O evento Bsides Lisbon tinha começado há meia hora e já Dinis Cruz estava a partilhar com a audiência um vendaval de ideias pouco comuns, mas que certamente mexeram com a cabeça de todos os que estavam a assistir. O português é consultor de segurança informática e um programador da OWASP O2, uma plataforma dedicada para profissionais deste segmento.

Dinis Cruz apresentou uma premissa simples: tornar Portugal num um nome grande no desenvolvimento de software através de práticas e de uma cultura mais hacker. Na prática o especialista defende que deve haver um maior investimento na área da segurança informática pois à medida que o mundo torna-se mais digital, quase todos os serviços – incluindo os públicos – já têm ou vão ter uma vertente digital.




Mas Dinis Cruz foi mais longe e conceptualizou alguns cenários que ajudariam a concretizar esta realidade. Preparado?

Serviço Português de Hacking

Em tempos já houve o Serviço Militar Obrigatório. Na perspetiva de Dinis Cruz este conceito devia sofrer uma atualização para o século XXI, o que resultaria num Serviço Português de Hacking destinado a jovens entre os 15 e os 21 anos.

O objetivo desta iniciativa passaria por atacar – no bom sentido – tudo o que estivesse relacionado com a rede de serviços públicos, participar em programas públicos de caça ao bug, revisão de código open source que fosse desenvolvido em Portugal, revisão de código que fosse considerado como crítico para Portugal e para as suas principais empresas e contribuir para projetos de open source com correções.

Na prática seria um investimento na formação em segurança informática, o que colocaria os jovens portugueses com um conhecimento médio muito superior aos dos jovens de outros países – e lançando assim as bases para um melhor desenvolvimento de software no futuro.

“A questão é: Portugal quer ser como o resto da Europa e ser apanhado num fogo cruzado?; Ou quer ser pró-ativo ao criar uma indústria que pode tornar-se muito poderosa, muito eficaz e bastante lucrável para Portugal?”, Dinis Cruz

Além do lado ‘académico’, esta proposta também teria um sentido bastante prático. Vamos imaginar que as empresas de serviços críticos em Portugal usam o software de código aberto ‘Exemplo 1’. Esta força de elite ajudaria a fazer com que este código fosse mais à prova de ataques informáticos, o que melhoraria os níveis de segurança e o desempenho das empresas portuguesas e consequentemente do país.

Dinis Cruz não apresentou uma proposta detalhadíssima sobre como este Serviço Português de Hacking seria sustentável, mas disse por exemplo que seria possível fazer algo semelhante canalizando 10% do orçamento militar para esta tarefa e para as propostas explicadas mais abaixo.

Parte da segurança de um país já passa pela componente de defesa digital – basta olhar para países como os EUA, China, Rússia e Coreia de Norte para se perceber que as grandes guerras também já se travam em frente ao computador.

Ministério da Programação

Dinis Cruz detalhou depois outro elemento do seu master plan: um Ministry of Code [todas as apresentações do BSides Lisbon foram feitas em inglês].

O consultor português defende que as principais atividades relacionadas com programação devem ser geridas ao mais alto nível e próximas do Governo – mesmo ao ponto do país ter um diretor tecnológico (CTO) e um diretor de segurança informática (CISO).

Este ‘ministro da programação’ teria ainda a seu cargo a criação de uma iniciativa intitulada de Code for Portugal, que seria em tudo semelhante ao Code for America. O objetivo deste projeto é diminuir o fosso no uso de tecnologias entre o sector público e privado.

Seria também o ‘ministro da programação’ quem estaria encarregue de gerir o Serviço Português de Hacking e teria liberdade para criar programas de caça ao bug e campeonatos de hacking.

Liga portuguesa de Hackathons

Portugal é bom no futebol. Há anos que isso é reconhecido um pouco por todo o mundo. Não é por acaso que um país de dez milhões de habitantes já teve três jogadores considerados como os melhores do mundo e ganhou recentemente o campeonato de futebol de seleções europeias.

Isto acontece porquê? Porque o futebol é um desporto praticado desde muito cedo, respondeu Dinis Cruz.

Do lado da tecnologia e da segurança, o objetivo passaria por criar uma Liga portuguesa de Hackathons, patrocinada pelo Governo e por empresas portuguesas. Ou seja, criar equipas de hackers que concorressem entre si em desafios semanais.

Ao ter uma liga profissional de hacking, Portugal poderia ser representado também em equipa nos maiores eventos de segurança informática do mundo – como a DEF CON.

Um dos aspetos mais interessantes desta liga é que podia ser uma mistura positiva de várias demografias da sociedade: juntando novos, idosos, estudantes, pessoas reformadas e até reclusos.



Instituto Português de Teste de Software

Como vimos, por exemplo, com o OLX, os programas de caça ao bug são vistos como uma forma prática e transparente de lidar com a segurança informática de uma determinada organização. São também factores que mostram que existe uma preocupação com a segurança digital dos utilizadores.

O consultor Dinis Cruz diz que os programas de bug bounty devem ser uma atividade nuclear tanto para as empresas, como para o próprio Governo. Mas para que esta situação não fique fora do controlo é preciso haver regras a cumprir e alguém a coordenar.

O Instituto Português de Testes de Software seria a organização responsável por coordenar todas as ações na área da caça aos bugs, correção de vulnerabilidades, denúncia de falhas e outros elementos.

Da teoria à prática

Muitos podem questionar certamente o conceito e os elementos que compuseram a apresentação de Dinis Cruz. Outros podem dizer que são propostas que levarão décadas até serem concretizadas. Os restantes poderão até dizer que são ideias que não têm capacidade para ver a luz do dia.

Mas o elemento mais importante da apresentação foi a consciencialização para a importância que a segurança informática vai representar para um país, mesmo ao nível do Estado. Nesse aspeto a apresentação do perito português conseguiu certamente captar a atenção de todos os que estavam na plateia e deixou-os a pensar.

O que Dinis Cruz apresentou é uma conceptualização, um ponto de partida. A partir das suas ideias, mais ou menos certeiras, conceitos podem ser desenvolvidos e novas estratégias podem ser pensadas. Agora o debate deve ser feito de forma mais abrangente.

Será assim tão difícil de imaginar um futuro no qual vão existir países com Ministros da Tecnologia? Com este nome talvez já não seja uma ideia tão difícil de imaginar. E o futuro passará mesmo por aqui: basta ver que até ao nível local, nas câmaras municipais e nas juntas de freguesia, já existem pessoas dedicadas a pensar a estratégia digital desses organismos.

Se já existe nos níveis menores dos poderes de decisão, será uma questão de tempo até que haja uma necessidade nos níveis superiores.

Os interessados podem consultar aqui na íntegra a apresentação de Dinis Cruz.