Está cada vez mais comum encontrarmos notícias sobre ataques hacker e vazamentos. Seja por conta de ações positivas ou ilegais, mais pessoas estão ficando interessadas sobre o assunto e, além disso, muitos jovens também buscam entrar no mundo da programação. É possível aprender a mexer com ferramentas hackers tanto em instituições de ensino quanto até em grupos de estudo, de maneira autodidata ou com a ajuda de coletivos — vamos comentar sobre alguns ao longo desta matéria.

Com o número de hackers crescendo no Brasil, os campeonatos que envolvem amadores e profissionais também vêm se tornando cada vez maiores. O principal deles — que acontece no Brasil — é o Hackaflag organizado pela Roadsec, que já atinge cerca de 18 capitais nacionais. Outros eventos também acontecem por aqui, como o CryptoRave, o Bluehack e o 3DS-CTF.

Você vai descobrir atalhos indicados por pessoas que vivem neste mundo

Se você tem algum interesse em entrar nesse mundo e receber dicas sobre como se preparar para algum campeonato, estamos aqui para ajudá-lo. Por isso, o TecMundo conversou com Jhonathan Davi, 20 anos, CEO da Insight Security e membro de elite do time Red Team Freakin' Maniacs.

Davi participa de competições específicas do Roadsec desde 2014 e acabou como finalista na edição final de São Paulo em 2016 — além de campeonatos internacionais que acontecem semanalmente na internet.

O TecMundo também conversou com Rose Cavalcante, do Coletivo Bucaneiras do Partido Pirata; e com Ingrid Spangler, do grupo PYLadies BH. Mulheres que deixam claro que, se você pensava que programação é um barco só para homens, está redondamente enganado.

  • Abaixo, você acompanha a nossa conversa com Jhonathan Davi, Rose Cavalcante e Ingrid Spangler.

Davi durante a Roadsec 2016

TecMundo: O que despertou a vontade de programar e participar de campeonatos?

Jhonathan Davi: "Desde pequeno sempre tive interesse em tecnologia. Mas só comecei a programar e estudar de verdade aos 16 anos, ou seja, há quatro anos. Para quem está iniciando na área, a chave de tudo é a curiosidade! Eu sempre fui curioso em entender como as coisas realmente funcionam. No início, como eu gostava bastante de jogos FPS (first person shooter), existiam alguns cheats para esse jogos onlines, e sempre eu tive a curiosidade de entender como eles funcionavam e interagiam com o jogo. A partir daí, fui me aprofundando mais e mais: estudando sobre protocolos de redes, linguagem de programação, sistemas operacionais, ataques hackers e como eles funcionavam, por exemplo. Tudo de maneira autodidata, pela internet mesmo."

Rose Cavalcante: "Eu nunca havia participado de um hackathon e queria testar a minha habilidade, então decidi participar deste, que era promovido por um coletivo feminino, pois já tinha ouvido sobre a dificuldade que as mulheres enfrentam nesses eventos por serem minoria. Apesar de o tema ter sido saúde da mulher, não havia restrição quanto à participação de homens."

Ingrid Spangler: "Eu não venho do mundo hacker, mas desde criança sempre gostei de puzzles e desafios de lógica. Conheci os CTFs por dois colegas do meu curso de Ciência da Computação que me apresentaram a plataforma brasileira shellterlabs, há menos de um ano. O formato dos jogos me despertou interesse e foi na edição de 2016 da Roadsec SP que conheci o campeonato e toda a comunidade incrível de hackers, jogadores e jogadoras brasileiras — como as meninas do meu time, Pyladies —, além da oportunidade de ganhar prêmios e do grande aprendizado que cada desafio traz."

TecMundo: E o que você recomenda para as pessoas que querem entrar nesse mundo?

Davi: "A principal dica é que a pessoa tem que ter em mente que ela não vai estudar para ser 'hacker'. A pessoa vai estudar porque ela gosta da área e tem vontade de aprender sobre isso. Caso essa pessoa comece a estudar com o pensamento de se autointitular 'hacker' e sair gritando isso para o mundo, ela está na área errada. É preciso ter muita vontade de aprender e estudar de verdade, com pensamento 'fora da caixa'. Sobre as áreas específicas, é bom estudar sobre redes, lógica de programação, linguagem de programação, sistemas operacionais, criptografia etc."

Ingrid: "A cada flag capturada eu aprendo uma técnica ou ferramenta nova que, às vezes, acaba se tornando muito útil no meu curso. Por exemplo, as challenges de reversing requerem grandes conhecimentos sobre linguagens de baixo nível, o que a maioria dos meus colegas acham chato e difícil, mas eu aprendi a dominar da melhor maneira: me divertindo. Então, divirta-se."

TecMundo: Quais dicas você daria para os iniciantes que buscam se preparar para um campeonato?

Davi: "Existem alguns projetos brasileiros com plataformas de CTF próprias e com vários challenges (desafios) em diversas categorias. Eles podem ser utilizados como fonte de treino e estudos."

Ingrid: "Iniciantes, meninas ou meninos, não tenham medo de começar, procurem a comunidade, e que os jogos comecem."

Rose Cavalcante (esquerda) e Ingrid Spangler (direita)

Modalidades de campeonatos

O Capture the Flag (CTF ou "Capture a bandeira) é uma das competições mais presentes nos eventos hackers pelo mundo. É uma competição que reúne diversos desafios de Segurança da Informação, os quais misturam diversos tipos de conhecimento e tecnologias, podendo variar entre diversos temas.

Existem tanto desafios para você treinar quanto campeonatos que entregam prêmios

Normalmente, os CTF são organizados no modelo "pergunta e resposta": um competidor é desafiado a resolver um problema dentro de um das categorias escolhidas e deve submeter ao sistema uma resposta — também chamada de "flag" — para ganhar e acumular pontos. Ao final, vence o desafiante ou a equipe que juntar mais pontos.

Para treinar, muitas pessoas participam de campeonatos de CTFs internacionais que acontecem semanalmente no site ctftime.org, referência em campeonatos estilo capture the flag. As categorias existentes em eventos hacker são as seguintes:

  • Reversing: desafios de engenharia reversa. São desafios que testam a capacidade de entender ou alterar o comportamento de binários.
  • Crypto: desafios de criptografia procuram testar o conhecimento de sistemas criptográficos e o emprego de problemas com criptografia simétrica/assimétrica, dentre outros.
  • Forensics: são desafios voltados para a recuperação de dados ou informação em dispositivos de armazenamento, celulares, computadores ou até mesmo no tráfego de rede. Problemas que envolvem análise post-mortem e análise de memória RAM também são comuns nesta categoria.
  • Web hacking: agrupa desafios relacionados a tecnologias web e suas vulnerabilidades.
  • Net: análise de pacotes, protocolos de roteamento e investigação de dump de rede.
  • Prog: desafios PPC (Professional Programming Code) são desafios que testam a habilidade de abstração, modelagem e resolução de problemas (similar aos problemas apresentados em olimpíadas de programação) utilizando linguagens de programação como C/C++, JAVA e Python, dentre outros.
  • XPL - Binary Exploitation: desafios que medem a habilidade de explorar programas para alterar o seu fluxo normal de execução. Cenários de buffer/stack overflow e outros casos de corrupção de memória são comumente encontrados nesta categoria de desafios.
  • Misc: desafios que não se encaixam nas demais categorias.

Rtfm

Onde desenvolver as habilidades

Claro, ninguém aprende tudo de uma vez só. Como qualquer outra área de conhecimento, é necessário aprimorar as próprias habilidades, estudar e se testar. Para isso, estudantes e profissionais de todo o mundo participam de desafios online em plataformas nacionais e internacionais.

Você pode testar as suas habilidades em desafios online

No âmbito internacional, você pode testar os seus conhecimentos nas seguintes plataformas: pwnable.kr, reversing.kr, canyouhack.it, challenges.re, id0-rsa.pub, ringzer0team.com, root-me.org, www.pwnerrank.com. Além destas, existe o CTFTIme (ctftime.org), uma referência mundial que possui ranking com a pontuação dos times participantes.

Já entre as nacionais, as plataformas mais conhecidas são as seguintes:

  • CTF-BR: ctf-br.org
  • Shellter: shellterlabs.com
  • SucuriHC: ctf.sucurihc.org
  • Hacking n'roll: Hackingnroll.com

Hack a flag

Campeonatos pelo Brasil

Agora que você conheceu os campeonatos online, vamos lhe mostrar alguns desafios que acontecem em eventos. Eles podem ser disputados tanto individualmente quanto em equipes — e também vamos lhe apresentar algumas. 

O maior dos eventos hacker é o Roadsec, já que acontece durante o ano inteiro em vários estados brasileiros — o TecMundo palestrou na edição SP 2016, com o tema "Jornalismo e Universo Hacker: uma parceria que deu certo".

Hoje, o Roadsec é o maior expoente de campeonato no Brasil

"O Roadsec é um roadshow itinerante que leva um dia inteiro de atividades e conteúdo sobre hacking, segurança da informação e tecnologia por todo o país. O evento viaja por capitais brasileiras com palestras, cursos, oficinas e também campeonatos. Além disso, o Roadsec criou uma edição PRO feita para profissionais seletos que pensam e decidem segurança da informação", explica o site oficial. Foram 18 capitais brasileiras percorridas pelo evento itinerante em 2016.

Roadsec

Mas não é só o Roadsec que une programadores, estudantes e profissionais, além de hackers. O Brasil tem mais eventos a cada ano. Outros deles são:

  • RTFM: www.rtfm-ctf.org
  • H4ck4fl4g: hackaflag.com.br
  • BlueHack: www.bluehack.org
  • CryptoRave: www.cryptorave.org
  • 3DSCTF: 3dsctf.org

O 318br, DESEC, Sucuri Capture The Flag (conhecido como 3DSCTF) é uma competição cujo objetivo é testar as habilidades hackers dos participantes em computação envolvendo segurança e buscas no Google. Os desafios cobrem um bom número de categorias (pwn, web, e cripto, por exemplo) e, quando resolvidos, cada um possui uma string (conhecida como flag) que é submetida a uma plataforma para gerar uma pontuação dentro da competição. Em geral, CTFs são uma boa forma de aprender e expandir seus conhecimentos em computação e segurança de forma segura hospedado em um ambiente legal (no sentido jurídico e divertido da coisa) que é jogado por diversos times em todo o planeta por pura diversão.

3DS

  • H2HC – Hackers to Hackers Conference: www.h2hc.com.br
  • BSidesSP: www.sp13.securitybsides.com.br
  • YSTS – You Shot The Sheriff: www.ysts.org
  • Pwn2Win CTF: www.pwn2win.party

Inspirado no Hacking n’ Roll, o time brasileiro Epic Leet Team, formado em 2012 para jogar a segunda edição do HnR, criou seu próprio CTF em 2014, utilizando elementos de CTFs Jeopardy e Attack/Defense.

Pwn2win

Outros campeonatos podem ser disputados em equipe. Confira alguns exemplos para você entrar em contato se tiver interesse em conhecer mais sobre o trabalho:

  • RTFM: www.rtfm-ctf.org
  • ELT: ctf.tecland.com.br
  • 318br.sh: 318br.sh
  • RATF: ratf.com.br
  • LHC_[LondrinaHackerClub]: www.londrinahackerclub.com.br
  • RTFM (Red Team Freakin’ Maniacs): http://rtfm-ctf.org/
  • Pyladies: https://www.meetup.com/pt-BR/PyLadiesSP/
  • PR070NW4R3: @SnakeTomahawk, @F0lds, @Heaven, @Wise, @keer0, @k0g'M4w, @cah0s, @Pr0m1scu0s, @n3k00n3
  • FireShell: fireshellht.com

PyLadies é um coletivo formado apenas por mulheres

Se você quiser ficar por dentro de todas as novidades e pegar dicas diretamente com grupos de variado tipos, pode participar do grupo Hackaflag no Facebook. Abaixo, você acompanha o ranking de equipes nessa modalidade de desafio, de acordo com o Roadsec.

Ranking

Tem alguma dúvida sobre o mundo hacker ou sentiu falta de alguma coisa? O TecMundo está aqui para ajudá-lo. Então, escreva nos comentários qualquer pergunta que vier à sua mente.