta algumas bases nos cursos de de engenharia Informática ou seja eh isso também contribui para o problema porquê porque há muitos jovens que que Estão interessados efetivamente na área de engenharia informática mas depois no curso não lhes dizem que não se deve confiar no input do utilizador ou seja nos dados que são introduzidos por nós no teclado Ok quando sub temos um formulário etc que pode ser programado por eles eh essa falta de bases eh nesses cursos nesses bases de segurança que que que existem eh contribui muito para para a raiz do problema e a raiz do problema são as vulnerabilidades Ok sim olha e a física André onde é que ficou e porque o este teu interesse tão grande por física ficou C ficou no cerne eh a últim o meu último contacto foi quando Foi quando fui ao CNE na altura no no Quando andava ainda no secundário eh e foi brutal e portanto visitar lá o o o large edron Cider hum portanto lá na lá na Suíça em que se TM feito descobertas brutais sobre sobre o universo eh é um tema que sempre me fascinou h eu continuo sempre a a ver coisas sobre sobre física O que é que se vai descobrindo algumas teorias sobre bracos negros etc hum continua curioso mas a minha paixão é o heing ético Basic queres chegar com o equin ético O que é que seria para ti eh ver esse os teus conhecimentos bem aplicados Goa é que tu vês quando Olhas Para o Futuro gostava gostava de ver um mundo hum em que o hacking ético é legal e não não há perseguição Isso é uma causa que que que me move que é o ser um termo pejorativo exatamente há uma iniciativa que eu que eu que eu portanto que eu com a qual eu me identifico a 100% que é oing is not a crime e que realmente Visa a a a e evitar a perseguição a a a ecres éticos ok que seguiram todas as regras e não cometeram nenhuma ilegalidade e que às vezes são processados eh por departamentos legais de de grandes grupos a nível internacional Hum e e e portanto isso isso é algo que é uma portanto é algo que não pode acontecer ou seja eu sonho com um mundo em que é possível e fazer eing ético de forma livre eh sonho com o mundo em que eh não existem regimes totalitários eh com um mundo em que nós conseguimos eh garantir que a nossa tecnologia H nos ajuda enquanto humanidade H uma portanto que que esse Progresso tecnológico continua a acontecer de uma forma em que nós em que nos auxilia todos os dias mas que não nos eh escravis no fundo que não nos controla ou ou comprom a nossa privacidade Ok eh e o heing ético para além de um conjunto jto de muitas outras áreas sem ser a cibersegurança ajudam a defender as democracias portanto ajuda a defender a democracia do ponto de vista em que nós testamos por exemplo eh se um sistema de votação votação é confiável mas do ponto de vista matemático ainda surgiu ainda hoje ou ontem uma notícia H sobre sobre o voto a nível da União Europeia por exemplo recordo-me e que poderia haver vulnerabilidades H neste voto online sim num voto numa votação online eh ou seja aou nós conseguirmos perceber e tentar minimizar o número de vulnerabilidades no nos sistemas a probabilidade de Agentes externos conseguirem entrar lá e manipular informação por exemplo reduz significativamente e e e a e a probabilidade de ser possível entrar num sistema para eh haver algum tipo de operação indesejada ou com fins a a a comprometer a liberdade a de expressão por exemplo eh acabamos por conseguir reduzir essa essa probabilidade também com o hecking ético como com muitas outras áreas não só tecnológicas mas de que forma é que o o Hing ético pode relacionar-se com o combate à desinformação que é também Um dos problemas informáticos digitais Mais preocupantes também dos nossos tempos S isso é um isso é um problema que ainda de certa forma me assusta mais do que a cibersegurança e porque realmente é muito difícil com as tecnologias atuais nós conseguirmos distinguir o que é Real o que é físico aquilo que nós conseguimos ver com os nossos alhos com os nossos olhos e aquilo que eh é um vídeo que pode ter vindo de um jogo por exemplo já vimos isso na no contexto até de H a nível a nível de de guerra eh em em vários focos que que tivemos em 2 em 2022 20223 vimos isso já acontecer ou seja tivemos vídeos por exemplo de jogos h que eram disse diseminados h e e era dito que aquilo estava a acontecer na Ucrânia ou que estava a acontecer em Gaza em Israel etc ou seja H É muito difícil nós conseguirmos resolver esse problema Porque quanto mais nos aproximamos de de tecnologia eh que consiga criar uma vídeos por exemplo que parecem reais Nós já não temos forma de dizer se são reais ou não Sim chegamos a um ponto em que nós também já não conseguimos de certa forma confiar na informação que nos é transmitida está falar dos DIP fake sim exemp sim por exemplo aí entramos na ética no uso da Inteligência Artificial Ou seja é um problema que eu sinceramente não sei bem como resolver agora o fact checking felizmente está a evoluir está a evoluir eh mesmo em plataformas por exemplo como o Twitter isso tem tem vindo a acontecer nós conseguimos ver em algumas em alguns posts Ok Calma que esta informação não é verdadeira ou e depois com links para outras fontes que podem ser ou não verdadeiras e acho que acho que é um problema muito muito relevante agora o hecking como é que ele pode ajudar aí hum do ponto de vista de tentarmos proteger sistemas para que não se possa manipular a opinião pública através de bots por exemplo que dizem Ok não Aquilo é verdade quando na realidade não é também podem aquiar a CTV e fazer com que elas não passem imagens de carrinhos de crianças estás a fingir que são carrinhos H verdadeiros por exemplo por exemplo é é esta questão da desinformação é particularmente preocupante quando os próprios jornalistas que fazem parte desta grande trapalhada sim faz-me lembrar do filme por exemplo da Matrix quem que o morphus penso que é o morfus diz What is real sim isso foi dos primeiros filmes que nos fez pensar sobre isto e já já é já é antigo Sim e hoje em dia nós estamos a sentir isso concordas sim olha e quando Olhas para o futuro da internet o que é que vez vejo e espero que seja possível termos uma internet em que nós consigamos realmente confiar consigamos resolver todos estes problemas de segurança de e de ética na tecnologia na ética da Inteligência Artificial que é um grande desafio também e na na cibersegurança etc se nós conseguirmos resolver esses problemas eu acho que nós vamos ter eh um futuro muito promissor enquanto enquanto humanidade e é isso que eu espero que aconteça e que é no fundo nós conseguirmos confiar e e e a internet não se tornaram um caos de vulnerabilidades e e de desinformação autêntico eh eu acho que ainda é possível invertermos eh esse esse caminho aliás eu não sei muito bem para onde é que nós estamos a caminhar porque é muito difícil perceber o que é que está a acontecer mas mesmo para quem trabalha na área não é sim mas não temos a caminhar para um cenário como 1984 esperemos que não por é que te marcou tanto este livro portanto é um é um é um livro distópico H portanto é uma é uma distopia Hum é é é uma possibilidade futura hum nós podemos estar a caminhar para aí como podemos estar a caminhar para um Admirável Mundo Novo ou H esse por acaso ainda nem não acabei de ler confesso é um bocadinho mais difícil de ler na minha opinião mas H Espero que a liberdade nós conseguimos conquistar essa liberdade espero que ela prevaleça E por falar em conquistas como é que conquistaste o título de Acre mais valioso do mundo eu n goo nem gosto muito que digam do mundo para isso isso é um bocadinho isso não foi minha responsabilidade até mas pronto eu ganhei um título de ecar mais valioso numa competição que reuniu ecar dos melhores do mundo e eu consegui ganhar essa competição e há várias competições pronto eu consegui eh na véspera da da competição eh à noite já tinha uns copos e acabei por colocar uma uma um Crater a mais do teclado sem querer eu estava a ver Duas Barras mas eu na realidade tinha colocado três e e acabei por tropeçar ali numa vulnerabilidade crítica que me deu acesso de administrador a uma grande empresa que foi a meox e que era o alvo desse evento para o qual nós fomos contratados e no fundo foi foi um dos melhores momentos e pelos quais já passei porque acabei por por materializar a Esta luta que eu que eu portanto esta evolução a nível pessoal nem em é King ético a foi foi uma grande conquista no fundo e acabei por conseguir inspirar muitos jovens A seguirem este caminho e que já depois me disseram eh eu estou aqui porque eu te vi nas notícias na altura e é por isso que eu que eu vim por este caminho h e e portanto isso acaba por ser muito muito gratificante e qualquer jovem que esteja a ouvir também eh este este programa eh e que tenha curiosidade sobre sobre a área ah realmente tem aqui há uma grande falta de jovens nesta nesta área e e portanto estejam à vontade para falar comigo ou enviarem mensagem nas redes Se quiserem saber mais S Por falar em álcool se os nossos ouvintes tiverem ouvido tiveram tiverem bebido um copo porque cada vez que ouvimos a palavra vulnerabilidade vão acabar bem embriagados há quem L Chame o akar do bem a verdade é que ganhou o título de acar mais valioso num concurso internacional de cibersegurança em Washington DC É também um dos treinadores da seleção Nacional do Cyber Security challenge competição organizada pela enisa uma espécie de europeu do futebol mas para hackers estudou música no conservatório em Coimbra onde aprendeu a tocar guitarra clássica fez parte de duas bandas de punk rock alternativo tocava guitarra elétrica e produzia efeitos eletrónicos ao vivo através do teclado do computador e é a partir desse mesmo teclado que defende Que tal como na segurança das instalações físicas o digital precisa de vigilância 24 horas sobre 24 horas nomeadamente porque os criminosos atuam de forma dinâmica e a partir de fusos horários distintos acredita que o hacking ético vai transformar o panorama Internacional e vai proporcionar uma internet mais segura nós deste lado vibramos ao ouvir a palavra ética e por isso vamos de certeza estar atentos aos próximos passos do André Batista que nos fez companhia na última hora na antena 3 e na rtp3 André obrigada goi muito Qual é o produto fracionário e que está a produzir a construir um produto revolucioná na área de cibersegurança porque permite uma segurança acessível a pequenas e médias empresas uma empresa neste momento consegue registrar-se na nossa plataforma E durante um mês tem acesso a todas as vulnerabilidades que possam existir na sua na sua infraestrutura portanto no fundo só precisam de nos autorizar para esse efeito e nós damos esse esse valor a que evita com que a no futuro agentes maliciosos possam explorar essas vulnerabilidades e é um produto revolucionário porque acaba por ser contínuo eh e acaba por permitir uma identificação eh portanto é um teste de penetração e automatizado e que faz com que seja possível as empresas terem relatórios eh ao final de uma hora por exemplo enquanto que as abordagens mais antigas envolviam por exemplo e várias semanas para produzir esse tipo de de relatórios ou seja nós precisamos de mais rapidez a identificar essas vulnerabilidades eh E é isso que nós estamos a construir a revolução está em curso e nos no teu curso nas aulas que dás sentes que os jovens estão para aí virados para essa revolução que é preciso fazer completamente Sem dúvida eh temos jovens muito talentosos não só também a nível da da Universidade onde dou aulas mas também eh a nível da seleção Nacional do do Cyber Security challenge eh realmente há cada vez mais jovens eh de muitas origens eh do país eh que estão a a investir nessa nestas nestas áreas h e portanto é notável eh que temos bons talentos eh e temos que também tentar criar as condições para que eles fiquem cá e é isso também que nós estamos a tentar fazer e na EAG o que vamos fazer [Música]
