João Barreto, um dos fundadores da SysValue e apaixonado pela Segurança da Informação desde os 19 anos de idade que também foi um dos principais responsáveis pelo aparecimento da AP2SI (Associação Portuguesa para a Promoção da Segurança da Informação), fala-nos da falsa segurança em que as nossas informações são partilhadas e até que ponto cada um de nós está consciente de todas as implicações na segurança da informação. Partilha também a sua opinião sobre grupos como “anonymous” e “lulzsec”.
Revista PROGRAMAR (RP): Fale-me um pouco de si e como decidiu seguir a área da segurança de informação.
João Barreto (JB): O gosto pela segurança da informação surgiu quando ainda esta mal estava definida, tal designação não fazia parte do léxico diário – muito menos em Portugal – numa altura em que com um pouco de iniciativa e curiosidade conseguia-se investigar e descobrir os segredos que faziam os computadores funcionarem. Estes não eram, nem de perto nem de longe, protegidos (no concreto ou potencialmente) como hoje em dia. Não o eram tecnicamente, do ponto de vista de controlos disponíveis, nem o eram administrativamente pois administradores de sistemas e staff associado não estavam sensibilizados para o efeito. Tinha 19 anos, estudava Informática na Faculdade de Ciências da Universidade de Lisboa e a rede universitária era o ambiente natural e ideal para jovens curiosos testarem os limites do perímetro com que outros condicionavam a sua intervenção. Esta curiosidade sobre como tudo funcionava era alimentada por escritores como William Gibson, numa vertente romanceada e idealista, e magazines como a 2600 que proporcionavam uma visão técnica da coisa.
O meu primeiro emprego foi nos laboratórios de investigação da HP em Bristol, UK, a investigar e desenvolver técnicas de elevar a tolerância a faltas de sistemas e o bichinho ficou. A partir dessa altura andei sempre mais ou menos próximo do tema (inteligência artificial, desenvolvimento de sistemas de testes automáticos, redes de comunicações) até que participei na criação de uma empresa dedicada ao tema que ainda hoje persiste, a SysValue. Presentemente, sou um dos responsáveis desta empresa onde tenta-se desenvolver e manter valências end-to-end no domínio da segurança da informação. As áreas técnicas onde tenho maior envolvimento são auditorias de processos (testes de intrusão e avaliações técnicas são responsabilidade de outra área na SysValue), gestão de segurança da informação, continuidade de negócio e recuperação de desastres, sensibilização à segurança e, por improvável que soe, o desenvolvimento de sistemas (seguros, pois claro) pois programar é uma disciplina que gosto particularmente.
Paralelamente, sou ainda docente convidado da Faculdade de Engenharia da Universidade Católica onde lecciono módulos na Pós-graduação em Segurança em Sistemas da Informação.
RP: Diga-nos de forma breve quem é a AP2SI, qual a sua missão e objectivos?
JB: A AP2SI é uma associação sem fins lucrativos que tem como missão a promoção da segurança da informação junto de todas as audiências que identificarmos como necessitadas de tal. É uma missão que se escreve numa linha mas que implica um esforço hercúleo, permanente e complexo. Tal será atingido, na nossa percepção, pelo desenvolvimento de um conjunto vasto de iniciativas que vão desde a sensibilização do cidadão comum sobre as ameaças a que está sujeito no seu dia-a-dia (quando navega na Internet, quando transporta dados pessoais no seu telefone ou portátil, etc.) até ao reforço de competências de profissionais a trabalhar na área da informática para que, sistematicamente e com qualidade, produzam sistemas e soluções intrinsecamente seguros, não dependentes de remendos e quick fixes, resilientes e dotados dos demais atributos que associamos à segurança da informação.
A AP2SI pretende crescer, naturalmente, atraindo para as suas fileiras todo e qualquer indivíduo com skills e competências alinhados com o seu ADN e propósito – independência, rigor e qualidade. Todas estas valências são necessárias para que possamos produzir materiais de sensibilização (na forma de revistas, newsletters, sites, etc.), organizar eventos, orientar profissionais na procura de competências qualificadas, apoiar esforços de regulação profissional que eventualmente surjam e, porque não, participar em esforços governamentais na área.
A AP2SI é uma iniciativa ainda recente, promovida por 13 indivíduos mas que é, e pretende sê-lo cada vez mais, virada para a comunidade e nunca para si própria. Consequentemente, procuramos outros que se queiram associar e participar nas várias actividades que estamos a desenvolver.
RP: Considera que em Portugal o público está sensível para as questões de segurança na Sociedade da Informação?
JB: Penso que está hoje mais sensível que há, por exemplo, dois anos atrás. Porém, acredito que muitos não acreditam ainda o quão simples é serem prejudicados pessoal ou profissionalmente, em termos financeiros ou reputacionais, por não terem cuidado com a utilização que fazem dos seus sistemas e, principalmente, com a sua informação. A comunicação social tem tido a sua quota-parte desta melhoria ao produzir peças que remetem para incidentes como os gerados por grupos de hacktivistas como os Anonymous ou os Lulzsec ou, num cenário mais patético, miúdos que acedem e partilham fotografias íntimas de figuras públicas. A comunidade sabe que situações destas são a ponta do icebergue mas o público ainda não tem tal percepção.
RP: Numa altura em que se vê cada vez mais notícias na comunicação social, ligadas a grupos como “anonymous” e “lulzsec”, o que nos pode dizer sobre ambos os grupos?
JB: Tudo o que possa ser dito sobre os grupos que menciona, e todos os demais da mesma natureza, são opiniões baseadas no efeito das suas acções e nas suas declarações dado que pouco se sabe sobre a constituição destes grupos e da sua verdadeira agenda. Pessoalmente, considero que na globalidade tratam-se de jovens idealistas que, apoiando-se em skills técnicos, tentam atrair holofotes para situações ou contextos onde consideram estarem a ser realizados abusos. Nem sequer discutindo o facto de, na vasta maioria dos casos e países, estarem a realizar acções condenáveis à luz da lei, um problema de base é que a noção de abuso é muito relativa pois poderá ir desde a existência de um regime absolutista até à privação de liberdade de alguém como Julian Assange. Se a opinião pública poderia até descomprometê-los em certas situações, noutras nem por isso. O meu maior receio é que estes grupos tenham efectivamente uma agenda e objectivos que não são do conhecimento dos seus operacionais ou, pior, que sejam distintos dos que estes operacionais pensam que são. Eventualmente, serão o bode expiatório de crimes económicos ou, porque não, geopolíticos devido à sua ingenuidade e vontade em acreditar num algo que imaginam maior que eles.
RP: Constantemente vemos o termo “hacker” conotado com “crime”, o que pensa sobre isto?
JB: É uma pena pois o termo “hacker” tem, historicamente, um significado que não poderia estar mais longe disso. Porém, como a percepção tem hoje mais impacto que a verdade, vivemos essa realidade. Dado que combater tal confusão é um esforço desproporcional (além de provavelmente inglório) ao benefício que daí adviria, penso que as pessoas deveriam menos preocupar-se com o que lhe chamam e mais com o que fazem. Se a curiosidade, a procura pelo conhecimento, a experimentação e a descoberta forem realizados com cautela, em ambientes controlados, sem dolo, sem prejuízo de terceiros e sem ir contra a lei seremos hackers sem nunca sermos criminosos.
RP: A sociedade de uma forma “genérica” parece sentir-se segura e sentir que a informação que disponibiliza on-line é segura. Concorda com esta ideia?
JB: Concordo. É gritante a exposição que muitas pessoas fazem da sua vida e a displicência com que tratam a sua informação. Algures entre a ignorância e a confiança em terceiros, penso que na maioria das vezes os abusos de que as pessoas se sentem alvos deveram-se à sua incapacidade de se protegerem e não a terem sido vítimas de ataques técnicos sofisticadíssimos. Desde colocarem tudo online e não configurarem os parâmetros de privacidade de sistemas como o Facebook até levarem o PC para arranjar a uma loja de centro-comercial com todas as suas fotos íntimas, declarações de IRS digitalizadas e até, porque não, ficheiros com passwords de acesso a sistemas de homebanking, estou certo que acontece de tudo. E como nem toda a gente é séria, na informática como em tudo na vida, os problemas acontecem.
RP: E as redes sociais, têm algum papel importante na segurança da informação?
JB: Têm-no duplamente. Por um lado, ao não serem os primeiros a promoverem o acesso controlado à informação de uns utilizadores pelos outros pois dependem precisamente dessa interacção e conectividade para prosperarem, contribuem para o estado em que vivemos. Tal tem provocado que controlos e opções de privacidade surjam apenas quando a sociedade civil ou governos mais rigorosos e atentos assim obrigam.
Por outro lado, dada a sua penetração na sociedade (o Facebook, por exemplo, tem 900 milhões de utilizadores registados), deveriam ser um canal privilegiado de promoção e sensibilização da segurança da informação ou, pelo menos, da privacidade. Não o serão, pelo primeiro facto apontado, até que sejam obrigados. E apenas o serão quando todos nós o forçarmos, nomeadamente a sociedade civil que é o seu mercado e alvo principal. O “como” é o que temos que descobrir e, no que a tal respeita, instituições como a AP2SI têm algum trabalho a desenvolver.
RP: Considera importante que se aposte mais na segurança ao nível do desenvolvimento (produção de código seguro)?
JB: Não apenas importante mas absolutamente fundamental. Se no passado as infraestruturas eram a fraqueza principal das TIs das organizações, hoje temos efectivamente a situação inversa. Dois factores contribuíram simultaneamente para tal estado de coisas. Por um lado, os fabricantes de soluções infraestruturais produzem produtos muito mais robustos e configurados, out-of-the-box, de forma mais segura. Por outro, o desenvolvimento de código é hoje em dia realizado por muitas mais pessoas, menos sensibilizadas, cujo resultado executa em ambientes que protegem menos – nativamente, entenda-se – o código produzido. 80% das vulnerabilidades presentes em sistemas hoje em dia são aplicacionais. Tal número tem de ser dramaticamente reduzido. O único modo – pelo menos, o mais fácil – é ensinar quem desenvolve código a fazê-lo intrinsecamente mais seguro.
RP: Para terminar, existe alguma mensagem que queira deixar aos nossos leitores?
JB: Duas. Aos que eventualmente pensem aderir a movimentos como os Anonymous, Lulzsec e afins, que optem antes por colocar os seus conhecimentos e competências a apoiar iniciativas transparentes, públicas, orientadas ao cidadão, sérias. Elas existem. Se não encontrarem nenhuma que lhes agrade, que nos contactem na AP2SI que temos ideias e falta de pessoas. Ao cidadão em geral, que se proteja, protegendo a sua informação. Que se informe sobre como a sua privacidade é garantida em sistemas que utilize e que armazene e transporte a sua informação de forma segura e controlada, não a partilhando facilmente.