O ano de 1998 foi revolucionário para a cena hacker norte-americana. Sete membros do L0pht, um respeitado coletivo de pesquisadores de segurança cibernética, testemunharam perante o Senado dos EUA e alertaram as autoridades sobre o quão frágeis eram algumas tecnologias utilizadas na época. Um deles chegou ao nível de garantir que “qualquer um de nós sete” poderia desligar a internet em poucos minutos, se assim desejassem.
Com cabelos longos e volumosos, Peiter “Mudge” Zatko, de fato, mais parecia um profeta do que qualquer outra coisa — e sua profecia já nos preparava, de forma inédita, para os riscos cibernéticos dos tempos atuais.
Hoje, mais de 21 anos após tal feito, Mudge ostenta um currículo invejável: além de trabalhado em projetos de segurança para a Agência de Projetos de Pesquisa Avançada de Defesa (DARPA), ele já foi vice-presidente corporativo de engenharia da Motorola, vice-diretor da divisão de tecnologia da Google e chefe de segurança da Stripe. Prestes a desembarcar no Brasil para palestrar como keynote durante o Roadsec São Paulo 2019, o especialista reservou um tempo para falar rapidamente com a equipe da The Hack.
“Eu comecei a me interessar por segurança cibernética muito jovem e não haviam cursos, manuais ou instruções. Computadores para propósitos gerais eram novidade para as pessoas, então qualquer coisa que você conseguisse ordenar que eles fizessem já era ótimo”, explica Peiter. “A verdade é que você conseguia forçar que qualquer sistema fizesse algo que você queria, independentemente se esse era o propósito dele ou não. Aquilo me fascinava”.
Sendo um dos membros mais proeminentes do L0pht, Mudge foi o responsável por elaborar diversos white papers e escrever vários softwares em nome do grupo — incluindo a ferramenta L0phtCrack, uma das primeiras a usar força bruta para quebrar senhas. O pesquisador também foi pioneiro em pesquisas sobre vulnerabilidades e técnicas de invasão que são usadas até hoje, como buffer overflow, injeção de código e ataques side-channel.
Nós perguntamos como ele se sente sabendo que tais métodos se tornaram armas para criminosos cibernéticos. “Me sinto bem”, responde. “Também percebo que, retendo essas informações, apenas um subconjunto de pessoas teria acesso. Eu escolhi disponibilizá-las amplamente. Centenas de universidades também estão usando essas informações em suas aulas”, explica. É a clássica analogia do martelo, que pode ser usado tanto para construir quanto para destruir coisas.
Confira abaixo a entrevista na íntegra e não perca a oportunidade de conhecer Peiter durante o Roadsec São Paulo 2019; os ingressos ainda estão à venda e, usando nosso código THEHACK-RSSP19, você garante 10% de desconto.
Confira na íntegra
The Hack: Antes de mais nada, gostaríamos de saber como você se interessou por segurança cibernética e quando se envolveu nessa área.
Peiter “Mudge" Zatko: Eu não tinha uma opção. Eu comecei a me interessar por segurança cibernética muito jovem e não haviam cursos, manuais ou instruções. Computadores para propósitos gerais eram novidade para as pessoas, então qualquer coisa que você conseguisse ordenar que eles fizessem já era ótimo. A verdade é que você conseguia forçar que qualquer sistema fizesse algo que você queria, independentemente se esse era o propósito dele ou não. Aquilo me fascinava.
TH: Você é famoso por ter feito parte do coletivo hacker “L0pth” como um dos membros mais ativos e influentes. Você poderia explicar como o grupo surgiu e o que você fazia lá?
Mudge: Isso está documentado, de forma relativamente precisa, no livro “Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World”, de Joseph Menn.
TH: Em uma época em que segurança cibernética ainda era um assunto subestimado, o L0pht se destacou ao testemunhar para o governo dos EUA sobre brechas estruturais da Internet em 1998. Você pode nos falar sobre essa experiência? Você se considera o “pai da divulgação responsável” ou algo do gênero por causa disso?
Mudge: Eu estou feliz por ter sido capaz de educar pessoas em todos os campos possíveis. Eu quis cultivar sensibilidade e entendimento. Confusão e ignorância sobre pessoas e crenças diferentes simplesmente levam a mal-entendidos e problemas.
TH: Falando em divulgação responsável, como você enxerga essa relação entre hackers e entidades governamentais ou grandes corporações? Você acredita que há uma falta de sinergia entre esses dois lados, algo que faça com que eles colaborem entre si de forma voluntária para um bem maior?
Mudge: Eu acho que há sobreposição em alguns lugares, e, em outros, pessoas com crenças diferentes devem permanecer separadas, mas ainda se comunicar entre si. O termo "hacker" é muito amplo e sua definição difere entre diferentes pessoas, organizações e esforços.
TH: Enquanto você estava no L0pht, você foi responsável por participar de várias pesquisas que definiram, mesmo que de forma prematura, uma série de conceitos que hoje são usados por criminosos cibernéticos, como buffer overflow, injeção de código etc. É óbvio que sua intenção nunca foi ver tais técnicas sendo usadas para o mal, mas como você se sente a respeito disso?
Mudge: Me sinto bem. Também percebo que, retendo essas informações, apenas um subconjunto de pessoas teria acesso. Eu escolhi disponibilizá-las amplamente. Centenas de universidades também estão usando essas informações em suas aulas. Se você ajuda a explicar como fazer e usar algo como um “martelo”, você escolheria compartilhar esse conhecimento? Ou guardá-lo, sabendo que algumas pessoas provavelmente já o tem?
TH: Além do L0pht, você é famoso por ter participado em outro coletivo hacker influente, o Cult of the Dead Cow (CdC). Como foi seu envolvimento com o CdC e quais eram suas atividades lá?
Mudge: Eu ajudei o CdC a ir para um nível mais técnico.
TH: O CdC explodiu na mídia recentemente após a revelação de que o candidato à presidência dos EUA, Beto O’Rourke, também era um membro do grupo. Você poderia falar um pouco sobre sua relação com Beto? Você interagia com ele naquela época? Que tipo de atividades ele realizava na organização?
Mudge: Ele era muito legal comigo. Era um forte e pioneiro apoiador da diversidade. Ele era muito ágil em aprender coisas e expandir seu conhecimento.
TH: Na sua opinião, qual é o maior problema de segurança cibernética atualmente? Como podemos resolvê-lo?
Mudge: Muitas das soluções e esforços nesse campo, se você olhar para o passado e medi-las, são divergentes na solução de problemas subjacentes.
TH: Você é um pioneiro em educar as pessoas sobre segurança online e privacidade. Depois de tantos anos, você acredita que que o conhecimento público sobre esse assunto evoluiu ou ainda temos muito trabalho a fazer? Legislações como a LGPD e a GDPR são uma forma válida de minimizar os efeitos negativos de vulnerabilidades e vazamentos de dados?
Mudge: Estamos vendo o quão complicado pode ser legislar unilateralmente uma ampla noção de privacidade. Aprendendo o valor. Aprendendo a dor. Aprendendo a mudar nossos planos de engenharia iniciais. É uma experiência interessante, da qual esperamos obter um aprendizado significativo.