Greg Van der Gaast: “É bastante assustador o quão dependentes nos tornámos da tecnologia”

Ao documentar-me para esta entrevista, encontrei a informação de que, enquanto adolescente, pirateou instalações nucleares e passou a estar no radar do FBI. Por que razão um adolescente, ou, já agora, um adulto, se torna hacker? Para provar as suas capacidades? Pela adrenalina? Por ativismo?

Trata-se de uma história muito engraçada. Recordo-me de como tudo começou, de quando tinha uns 16 anos e a minha irmã alugou o filme Hackers [de 1995, com a atriz norte-americana Angelina Jolie] para vermos em casa. E esse filme o que me ensinou, enquanto miúdo magrinho e nerd, foi que, se conseguisse invadir computadores, poderia sair com a Angelina Jolie [gargalhadas] – era um ótimo fator de motivação!

[Ser hacker] tornou-me curioso, e eu comecei a fazer coisas. Passava muito por um exercício intelectual: era jovem e estava a aprender coisas. Invadir [computadores] parece demasiado agressivo [para aquilo que eu fazia], era sobretudo ter controlo sobre alguma coisa e ser mais esperto do que as outras pessoas. Lembro-me de estar num chat room [plataforma de conversação online] com hackers de todo o mundo, e era uma coisa elitista, mas de forma meritocrática. Mesmo aspetos como a correção ortográfica eram muito importantes: se déssemos erros gramaticais, éramos julgados. Era, definitivamente, uma competição de inteligência, que tinha sempre um desafio associado. Penso que, entretanto, [a atividade] se criminalizou bastante, porque, no meu tempo, havia muito ativismo, mesmo que fosse aquele tipo de ativismo dos 16 ou 17 anos, sobre coisas parvas de que não sabemos nada. Era do tipo: “Quero dizer uma coisa, e vou dizê-la invadindo um site.”

Como as tecnologias da informação se tornaram muito mais críticas [mais presentes], os criminosos têm agora muito mais poder, porque as pessoas dependem muito mais delas. Penso que o ransomware [ataque em que os dados da vítima são bloqueados, e apenas libertados com o pagamento de um resgate] foi uma grande mudança: agora, atacar alguém é uma atividade monetizada, enquanto dantes o que se fazia era roubar dados e bloquear sistemas. É verdadeiramente surpreendente o grau de maturidade do ecossistema associado ao ransomware. O serviço ao “cliente” é realmente bom. Existem organizações profissionais, que empregam muita gente. Existem benefícios, salários e férias pagas para esses empregados cujo trabalho é bloquear os nossos dados e exigir o pagamento de um resgate. Nos últimos cinco anos, mais países se aperceberam de que tinham pessoas com capacidades: “Vamos usá-las para roubar informação, vamos usá-las para criar o caos.” Muitos têm agora apoio estatal, a situação escalou muito. Dantes, era um grupo de adolescentes a divertirem-se, enquanto agora é uma indústria criminosa.

Qual é a sensação de estar no radar das autoridades? Esse reconhecimento foi importante para o trazer para o lugar certo da força, por assim dizer?

O engraçado é que eu não tinha consciência de estar no radar das autoridades por causa daquilo que fazia. Começou a haver muita gente interessada, desde jornalistas a pessoas que diziam ser do Governo, embora eu não soubesse se eram do Governo ou não, até que, um dia, o Governo bateu mesmo à porta. Tive sorte: foi-me dada a oportunidade para trabalhar para eles. Mas a minha intenção nunca tinha sido maliciosa. Eu pensava que tinha aquelas capacidades e que me dava prazer usá-las, pelo que ia passar a usá-las em prol dos “good guys” [expressão que pode ser traduzida como “os bons da fita”].

Parte de ser um hacker era também pertencer a uma comunidade onde se fazia amigos, sobretudo quando somos jovens, onde havia muitas pessoas que se desafiavam. Portanto, não era apenas a gabarolice de quem conseguia piratear isto ou aquilo: estávamos sempre a tentar piratear-nos uns aos outros. E, se eles estão sempre a tentar piratear-me, tenho de aprender como proteger o meu sistema. Na verdade, acabei por aprender mais sobre essa vertente do que sobre atacar, e isso moldou a minha forma de pensar em como manter a minha organização segura.

Gostaria de sublinhar que nunca fui um “bad guy”. Ainda assim, [essa atividade] deu-me muitas ideias, porque seguia centenas de outros hackers, via muitos ataques, e sempre me surpreendia como, por vezes, era tão fácil. “Porque estas empresas não fazem isto?”, perguntava. Portanto, deu-me conhecimento de base.

Durante a pandemia, ataques arrojados fizeram as manchetes dos meios de comunicação social a um ritmo semanal, senão diário, criando um sentimento generalizado de insegurança. Quais considera serem as ameaças mais perigosas para as sociedades vindas do cibercrime?

Penso que é bastante assustador o quão dependentes nos tornámos da tecnologia, e que é daí que o verdadeiro perigo vem. Penso que a pandemia sublinhou o fraco nível de segurança das empresas, que desconheciam essa situação e que não estavam a fazer o que seria correto. E, quando começaram a abrir vias para as pessoas poderem aceder à rede e trabalharem em casa, surgiram vias para os atores maliciosos entrarem também. Rapidamente ficou claro como poderia correr mal.

Preocupam-me, sobretudo, as infraestruturas. Os bancos, potencialmente, são resilientes, mas vimos ataques a estações de tratamento de água, onde se usam químicos para descontaminar a água, e onde se elevou a percentagem desses químicos a um nível potencialmente letal. Centrais elétricas e outras infraestruturas também foram alvos.

E vimos ainda estações de rádio e de televisão serem atacadas, e piratas a porem coisas no ar. Até agora, não tem sido grave, mas e se começarem a usar deep fakes [vídeo ou áudio manipulado, usado para fazer crer que alguém conhecido está a transmitir certas informações, em regra, falsas], e passarmos a ver o jornalista que conhecemos a dar notícias sobre algo terrível que espalhe o pânico? Vejo esse tipo de cenário a afetar a sociedade.

Pensa que os governos, os estabelecimentos de ensino e as empresas em geral são suficientemente resilientes para afastarem estas ameaças, ou existem diferentes níveis de resiliência?

Sim, existem diferentes níveis. A maioria dos governos tem bons procedimentos, mas a educação ainda tem muitas falhas. A maior parte da indústria da segurança olha para os riscos e tenta mitigá-los, mas penso que o problema é mais fundo: precisamos de parar de produzir esses riscos, precisamos de parar de fazer coisas, ao nível dos processos nas empresas e nos sistemas, que deem origem aos riscos. De contrário, estaremos a criar uma corrida às armas. Na minha consultoria, procuro que as pessoas tenham cada vez menos riscos. Se olharmos para outras indústrias, como a aviação, a saúde ou a produção em geral, o número de incidentes ou falhas que têm, com o tempo, tende a diminuir, ao detetarem a raiz dos problemas.

Na segurança, ainda estamos muito focados na tecnologia, em encontrarmos formas tecnológicas mais eficazes de controlar ou reduzir os riscos. Não estamos a dizer às pessoas para procederem de uma maneira que evite os riscos. Assim, estamos numa situação em que as organizações aumentam o risco todos os anos, e precisamos de mais segurança e de gastar mais dinheiro em segurança, uma percentagem cada vez maior dos rendimentos das organizações em segurança – não é sustentável. Chegaremos a um ponto em que não será possível acompanhar. É isso que me preocupa, mais do que qualquer outra coisa.

Considera, então, que a criptografia quântica será o fim dos hackers?

Na verdade, estou preocupado que venha a ser o contrário, porque a criptografia quântica [codificação dos dados baseada nas propriedades da física quântica, ainda em desenvolvimento e dita impossível de piratear] não resolve muitas das questões básicas que vemos: 99% dos ataques que tivemos no ano passado foram causados pela exploração de vulnerabilidades que eram conhecidas. A solução estava disponível, mas não foi implementada. Assim, podemos reduzir 99% dos ataques aplicando apenas aquilo que já conhecemos, mas não o fazemos. Então, fá-lo-emos com criptografia quântica? Será provavelmente o mesmo problema, o mesmo processo e a mesma mentalidade que tivemos até agora. A computação quântica também significa que os atacantes irão facilmente invadir o que temos agora: poderão fazer melhor trabalho a atacar do que nós a defender. Estou preocupado. Além disso, a criptografia quântica trata apenas da encriptação dos dados. Se, por exemplo, um empregado deixar uma empresa e a sua conta não for removida, o que é uma brecha de segurança frequente, a criptografia quântica não ajudará.

A DECO PROteste procura dar aos consumidores ferramentas para se protegerem dos ataques. Quais são os seus conselhos a este nível?

Serão coisas muito básicas, porque, na maioria dos casos, estão em causa serviços fornecidos aos consumidores por grandes empresas. [Começo por] passwords mais complexas nas contas das redes sociais, como Facebook e Instagram, que são comprometidas a toda a hora. Devem usar uma palavra-chave ou uma frase complexa, e diferentes combinações para situações diferentes.

As pessoas não se apercebem de que usam a mesma password em todo o lado. Os hackers vão a websites com pouca segurança, muito fáceis de comprometer. A partir daí, têm o endereço de e-mail e a password de uma pessoa, e vão tentado nas várias contas, de Facebook ou outras. [Os consumidores] podem usar um gestor de passwords – é muito fácil.

Correr as atualizações automáticas no computador e nas aplicações é outra boa dica: muita gente não faz atualizações. As passwords das redes wi-fi também [devem ser complexas]. Depois, se tiverem opções para melhor segurança, devem usá-las. Um grande número de consumidores ainda não usa autenticações multifator. Estas talvez sejam as minhas dicas principais, que talvez representem 80% das questões de segurança.

E o phishing?

Quanto ao phishing [técnica usada para capturar dados do utilizador, por exemplo, bancários], desconfiem. De onde vem este e-mail? Estou à espera deste e-mail? Parece demasiado bom para ser verdade?

E a correção do texto...

A correção ortográfica é muito interessante, porque, muitas vezes, os e-mails de phishing estão cheios de erros, mas que são propositados. [Os hackers] fazem-no, porque, se alguém detetar os erros, é provavelmente mais culto e não será um alvo fácil, pelo que não querem perder tempo com essa pessoa. Querem alguém que não seja muito atento. Portanto, usam os erros ortográficos de propósito, para filtrarem as pessoas.

É uma ótima dica.

Outra boa dica relaciona-se com encomendas, como e-mails falsos de empresas de transportes. A pessoa verifica e acompanha a encomenda. Por vezes, os sites das empresas são até um pouco “mal-amanhados”. Se não estiverem à espera de encomendas, devem desconfiar.

O problema é se estiverem mesmo à espera de uma encomenda.

Recebo encomendas de todo o mundo. Devo ter cuidado [risos].