No dia 10 de janeiro anunciava ao mundo através da sua conta no Twitter que tinha entrado no Hall of Fame da Google reservado para os caçadores de bugs. Oito dias depois congratulava-se por ter conseguido entrar no top 25 dos investigadores de segurança do programa Cobalt, um dos mais conceituados na caça ao bug.
O seu nome? Fisher. Mas Fisher é o nome pelo qual é conhecido no mundo online. No mundo real chama-se Miguel Regala, é do Porto e tem 26 anos.
Desde novo que tem um gosto especial por perceber se é possível forçar uma máquina, um dispositivo ou um software a ter uma atitude para o qual não foi concebido. Esta é para Miguel Regala a definição de hacking e quando dizemos que começou novo, não é uma forma de expressão.
“Quando era mais pequeno, aquilo que gostava muitas vezes de fazer era pegar nas coisas, desmontá-las, ver o que faziam, ver se podiam fazer algumas coisas extra. Acho que o meu primeiro contacto foi com aquelas máquinas gráficas e eu para aí com 11 ou 12 anos estava a tentar programar aquilo, a ver se conseguia fazer um minijogo. Claro que os jogos que fiz eram super básicos: questionários. Lembro-me que fiz o Quem Quer Ser Milionário, uma versão muito barata daquilo…”, recorda Miguel Regala, em entrevista ao FUTURE BEHIND.
O gosto pelo hacking foi progredindo ao longo dos anos e é assim que o investigador português explica o seu interesse pela área da segurança informática. Ainda quando andava na escola, mas uns anos depois das experiências com as calculadoras, Miguel Regala começou a sentir-se atraído pelos computadores: não só a nível digital, mas também ao nível da engenharia social.
“Eu comecei a fazer esse tipo de coisas, não era propriamente por malícia, mas às vezes quase por curiosidade para perceber se de facto aquilo dava para fazer ou não”.
“Muito facilmente, por exemplo, arranjava as passwords de administrador da rede e depois tinha acesso a todos os computadores, a toda a rede. Pronto, é assim: parecendo que não, essas coisas são engraçadas pois dá um bocadinho de pica, dá adrenalina a fazer essas coisas. E é sobretudo uma forma de tentar bater a tua curiosidade, porque nunca sabes o que está à frente daquilo, nunca sabes o que está por trás e no fundo queres descobrir”.
Foi enquanto tirava o mestrado em informática na Faculdade de Engenharia da Universidade do Porto (FEUP) que Miguel Regala reconheceu, por fim, que queria mesmo enveredar pela vertente de segurança informática. Atualmente é pentester na Blip, uma software house que está sediada no Porto.
É nos tempos fora do trabalho que se dedica à caça de bugs. O número de horas que dedica a esta atividade vai variando de dia para dia: às vezes são duas horas, outras vezes são três, ao fim de semana chega a dedicar oito horas a vasculhar por falhas de segurança em sites e serviços online. Ou como Miguel Regala gosta de dizer, chafurdar.
Foi justamente enquanto ‘chafurdava’ com mais dois amigos que lhe passou a vulnerabilidade da Google diante dos olhos. Não era sequer aquilo que estava à procura, mas uma vez identificado um potencial bug, a cabeça só sossega quando há certeza para aquilo que foi encontrado.
Miguel Regala já reportou perto de cem vulnerabilidades enquanto caçador de bugs
“Essa parte da Google é interessante pois estava com mais dois colegas a encontrar vulnerabilidades num outro site. Mas pelo caminho o Google passou-me pelas mãos e estava lá uma coisita e decidi reportar. E de facto era uma coisa válida e fui lá parar [Hall of Fame], o que foi ótimo”.
Notou-se de imediato pelo cuidado no discurso de Miguel Regala que a vulnerabilidade ainda não foi tornada pública. E muito provavelmente pode nem chegar a ver a luz do dia. “De qualquer forma aquilo que posso dizer é que foi na drive.google.com. É sempre um bom sítio para um encontrar uma vulnerabilidade”, comentou Miguel Regala.
A denúncia desta vulnerabilidade valeu-lhe um lugar no Hall of Fame que a Google tem para os caçadores de bugs. Isso teria de significar algo, certo? “Não foi obviamente nada de supercrítico, não afeta os dados de clientes. Se isso tivesse acontecido, pronto, era mais do que o Hall of Fame, era um reconhecimento internacional”, acrescentou.
A vulnerabilidade reportada pelo investigador português foi prontamente identificada pela Google. Bastou meio dia para Miguel Regala obter uma resposta da equipa de engenharia da tecnológica a dizer que o problema estava a ser sanado.
O caso da Google contrasta com outras vulnerabilidades reportadas por Miguel Regala, por exemplo, no programa Hacker One – em alguns casos já lá vai quase um ano desde que o problema foi comunicado às empresas e do lado de lá nem uma resposta. Por isso é que chovem elogios para a estrutura da Google.
“Primeiro a equipa de segurança deles é mesmo muito boa. Aquilo é a nata da nata, são basicamente rock stars incluídos todos numa equipa. São super-céleres, são muito rápidos a responder. (…) E envolvem-te muito nessa questão, ou seja, não te limitas a reportar, mas depois fazem um acompanhamento contínuo contigo para dizer no fundo o estado da situação. ‘Olha, de facto isto parece vulnerável, mas não sabemos o impacto. Podes esclarecer?’”.
“Depois vão-te envolvendo nas diferentes fases do processo, mesmo a pedir-te conselhos na parte de mitigação, mesmo depois pedindo para fazeres o retest, para confirmares que não está vulnerável. No fundo isso é espetacular, tens ali um envolvimento que de outra forma não terias e acabas por desenvolver aí uma relação quase pessoal com pessoas que no fundo podia parecer que são bastante inacessíveis, mas que na verdade estão ali”.
Se a entrada no Hall of Fame da Google é uma meta pessoal de destaque, a rápida ascensão que Miguel Regala tem protagonizado na plataforma Cobalt também mete respeito. Iniciou-se há menos de um ano, em maio de 2016, a convite do também bug hunter português David Sopas.
Agora Miguel Regala já figura no top 25 dos investigadores com melhor pontuação. Como? Com muito trabalho e submissão de falhas de segurança.
“No Cobalt temos vários programas onde nós podemos submeter as vulnerabilidades. É sobretudo web. No fundo a forma como se processa é como se fosse o Hacker One. Ou seja, os clientes colocam lá os detalhes dos seus sites, muitas vezes em ambientes específicos para nós testarmos. No fundo podemos bater o site à vontade, sabendo que temos carta-branca para fazer o que for preciso”.
O próximo objetivo do investigador português é passar para o top 10 do Cobalt, o que colocaria dois portugueses nesta lista do programa de caça ao bug – David Sopas ocupa atualmente a primeira posição.
Uma vez recebeu uma recompensa por um bug que já tinha sido reportado, apenas pela forma profissional como o fez. Esta foi a sua melhor recompensa, confessa Miguel Regala
Ainda não referimos até agora a palavra ‘dinheiro’, um tema muito associado à atividade de caça ao bug. Basta lembrar o exemplo dos três portugueses – Filipe Reis, Fábio Pires e Vítor Oliveira – que encontraram várias falhas na aplicação da Uber, o que lhes rendeu quase 16 mil euros. Há ainda vários exemplos de investigadores que dedicam-se inteiramente aos bug bounties e conseguem fazer disso vida.
“A questão de receber rios de dinheiro é sempre muito relativa. Depende sobretudo do tempo que dedicas a isto. O problema de ser, no fundo, bug bounty hunter a tempo inteiro, é que as coisas podem correr bem ou podem correr menos bem. Às vezes deparas-te com programas ou consegues partir o site muito facilmente e há outros que já são sites bastante maduros e não vais encontrar assim nada de especial”
“É assim: essa ideia é muito fixe, é muito bonita e tenho a certeza que há pessoas que de facto recebem muito dinheiro. Aquilo que nem toda a gente percebe é que isto também é um bocado bola de neve, ou seja, quanto mais coisas encontras, mais experiência ganhas por um lado e também mais reputação ganhas. Isso quer dizer que mais facilmente és convidado para programas privados ou outros tipos de consultoria”, comenta Miguel Regala.
Apesar desta incerteza, fazer vida dos bug bounties é um objetivo para o jovem do Porto.
“No fundo é uma motivação que eu tenho. Neste momento não acho que é imediato, estou a tentar desenvolver outras skills que requerem eu estar fisicamente em alguns sítios. Gosto muito de ensinar e de ter contacto com pessoas. Mas de facto no futuro é isso que quero fazer. Primeiro gosto de trabalhar por mim próprio, embora goste de trabalhar com equipas, gosto de saber que eu próprio sou o meu chefe. E de facto nesta área específica, dão-te uma oportunidade excelente para trabalhares remotamente, onde queres, como queres”.
“Acho que isso é algo que muito poucas pessoas fazem. E as pessoas que fazem parecem que são muito felizes a fazê-lo. Tens casos de pessoas que trabalham só para o Hacker One e é como disseste: ganham rios de dinheiro, fazem o que querem, trabalham de sítios exóticos, na praia, sem problema nenhum. É algo que está nos meus planos, sem dúvida”.
Perguntámos a Miguel Regala se considera a hipótese de dentro de alguns anos estar do outro lado da barricada, isto é, integrar a equipa de segurança de uma grande tecnológica como a Google, ajudando a resolver os problemas que são submetidos pelos caçadores de bugs.
“Estar na Google, para dizer a verdade, já não é o fascínio que era há anos. Já aprendi que há coisas mais importantes e embora estar numa empresa desse género seja bastante prestigiante, não precisas de fazê-lo para ter prestígio e para ser bom”, respondeu.
Um desafio que parece interessar muito mais ao especialista em segurança informática é a vertente de ensino. Um curso de e para hackers, seria uma possibilidade? “Adorava. Eu e mais uns colegas que sei que dariam excelentes professores. Gostava muito. Mas ainda é preciso fazer muito trabalho, principalmente cá em Portugal”.
As críticas que Miguel Regala faz são direcionadas para o ensino e para a falha que existe entre o que está a ser lecionado e o que está a acontecer no mundo real. “A verdade é que a internet e a segurança são coisas que se movem muito rapidamente. E tu tens que ter a capacidade não só de te moveres, mas também teres a capacidade para ir aprendendo. Não podes estar à espera de ensinar coisas de há dez anos e que isso ainda seja relevante”.
Uma forma que o bounty hunter tem encontrado para mitigar este ‘bug’ é através da realização de eventos dedicados à segurança informática. Ainda não são muitos em Portugal, mas vão existindo e de forma regular. No Porto, onde Miguel Regala se movimenta mais, existe o OPOSEC – uma comunidade de segurança informática que já tem perto de 300 elementos.
“Falamos sobre todo o tipo de temas de segurança, ataques recentes, vulnerabilidades encontradas, nova investigação que as pessoas estão a fazer. Até coisas menos técnicas, como coisas legais, como a lei portuguesa está feita em termos de segurança. Já que não existe mais nenhum sítio, mais nenhuma forma das pessoas partilharem esse conhecimento, gostam muito de vir ter connosco”.
A conversa com Miguel Regala ficou por aqui, mas muito provavelmente vai voltar a ouvir falar do nome deste investigador – ou do seu outro nome – Fisher, não esquecer. É que antes da entrevista, este bounty hunter já estava a ‘brincar’ com um hipotético par de falhas de segurança que existe num serviço com milhões de pessoas. Mas essa é uma história que fica para outra ocasião.
