João Lucas Brasio está entre os maiores hackers do mundo. Entre outras honrarias, já hackeou o Pentágono e o Exército americano, e está no Hall da Fama dos hackers que mais encontraram falhas nos sistemas do Google — tudo de forma convidada, como parte de programas de cibersegurança.
Há dez anos ele presta consultoria para Google, Facebook e outras empresas do Vale do Silício, por meio da White Hat Hackers, cujo nome é uma gíria para “hackers do bem”. Entre outros trabalhos, ajudou o Google a identificar falhas no sistema do carro autônomo.
Por: Mariana Barbosa, 18 de dezembro de 2020.
Em 2019, com a Lei Geral de Proteção de Dados avançando no Congresso Brasileiro, Brasio achou que era hora de explorar o mercado brasileiro e fundou a Elytron. No início, era difícil convencer clientes brasileiros a confiar em um hacker para identificar as suas vulnerabilidades, diz Brasio. Isso mudou desde a entrada em vigor da LGPD, em setembro. — Os hackers estavam só esperando a lei para atacar — diz ele. A explicação está nas pesadas multas para o caso de vazamento. Sai mais barato ceder à chantagem de um hacker.
Em janeiro, Brasio lança uma nova empresa, a Hawk, que se propõe a democratizar o acesso a ferramentas de cibersegurança. Desenvolvida junto com a Squadra Ventures, incubadora de startups que investiu na Elytron. A Hawk vai funcionar como um marketplace, com módulos de prevenção, detecção e remediação de ataques e que podem ser instalados com a facilidade de um antivírus, sem necessidade de um especialista em cibersegurança. As ferramentas da Hawk dificultam, mas não garantem que o invasor não vai entrar. O foco é proteger para, em caso de invasão do sistema, coibir as ações do atacante, impedindo que ele copie ou comprometa os dados.
A Elytron tem crescido bastante nos últimos meses e você está lançando uma nova empresa. Essa onda de ataques que estamos vendo, contra diversas empresas, hospitais e até o Judiciário, estão estimulando a demanda?
Esses ataques chamam a atenção. O tema agora está na pauta do CEO, do conselho das empresas. Mas há dois fatores: o aumento dos ataques, que cria uma consciência sobre a importância de investir em segurança da informação, e a Lei Geral de Proteção de Dados (LGPD). Tem havido um aumento exponencial dos ataques desde a vigência da lei, em setembro. As pessoas achavam que com a lei iria haver mais investimento em segurança e menos ataque. Acontece o inverso. Os hackers estavam esperando a vigência da LGPD para atacar.
João Lucas Brasio, White Hat Hackers
Como assim?
A lei criou um nicho para o mercado negro.
Como assim uma lei que aumenta o crime?
A lei é importante, não estou criticando, mas ela causa um efeito colateral inevitável por causa de sanções muito pesadas. O atacante hoje tem uma barganha. Ele te invade e, no privado, ameaça te expor: “A LGPD vai dar problema pra você. Que tal você me pagar 20% da multa no privado bitcoin e eu fico quieto?”. Os clientes não ligam querendo fazer prevenção. Nos últimos dois meses, um terço deles já vem atacado, no meio do incidente. Antes da lei, se vazasse algum dado, você tinha um problema de imagem e resolvia no marketing. Agora, dependendo do que for, o Ministério Público pode fechar seu negócio. A empresa então paga para não ser exposta.
Leis de proteção de dados estão estimulando ataques no mundo todo?
Sim. Mas aqui no Brasil, como as empresas investem pouco, os crackers (hackers criminosos) estão nadando de braçada. Mas aqui a multa até que é das mais tranquilas: 2% do faturamento anual e até R$ 50 milhões por incidente. Na Europa é até 4% do faturamento, sem limite. A Equifax foi multada em US$ 700 milhões ano passado após ataque hacker, o Facebook, em US$ 5 bilhões, no vazamento comercial para a Cambridge Analytica.
Uma grande empresa de cibersegurança, a FireEye, também foi atacada recentemente. Qual o impacto desse ataque?
Ele trouxe mais vulnerabilidade ao expor as técnicas de proteção aos ataques. O vazamento acabou dando acesso a várias ferramentas da FireEye. Não tenho embasamento para dizer se elas eram de nível militar, mas são armas. Os crackers saíram mais armados do que entraram.
E o que você faz para evitar que isso não aconteça com você?
A gente estuda muito o mercado, a dark web, se infiltra em grupos de atacantes. Temos equipes de Pesquisa e Desenvolvimento para entender para onde o crime está caminhando para criarmos novas ferramentas. A gente tem que estar sempre alerta e sempre à frente.
Existe algum sistema 100% invulnerável?
Não existe. Em um mundo hiper conectado, ainda mais com 5G e internet das coisas, você tem 1 milhão de dispositivos e superfícies para atacar. Então se existe uma empresa que está 90% blindada, outra 70% e outra 50%, o atacante vai focar na mais fácil. Quando você se protege contra a maior parte dos ataques, o cara desiste no caminho. O atacante se enxerga como um empresário, só que é um criminoso. O tempo dele é valioso. Estamos todos vulneráveis? Sim, é um fato. Mas a gente tem que tomar cuidado com a frase de que não existe nada 100% seguro para não ficar usando isso como desculpa. O ambiente é complexo, mutável. As fronteiras estão aumentando. A gente está informatizando o SUS, os tribunais: tudo isso cria mais superfícies de ataque. E quanto mais fronteira, mais buraco.
Quão vulnerável é o governo brasileiro?
A gente tem uma parte filantrópica na consultoria em que doamos serviços para autarquias e órgãos públicos que são vitais à segurança nacional: Polícia Federal, Polícia Rodoviária, Ministério da Educação, transporte público de SP. Estamos fazendo agora para o Supremo Tribunal Federal. O que a gente vê, aí falando de forma ampla, sem entrar em nenhum caso específico, é que há órgão gigantescos dos quais a nação inteira depende que não têm uma pessoa focada em segurança. Por meio da Lei de Acesso à Informação, obtivemos dados sobre orçamentos de segurança da informação de diversos entes públicos. O caso mais abissal é da Casa da Moeda, que não é nosso cliente, e que gastou R$ 17 mil em cibersegurança em 2018.
O sistema eleitoral brasileiro é vulnerável?
Esse é um assunto complicado. Trabalhamos na apuração de 2018, na sala cofre do TSE. É lógico que do ponto de vista técnico é vulnerável. É vulnerável como tudo do ponto de vista técnico é. O problema quando você fala isso é dar munição para o outro lado dizer que então é tudo fraudulento. É complicado de se fraudar em massa, mas é possível. Esse assunto tem que ser tratado sem politização, em fóruns científicos, para que a gente aprimore o sistema com soluções como o voto impresso, por exemplo. E assim, se precisar auditar, que se audite. E como fazem nos EUA, você obriga o partido a pagar. Temos que encontrar meios que garantam estabilidade e mais segurança. Dizer que é vulnerável não quer dizer que a eleição X ou Y foi invadida. Mas nada indica que no futuro isso não possa acontecer no futuro.
Vocês fizeram trabalho voluntário no Superior Tribunal de Justiça (STJ), que sofreu ataque cibernético no mês passado?
Não. Nenhum dos órgãos em que estamos trabalhando foi alvo de ataque.
Qual a motivação dos ataques ao STJ e ao TSE?
Quando se trata de órgãos com muita visibilidade, é difícil identificar quem atacou. Eu diria que são vários ataques simultâneos, desde o adolescente de 16 anos aprendendo algo de segurança a grupos com motivação política e outros com motivação financeira.
No caso do STJ, a gente acredita que foram grupos do exterior que só queriam dinheiro. Mas no sistema do STJ já existiam vulnerabilidades que já eram exploradas por grupos de políticos e organizações criminosas, e que ficavam na surdina lendo coisas, vazando. O ataque foi ruim pra muita gente. Agora que eles arrumaram a casa, muitos grupos poderosos perderam acesso ao sistema.
Foi um mal que veio para o bem então? Como eles conseguiram uma última cópia de backup, sim. Mas se não tivessem encontrado teria sido catastrófico para o Brasil em um nível que não se tem ideia. Foi um mal que acabou vindo para o bem, trouxe uma consciência e fez o público e o privado pensarem em mais seguran.
Referência Bibliográfica:
O GLOBO. ‘Onda de ataques hackers é efeito colateral da LGPD’, diz brasileiro que já hackeou o Google e o Pentágono. Disponível em: https://blogs.oglobo.globo.com/capital/post/onda-de-ataques-hackers-e-efeito-colateral-da-lgpd-diz-brasileiro-que-ja-hackeou-o-google-e-o-pentagono.html. Acesso em: 18 dez.