A pwn2own é considerada por muitos como a maior competição de hacking do mundo. Tem entre os concorrentes alguns dos melhores investigadores de segurança informática da atualidade. Chega a atribuir mais de um milhão de dólares em prémios nos eventos de três dias. Já foi palco para a revelação de algumas das mais graves vulnerabilidades jamais descobertas em smartphones, routers, browsers… até um carro da Tesla já foi pirateado nesta competição. E o campeão em título é português: chama-se Pedro Ribeiro, tem 37 anos e é natural de Coimbra.
O investigador de segurança informática faz parte, juntamente com o polaco Radek Domanski, da equipa Team Flashback, vencedora da última edição do pwn2own, que decorreu em Tóquio, Japão, em novembro – mas toda a competição realizou-se online, por causa da pandemia. Bastou a demonstração de duas falhas em dois routers para conseguir obter o maior número de pontos da competição e bater toda a concorrência.
Pense no pwn2own como uma espécie de olimpíadas para hackers. Se no desporto esta coroação só acontece de quatro em quatro anos, no mundo digital, onde a descoberta de novas falhas e vulnerabilidades em hardware e software acontece a um ritmo quase diário, a competição realiza-se, por norma, três vezes por ano. Sim, isso significa que há três equipas campeãs por ano – e hoje, segunda-feira, 5 de abril, é o último dia de Pedro Ribeiro como campeão em título.
A grande vitória
“A minha verdadeira capacidade é olhar para algo, um telemóvel ou uma aplicação, e abri-lo. No caso do hardware, abri-lo mesmo fisicamente, se for software, desconstruí-lo, e tentar encontrar vulnerabilidades através dessa desconstrução. É tentar perceber como funciona e tentar subverter a maneira como funciona”, explica Pedro Ribeiro, em entrevista à Exame Informática.
Este método é conhecido como engenharia reversa (reverse engineering). Imagine, por exemplo, um puzzle já montado. O que Pedro faz é olhar para o puzzle, perceber em quantas peças se divide o puzzle, desmontá-lo e montá-lo por forma a gerar uma imagem diferente daquela para a qual o puzzle foi criado. E no mundo da segurança informática esta desconstrução e construção permite encontrar falhas no software, mas vai mais longe – também permite usar funcionalidades legítimas para criar um comportamento malicioso. “Duas funções legítimas separadas não têm problema algum, mas encadeadas, podem produzir um resultado inesperado”, sublinha o investigador português.
Mas o que aqui se explica num par de parágrafos, traduz-se, na prática, em muitas horas e meses de trabalho. Para ganhar a pwn2own de Tóquio, em novembro de 2020, o trabalho começou em julho. A organização do evento – a Zero Day Initiative, da empresa Trend Micro – divulga a lista das áreas de investigação e dos alvos que vão estar disponíveis na competição e os hackers preparam, com antecedência, as suas descobertas. No dia da competição, têm cinco minutos para colocá-las em prática.
Mas na semana que antecedeu a pwn2own de Tóquio, tudo parecia perdido para a Team Flashback, que tinha decidido focar-se na exploração de routers. Vários fabricantes de routers lançaram atualizações para os aparelhos nas vésperas da grande competição, que na prática deitaram por água abaixo muito do que Pedro e Radek tinham descoberto. “Já estávamos exaustos, fisicamente e mentalmente”. Apesar do contratempo, a equipa apresentou-se na mesma a concurso.
Como em todas as competições, aqui também é preciso ter um pouco de sorte. Os hackers candidatam-se para a exploração de um determinado equipamento. Se houver mais do que um candidato, há um sorteio entre os hackers, para definir a ordem pela qual as equipas podem ‘atacar’. Se o primeiro executar um ataque de sucesso, mesmo que o segundo o consiga fazer, isso já significa ganhar menos pontos. A Team Flashback escolheu alvos que nenhuma outra equipa quis: um router Netgear Nighthawk R7800 e um router TP-Link AC1750 Smart Wi-Fi.
No primeiro, descobriram duas falhas que lhes permitiam explorar a rede WAN do router, aquela que liga o router à internet como uma malha global de acesso e informação. No segundo, fizeram o mesmo, mas tiveram de juntar três bugs para fazer a execução remota de código (RCE) funcionar – ou seja, conseguiram ganhar total acesso ao router e sem necessidade de contacto físico com o equipamento. Num destes routers, o português e o polaco conseguiram inclusive instalar uma porta de entrada maliciosa (backdoor) permanente. Isto significa que mesmo que o utilizador reiniciasse o router, os atacantes continuavam a ter acesso ao aparelho – só mesmo uma reinstalação do software resolveria o problema.
Estas falhas, nas mãos de cibercriminosos, permitiriam, por exemplo, redirecionar os utilizadores para páginas web com software malicioso, através da alteração do Sistema de Nomes de Domínio (DNS). Além de conseguirem ter uma visão de todos os aparelhos ligados àquele router e da utilização que estavam a fazer da internet, ficariam com uma porta escancarada para a instalação de malware dedicado para cada um desses equipamentos de forma fácil. E na prática, quanto mais grave for a vulnerabilidade demonstrada, maior é a pontuação concedida aos participantes.
“Ficámos eufóricos”, lembra Pedro Ribeiro. “Ganhámos uma competição a nível mundial, não há outra maneira de o pôr e obviamente isto enche-nos o ego, dá-nos muito prazer. E dentro daquela competição sentimo-nos os melhores, apesar de lá haver hackers muito bons. Inclusive alguns que são muito mais famosos”, detalha, confidenciando que chegaram a sentir medo quando viram os nomes de alguns participantes.
Importa salientar que esta é uma competição de hacking de divulgação responsável – conta inclusive com o apoio das empresas cujos equipamentos e software vão ser atacados. O objetivo é que as empresas possam resolver vulnerabilidades que até então são desconhecidas, tornando os produtos mais seguros.
Como a competição foi feita online, e devido às regras restritas impostas pela Tailândia no controlo da pandemia, Pedro não teve ainda a oportunidade de celebrar presencialmente o título de campeão com o seu parceiro. Mas já tem recebido mensagens de Radek a perguntar “se ainda falta muito para julho”, altura em que ambos voltam a trabalhar juntos na preparação da próxima participação no pwn2own.
A defesa do título
A pwn2own de Tóquio foi a mais recente edição da competição a ser realizada. Por norma, existe uma outra em janeiro, em Miami, mas que neste ano, por causa da pandemia, não se concretizou. A próxima começa já amanhã, 6 de abril, em Vancouver, no Canadá. E é por isso que hoje é o último dia de Pedro Ribeiro como atual campeão da pwn2own. Das três que se realizam todos os anos, a de Vancouver é a que concentra mais atenções – é aqui que são reveladas as vulnerabilidades de software como o Google Chrome, Firefox e até dos carros da Tesla.
Então, por que razão não defende a Team Flashback o título? “Para participar nesta competição, tipicamente, é preciso trabalhar o ano todo nesses alvos. Portanto, teríamos que deixar as outras duas competições, que dão-nos mais prazer, são mais a nossa especialidade”. Ou seja, para participar agora na edição de Vancouver, o trabalho já teria que ter começado em abril de 2020, o que por seu lado significaria, muito provavelmente, que nunca teriam ganhado em Tóquio.
Apesar de agora ter um título ambicionado por muitos hackers a nível global e que atesta a sua capacidade e perícia num segmento altamente complexo e competitivo, o envolvimento de Pedro na pwn2own nem sequer começou da melhor forma. Tinha sido convidado, em 2019, por uma outra pessoa para começar uma equipa, pessoa essa que acabou por desistir e, portanto, deixar Pedro sozinho. Foi aí que o português decidiu convidar Radek Domanski, líder de segurança automóvel na BMW, com quem já tinha trabalhado anteriormente.
“Primeiro, decidimos os alvos a atacar, qual a ordem em que vamos atacar e quanto tempo alocamos a cada um. Depois fazemos uma avaliação do hardware ou do software e começamos a parti-lo em bocados, de uma maneira lógica e a dar bocados a cada um – tu és responsável por este, eu sou responsável por aquele. Falamos um com o outro diariamente, claro, há muita discussão como deve imaginar. É complicado, porque eu e o Radek somos amigos, mas temos uma personalidade que embate muito. No final ficamos chateados um com o outro, é uma novela, mas depois acaba por correr tudo bem e os resultados falam por si”, explica o conimbricense.
Além de eficaz, esta é uma equipa lucrativa. A vitória em Tóquio foi a terceira participação da dupla no pwn2own – competição na qual, em cerca de um ano, ganharam, cada um, 100 mil dólares, cerca de 85 mil euros ao câmbio atual, como compensação pelas vulnerabilidades descobertas. E este nem sequer é o ‘full time job’ destes investigadores.
Um hacker em construção
Pedro Ribeiro é natural de Coimbra. Confidencia-nos que em adolescente chegou a “brincar com vírus”, mas rapidamente lembra que não tem uma daquelas histórias de autodidata da segurança informática desde tenra idade. Estudou Engenharia Informática no Instituto Superior Técnico durante cinco anos. “Atrasei-me uns anitos como acontece frequentemente em Portugal”, brinca. Até esta altura, tinha interesse pela cibersegurança, mas estava longe de imaginar que era aí que faria nome a nível global. Esse caminho só se começou a materializar em 2009, ano em que foi tirar um mestrado na universidade londrina Royal Holloway. “Quando comecei a olhar para Inglaterra, para os cursos disponíveis, comecei a aperceber-me que segurança era uma boa aposta”.
Mas como o curso no Instituto Superior Técnico tinha sido, passamos a redundância, técnico – por integrar muita programação e algoritmos, como explica Pedro –, acabou por explorar uma ligação mais empresarial da segurança informática. Ao fim de dois anos a trabalhar para a consultora KPMG, apercebeu-se que, no fundo, queria era voltar para a parte técnica: “Estava com inveja dos meus colegas que eram hackers a sério”. Começou a fazer alguns trabalhos, nos tempos livres, relacionados com a descoberta de vulnerabilidades, e rapidamente o gosto e o desafio tornaram evidente que o seu trabalho na consultora tinha os dias contados.
“Comecei a ir mais dentro do hacking a sério. Comecei a encontrar vulnerabilidades, a ir a cursos, a aprender coisas mais técnicas, comecei mesmo a interessar-me pela área”. Trabalhou cerca de um ano como freelancer, até fundar a sua própria empresa nesta área, a Agile Information Security, que trabalha como tecnológica de testes de penetração (pen testing) para clientes de todo o mundo.
Em 2017, saiu do Reino Unido, pois como grande parte do trabalho que fazia já era remoto, decidiu regressar a Coimbra. Souberam-lhe bem os meses que passou junto da família, mas ao mesmo tempo sentia a falta do ritmo e da experiência de viver noutro país. Praticante de Muay Thai, arte marcial de origem tailandesa, desde 2015 que ia com regularidade àquele país asiático, como parte dos seus treinos. As praias também eram um atrativo forte, mas foi quando conheceu a agora esposa que assentou arraiais na Tailândia, onde tem vivido desde o final de 2017.
Apesar das muitas vulnerabilidades que descobre, nem todas têm o mesmo lugar na memória de Pedro Ribeiro. “Uma das mais interessantes que descobri foi num protocolo de comunicação num software de controlo industrial, um software que permite controlar dispositivos industriais. Esse software foi escrito por uma empresa, não era um protocolo público. A pouco e pouco fui entendendo como é que o protocolo funcionava, como é que as duas partes falavam uma com a outra. Tive que reescrever o protocolo até conseguir injetar-me no meio e conseguir controlar esse dispositivo… que numa situação normal daria, por exemplo, para desligar o sistema de controlo de segurança de uma fábrica e levá-la a explodir”, conta. “É um cenário muito imaginado, mas não é impossível”.
Quando questionado sobre novos objetivos, o especialista em segurança informática diz que pode parecer estranho, mas a única ambição que tem é continuar a divertir-se a ‘hackear’. “No fundo, gosto de acordar todos os dias e sentir prazer no que faço. E ser bem recompensado por isso. Tenho muita sorte, mas obviamente também é muito trabalho. Desde que isso continue, acho que estou feliz”.
