É impossível falar sobre o mundo hacker sem incluir Jeff Moss. O cara, conhecido também como The Dark Tangent, entrou neste universo um pouco antes dos 16 anos e hoje é um dos ícones de muitos jovens e adultos que estão adentrando — ou bem consolidados — nas teias do hacking e ciberativismo. Hoje, aos 41 anos de idade, ele não só é parte do Conselho Consultivo de Segurança Interna dos EUA, mas também é um dos principais fomentadores de novas mentes com os eventos DEF CON e Black Hat.
Após uma entrevista com a "lenda da cibersegurança" John McAfee, o TecMundo foi convidado para bater um papo com Moss. O cara não estava no Brasil, então conversamos via telefone durante uma parte da tarde de terça-feira (11). Aliás, apesar de ainda não estar fisicamente por aqui, é preciso notar que ele vem para o Brasil, especificamente São Paulo, para o Roadsec 2016.
O Roadsec começa no dia 18 de novembro e terá, além de diversas atrações do mundo hacker, uma palestra especial com Jeff Moss. Além de dividir alguns insights, o cara vai entregar em mãos para o campeão nacional do Hackaflag (simulação de invasão de sistemas) uma passagem para Las Vegas, nos EUA, e um ingresso VIP para a edição de 25 anos da DEF CON, que é a maior conferência hacker do mundo — se você ficou interessado, o Roadsec tem ingressos que partem de R$ 80 e você pode saber mais detalhes aqui.
A conversa que tivemos com Jeff Moss trouxe alguns pensamentos interessantes que você poderá saber mais agora. Quem sabe, com ele em solo brasileiro, não trocamos mais algumas palavras para ir mais fundo em alguns temas. Por agora, acompanhe o nosso papo aqui embaixo.
Jeff Moss
Jeff Moss e a juventude
A primeira pergunta que realizamos para Jeff, obviamente, foi voltada para o início de sua vida no mundo hacker. Moss deixou claro que as primeras tecladas aconteceram entre os 13 e 14 anos, mas nada relacionado "seriamente" ao hacking.
Seguindo a tendência que permeia até hoje, em que os ciberativistas, hackers e crackers entram neste mundo enquanto vivem a adolescência, Jeff explicou de maneira concisa as diferenças entre épocas.
TecMundo: quando começou a se considerar um hacker?
Jeff Moss: "Podemos dizer que aos 16 anos. Mas é preciso notar que a palavra "hacker" tinha um significado diferente aquela época. Foi apenas quando os criminosos começaram a usar computadores para praticar crimes que a mídia resolveu usar a palavra "hacker" para defini-los. Porém, parece que agora está voltando a ser "ok" ser chamado de hacker.
Veja, é um problema para a maioria das pessoas, já que, por causa da mídia, ser hacker se tornou algo ruim, algo malicioso. Existe um problema semântico hoje: nós não citamos os trabalhos das pessoas como "esse é o encanador do bem" e "esse é encanador do mal". Não temos uma palavra especial para definir um encanador criminoso ou não, só podemos definir se ele tem boas habilidades ou não. E com os hackers deveria ser a mesma coisa"
Naquela época, o começo dos anos 90, nada era realmente contra a lei quando falamos sobre computadores
TecMundo: Ok. Ainda falando sobre você, pode comentar o motivo do apelido The Dark Tangent?
Jeff Moss: "Uma coisa que aprendi há muito tempo no mundo do hacking enquanto era uma criança, é que se você cometer algum erro na vida — ou no hacking —, você pode refazer a mesma ação e tentar acertar dessa vez. Você pode inventar uma nova maneira de lidar e começar tudo do zero.
Quando eu era novo, eu usava um nome. Então, se eu errasse, bastava mudar o meu nome e continuaria protegido. Sobre o Dark Tangent, acontece que eu peguei o nome de uma revista em quadrinhos que só haviam produzido 10 mil cópias. O nome dela era "D'Arc Tangent", então eu só transformei o "D'Arc" em "Dark". Posteriormente, eu cheguei a encontrar o criador do quadrinho e ele adorou que eu estava usando o nome. Ainda, ele acabou me entregando uma cópia autografada do quadrinho"
TecMundo: é uma história interessante, você deveria colocar na sua biografia.
Moss: "Sim (risos). Obviamente existem coisas mais importantes no mundo hacker, mas isso faz parte da minha vida, da minha história. É parte de quem eu sou"
TecMundo: Falando no seu passado, geralmente todos nós temos um passado negro que costumamos nos arrepender. Você já fez algo nos primórdios de sua carreira que você não se orgulhe?
Jeff Moss: "É, com certeza eu fiz. Todos nós fizemos (risos). Eu tive muita sorte em aprender vendo outras pessoas errando, então eu tomei cuidado para não cometer os mesmos erros. Eu vi muitos amigos enfrentarem problemas.
Hoje as leis são tão estritas que eu estou muito preocupado com a geração hacker
Mas é preciso lembrar algo importante: naquela época, nada era realmente contra a lei. Praticamente, não havia nada na internet para roubar. Podemos dizer que eram mais casos de "exploração inocente". Se estragasse alguma coisa, praticamente não haveriam consequências. Naquela época, as maiores empresas na internet eram as operadoras telefônicas, e foram elas que muitas pessoas exploraram.
Hoje as leis são tão estritas que eu estou muito preocupado com a geração hacker. Existem sentenças mandatórias nos EUA. Quando eu era criança, os dados eram facilmente perdidos ou trocados. Hoje, os dados são armazenados para sempre, o Facebook tem os seus dados pessoais e a política de "nome real", então como você pode recomeçar? Como essas crianças poderão cometer erros para aprender o caminho correto? Isto não está certo"
"D'Arc Tangent"
DEF CON e Black Hat
A DEF CON é a maior conferência hacker do mundo. Criada por JeFf Moss em junho de 1992, ela perdura até hoje e recebe, no mesmo espaço, milhares de profissionais de segurança da informação, jornalistas, advogados, pesquisadores, cientistas, funcionários de governos e estudantes. No geral, a conferência aborda diversos temas, entre eles, arquitetura de computação, hacking, modificação de hardware, invasão de sistemas móveis etc. A feira é como um Eldorado para hackers.
Em 2017, a DEF CON comemora 25 anos de existência. Então, Moss está pensando em algo especial para ela.
- Ainda há o Black Hat, um evento de menor escala e voltado para palestras e treinamentos. Ele existe de 1997 e é voltado para pesquisadores de elite
TecMundo: Você pode nos falar algo sobre a DEFCON de 25 anos?
Jeff Moss: "Claro! Vamos anunciar um tema nas próximas semanas e fazer um grande evento para a comunidade. Além de ótimos palestrantes, teremos vários atendentes que vão fazer parte de diversos eventos, workshops e vilas hackers. Tudo que estamos tentando fazer nestes anos é dar um palco para as pessoas. Dar uma oportunidade de sucesso independente da ideia que essa pessoa tenha.
Os aeroportos que são os locais verdadeiramente perigosos: você tem pessoas com dinheiro e empresários
Vamos realizar a DEFCON em um novo hotel, no Caesar's Palace, que é um hotel bem legal. Quisemos um local especial para os nossos 25 anos. Tem mais espaço e poderemos fazer melhor uso. Vamos focar em maneiras que pessoas podem se encontrar, podem interagir entre si. Pense em como nós costumamos dividir as pessoas em grupos, 'como fazer essas pessoas conhecer outras e novas pessoas?'. Esse será o cerne, além de aprender algo novo. É quase uma conferência dentro de outra conferência"
TecMundo: Falando em aproximar pessoas, você já pensou em organizar uma conferência de hackers ou fazer uma edição da Black Hat aqui no Brasil?
Moss: "Nós fizemos um Black Hat "mobile" em... São Paulo? Está certo? Foi há uns três anos"
TecMundo: Sim, São Paulo. Foi a única edição?
Jeff Moss: "Sim, nós ainda estamos explorando a possibilidade de fazer mais. Mas, na época, ficamos com a sensação de que não funcionou tão bem. Obviamente, está no radar, mas não tenho certeza. Em São Paulo, tentamos ser mais específicos do que generalistas, focando em 'mobile'"
TecMundo: Existem muitas notícias sobre pessoas hackeadas durante o Black Hat, por exemplo. Como aquele caso do jornalista que desafiou os envolvidos. É perigoso visitar eventos hacker?
Jeff Moss: "Eu não acho que é mais perigoso do que estar sentado em uma cafeteria. Veja, os aeroportos que são verdadeiramente perigosos: você tem pessoas com dinheiro e empresários, além disso, hotspots WiFi. É o local perfeito.
Conferências estão no mesmo barco, mas, enquanto há pessoas "do mal", também a pessoas "do bem" nestas conferências buscando por erros e problemas e rodando ferramentas que procuram por atividades maliciosas e ataques"
TecMundo: É uma coisa bem interessante essa divisão entre hackers "do bem" e "do mal", estes últimos conhecidos como crackers. Você tem observado um aumento no número de hackers “do bem”, visíveis, que trabalham para o bem-estar geral da população ou ainda há uma divisão muito forte entre a comunidade underground e o “mundo real”?
Moss: "Eu acho que existem mais hackers trabalhando para o bem. Principalmente depois que as companhias começaram a pagar salários para esses caras; existem mais oportunidades de trabalho hoje. Enquanto o tempo passa, existem mais pessoas formadas e estudantes de segurança da informação. Há mais pessoas com a capacidade de combater os crackers.
Porém, no mesmo compasso, também existem mais caras maus. Se você olhar as estatísticas de ransomware, os criminosos estão fazendo muito mais dinheiro; é isso que alimenta o cenário underground. Os cibercriminosos querem desenvolver mais e novos ransomwares, então existe uma verdadeira corrida entre o bem e o mal aqui"
O governo não vai vencer essa luta, então algo precisa acontecer
TecMundo: e o que você acha sobre isso?
Jeff Moss: "Eu acho muito fascinante. Por que faz mais de 15 anos que falávamos de ransomwares e não entendíamos o motivo de ninguém prestar atenção nisso. Também não fazia muito sentido para nós o real motivo de os criminosos estarem trabalhando com algo assim. Mas, infelizmente, os cibercriminosos sabiam o motivo de estarem mexendo com isso há muito tempo.
Como trabalho no Department of Homeland Security Advisory Council dos EUA, eu vejo muitas organizações governamentais com interesses conflitantes. É por isso que muitas pessoas reclamam que eles não são rápidos o suficiente. Eu acho que nós estamos chegando em um ponto que exige uma reforma, porque os caras maus estão muito rápidos. E se você olhar para o futuro, eles se tornarão ainda mais rápidos. Os ataques ficarão mais sofisticados ainda, então eu não sei como o governo poderá acompanhar isso, enquanto os cibercriminosos vão ficando mais rápidos e melhores. O governo não vai vencer essa luta, então algo precisa acontecer"
TecMundo: O que precisa acontecer?
Moss: "Eu penso que nós precisamos nos reorganizar. Não sei quando vai acontecer, mas deve acontecer. Eu não acho que apenas o 'status quo' vai funcionar"
DEF CON
Similaridades entre Brasil e EUA
TecMundo: E como você enxerga o cenário de hacking e segurança da informação do Brasil?
Jeff Moss: "Veja, você tem um grande país com uma grande indústria. Eu não sei se vocês tem o mesmo problema de infraestrutura. A maior parte da infraestrutura nos EUA é privada. Eu acho que no Brasil isso é comandado pelo Estado, não? Se realmente for o caso, como o governo trata a própria responsabilidade? O governo pode processar ele mesmo se fizer algo errado, como perder a informação de seus usuários?"
TecMundo: Sim, concordamos. Porém, no Brasil, também são várias operadoras que cuidam de nossos dados. Um dos problemas que temos por aqui, por exemplo, é o caso do WhatsApp, que vem sendo bloqueado constantemente.
Moss: "Isso! Sim, eu vi muitas notícias sobre isso"
TecMundo: Isso causa raiva em muitos usuários. Aparecem medidas extremas. Por exemplo, mês passado, entrevistamos John McAfee. Ele disse com todas as letras para os consumidores jogarem fora os próprios smartphones. O que você pensa sobre isso?
Jeff Moss: "(Risos). É realmente frustrante porque as fabricantes de dispositivos móveis e os governos não dão qualquer incentivo para você ter a sua privacidade. Então, as fabricantes querem coletar os seus dados o máximo que conseguirem, como quais recursos você usa, o que você faz e onde você vai. O motivo? Porque eles querem vender mais smartphones.
Você pode até jogar fora o seu smartphone, mas tenha em mente que você é apenas um produto
E as operadoras, historicamente, são mantidas pelos governos. Então, no que toca a segurança ou interesses de Estado, eles não teriam que lhe dar qualquer privacidade. Eles querem ter acesso aos seus dados, querem ler mensagens, emails e ver para quem você liga. E os governos pensam da mesma maneira já que querem controlar a população.
Agora, não há um grupo nesse ecossistema que está preocupado com os direitos humanos de seus usuários. Então, os usuários estão crescendo, aprendendo e descobrindo que são um produto. Que são monitorados constantemente e, de certa forma, se sentem abandonados"
TecMundo: e sobre jogar fora o smartphone?
Jeff Moss: "É uma escolha errada achar que "se você não quer isso, não use um celular". Veja, isso podia ser algo viável há 50 anos. Porém, se você não tem um celular hoje e não usar algumas aplicações, você está excluído da sociedade. É como dizer há algumas décadas: "Ei, não ouça o rádio ou não assista televisão". Isso não encoraja, porque existem tão poucas opções para você lutar por sua privacidade.
Você pode até jogar fora o seu smartphone, mas eu diria: tenha em mente que você é apenas um produto. Toda vez que você instala um app que é gratuito, eles vão encontrar alguma maneira de te monetizar e eles vão tentar coletar algum dado seu. Você sempre tem que ter suspeitas sobre isso.
Eu quero enviar o mínimo possível de dados para a Google
É algo que eu sempre digo: você poderia dar US$ 50 ou US$ 10 para o Facebook por ano. Eu daria esse dinheiro para o Facebook não rastrear os meus movimentos. Isso é muito frustrante. Para conter isso, você pode navegar de maneiras mais anônimas, usar apps de mensagens como o Signal para uma boa encriptação etc.
Quando eu baixo apps ou atualizo o sistema, por exemplo, eu passo muito tempo desligando recursos. Por exemplo, enviar automaticamente as minhas buscas e os números que me ligam para a Google. É preciso ficar atento porque tudo isso é ativado por padrão. No final das contas, é lidar com o pensamento: Ei, eu quero enviar o mínimo possível de dados para a Google"
Jeff Moss pensa um pouco diferente de John McAfee
Internet das Coisas
Por definição, Internet das Coisas (IoT) é uma "revolução tecnológica" que já está ocorrendo. Ela existe para conectar todos os objetos que você usa na sua rotina, como aparelhos eletrodomésticos, eletroportáteis, máquinas industriais e meios de transporte.
Com a sua vida inteira conectada, muitos perigos também existem. Moss não deixou isso escapar:
TecMundo: Existe algum ponto que você gostaria de ver ser comentado na mídia e ele não é?
Jeff Moss: "O maior ponto de controvérsia é a internet das coisas. Isso porque os ataques de negação de serviço (DDoS) estão crescendo e se tornando cada vez piores. Ao mesmo tempo, vemos mais e mais produtos de IoT que são desenvolvidos sem segurança. Eles são desenvolvidos para chegar rapidamente ao mercado e vender bem, com a máxima 'barato, acessível e cheio de recursos'.
Por causa disso tudo, teremos uma nova onda de vulnerabilidades em redes. É igual o começo dos anos 90, contudo, agora há muito mais risco online. No começo dos 90, não havia nada para roubar. Agora, há muito mais coisa.
Teremos uma nova onda de vulnerabilidades em redes
Por causa disso, eu acho que o modelo atual de software 'sem segurança' vai sofrer muito ataque. Você não pode ter todas essas fabricantes produzindo produtos sem qualquer confiança. Especialmente quando, na internet das coisas, existem produtos como 'detectores de fumaça', por exemplo. Imagine que alguma atualização é feita de maneira errada e o detector não funciona, uma casa é queimada por completo, seu cachorro morre e o porta-voz da empresa apenas diz: 'Oh, me desculpe. Foi um bug de software'. Não há segurança com o software hoje.
Eu acho que os consumidores, igual quando compram carros, esperam que os produtos funcionem. Então haverá algo, talvez não agora e não nos próximos cinco anos, essa confiança no software chegará. A indústria de software não pode ser a única que não passa confiança"
Será muito assustador quando isso acontecer
TecMundo: pode dar algum exemplo atual?
Jeff Moss: "Se você olhar, os carros autônomos: eles são um centro de dados sobre rodas. E eles, inicialmente, são confiáveis. Porém, se eles forem facilmente hackeados, não são mais confiáveis. Então, não me parece que esse modelo atual vai funcionar.
No futuro, os governos vão se envolver nisso. O mercado não está resolvendo esses problemas, as companhias não estão resolvendo esses problemas e, quando falamos em responsabilidade, esse é o papel do governo, goste você ou não. As chances da indústria manter o governo fora disso e continuar se autorregulando vai mudar. Cedo ou tarde, o Estado vai dizer: 'ok, vocês tiveram a sua chance, agora nós vamos regular'. E será muito assustador quando isso acontecer, mas vai acontecer.
Será uma grande guerra civil na indústria de software"
Esta entrevista teve a colaboração dos jornalistas Ramon de Souza e Bruno Micali
Fontes
Categorias