Hoje, Jonatas Fil tem 16 anos. Nascido em Santos, no estado de São Paulo, o adolescente está no primeiro ano do ensino médio e faz parte de uma nova geração de hackers que está crescendo: os competidores de Capture the Flag.

O Capture the Flag (CTF ou "Capture a Bandeira") é uma das competições mais presentes nos eventos hackers pelo mundo. Ela reúne desafios de Segurança da Informação, os quais misturam diferentes tipos de conhecimento e tecnologias, podendo variar entre diversos temas.

Jonatas Fil, quando tinha 15 anos, venceu a classificatória do Hackaflag, organizado pelo evento itinerante Roadsec

Normalmente, os CTF são organizados no modelo "pergunta e resposta": um competidor é desafiado a resolver um problema dentro de uma das categorias escolhidas e deve submeter ao sistema uma resposta — também chamada de "flag" — para ganhar e acumular pontos. Ao final, vence o desafiante ou a equipe que juntar mais pontos, ou bandeiras.

Jonatas Fil, quando tinha 15 anos, venceu a classificatória do Hackaflag, organizado pelo evento itinerante Roadsec. Isso significa que o garoto terá que subir a serra para participar da grande final em São Paulo no sábado, dia 11 de novembro.

roadsecJonatas Fil (direita)

Se a pouca idade de Jonatas é algo te assusta, saiba que o garoto se interessou por programação já aos 12 anos de idade. "Foram os jogos", explica o hacker. "Eu jogava bastante e sempre quis tirar vantagem de alguma forma. Isso me fez ser curioso e começar a buscar sobre cheating [códigos trapaças em games]. Então, eu descobri que seria necessário saber programar para, pelo menos, entender como funcionavam esses códigos e mais sobre o que eu estava fazendo".

Dois anos depois, aos 14, Jonatas conheceu o Capture the Flag, "eSport hacker" que despertou a atenção do garoto. Autodidata, como deixou claro em nossa conversa, Fil começou a estudar livros em PDF e acompanhar sites e canais no YouTube que falavam sobre a competição.

A maioria dos CTFs que são organizados por empresas/equipes brasileiras estão começando a ter um nível internacional

"Estudei e ainda estudo e acompanho canais como os do Ricardo Longatto, Rodrigo Costa, Boot Santos, John Hammond, LiveOverflow, Sunny Wear e Gynvael. Além deles, existem os sites CTFTime, CTF-BR, Codisec, Mente Binária e outros", deu a dica.

Apesar das diferentes modalidades presentes nos campeonatos de CTF, como desafios de criptografia (Cifra de Cesar), redes (captura de pacotes), forense (análise de dumps ou restauração de arquivos) e engenharia reversa (análise de binário, strings), Jonatas Fil é especialista em Web Exploitation. "Eu curto mais a Web Exploitation porque sempre estudei, mas também curto forense e estou aprendendo engenharia reversa", adicionou.

Para quem não sabe, os desafios de Web Exploitation exigem certo conhecimento com falhas WEBS, mas muita das vezes você pode encontrar hints [dicas] ou até mesmo a Flag [bandeira] olhando o código-fonte, procurando no robots.txt ou então alterando o cookie.

roadsecJ.

TecMundo: Você participa de alguma equipe? Algum time de CTF?

Jonatas Fil: "Sim, sou da RATF, Rage Against The Flag CTF Team."

TecMundo: E as competições no Brasil? Estão em alto nível?

Jonatas Fil: "A maioria dos CTFs que são organizados por empresas/equipes brasileiras estão começando a ter um nível internacional. Foi o caso do Pwn2Win, que aconteceu recentemente — é organizado por uma equipe brasileira. Teve também o 3DSCTF, que foi uma competição onde muitas equipes de fora do Brasil também jogaram."

TecMundo: E os desafios?

Jonatas Fil: "Estão aumentando cada vez mais a dificuldade. O nível técnico das equipes está crescendo, hoje em dia mais equipes conseguem ficar entre os 100 primeiros em CTF internacional."

TecMundo: Então deve ter sido muito bacana vencer a classificatória do Hackaflag...

Jonatas Fil: "Foi, foi muito legal. Isso porque eu nunca tinha ganhado uma competição presencial, uma competição que eu precisava estar lá fisicamente. Então foi muito legal e estava bastante disputado, pois os meus adversários também tinham experiência."

TecMundo: Alguma empresa já grudou em você após essa vitória?

Jonatas Fil: "Sim. Uma faculdade mostrou interesse e, se der tudo certo, vou estudar lá e estagiar no ano que vem. Um instituto também ficou interessado, mas como eles ficam longe de mim, não deu certo."

É interessante notar que Jonatas deixou claro que os pais apoiam sua participação nos campeonatos e o estudo realizado sobre os desafios. "Eles apoiam porque sabem que é uma coisa que eu gosto e que dá futuro", adicionando "mais ou menos" logo em seguida.

TecMundo: Que dica você daria para quem busca participar de campeonatos?

Jonatas Fil: "Pratique e leia bastante porque o CTF é muito bom para aumentar suas habilidades. Acompanhe blogs/fóruns e fique por dentro de novidades na área, não importa se você é novato ou se tem certo conhecimento, o CTF vai ser muito bom para você se divertir e aprender ao mesmo tempo.

Já para você começar a jogar CTF, basta curtir alguma área da computação e ter vontade, pois hoje em dia você encontra ótimos artigos, livros e videoaulas para aprendizagem na internet. Você pode treinar também em plataformas brasileiras online como: ShellterLabs, Devechio, Hackaflag... Ou então plataformas internacionais, que têm desafios tanto para iniciantes quanto para quem possui mais conhecimento. Se você curte Web Exploitation, Engenharia Reversa, Forense Computacional, Criptografia, Redes etc. Se você quiser aprimorar suas habilidades ou então aprender novas técnicas, eu recomendo que você conheça o Capture the Flag."

roadsecClassificatória Hackaflag (Fonte: Anderson Ramos/Facebook)

Um começo comum neste mundo

O que atrai crianças e adolescentes? Diversão. O mesmo pode ser dito quando falamos sobre hacking. No caso de Jonatas, os videogames foram um ponto de partida para um jovem que hoje já disputa campeonatos por aí. Porém, outras práticas também atraem esses adolescentes: invasões e defacing — invadir sites e alterar a aparência deles é uma prática muito comum entre coletivos hackativistas, nesse meio em que os jovens aprendem novas técnicas e ainda se divertem.

Jonatas Fil comentou que ainda tem amigos que praticam deface e invasão de sites, mas "resolveu priorizar os CTFs e pegar mais forte nos estudos".

Depois deste ponto é que o leque se abre entre os jovens: uma boa parte começa a participar de desafios como os Capture the Flag, outra parte envereda por outros caminhos da informática, e ainda existem os hackativistas, que continuam propagando ideais por meio de ações. Porém, uma pequena parcela cai para o black hat, desenvolvendo malwares, criando phishing ou outras ações cibercriminosas.

Por isso é bom sempre lembrar as empresas: contratem os hackers

Para se proteger de golpes, além da atenção, Jonatas comenta que usa o sistema operacional Linux. "Também uso alguns scanners para procurar por rootkits e outros malwares na minha máquina (eu utilizo o chkrootkit), além de algumas regras no IPTABLES". IPTABLETS é um aplicativo que permite a administração de tabelas no firewall do kernel Linux.

No sábado, Jonatas Fil estará em São Paulo para participar da final do Hackaflag, no Roadsec 2017. Obviamente, o título está na mira. Mais óbvio ainda, felizmente, está o futuro do jovem hacker: "Gostaria de fazer faculdade de Ciência da Computação, pós em Segurança da Informação e também gostaria de tirar algumas certificações. Ainda não escolhi, mas quero trabalhar na segurança". 

É bom sempre lembrar as empresas: contratem os hackers. Não os processem.

Cupons de desconto TecMundo: