A cibersegurança é muitas vezes associada a firewalls, passwords fortes e sistemas complexos. Mas, na prática, proteger uma organização vai muito além da tecnologia. Passa também por perceber como pensam os atacantes, onde falham os processos e de que forma o fator humano pode abrir portas que pareciam bem fechadas.
Sentamo-nos à conversa com o nosso consultor Diogo Sousa, Offensive CyberSecurity Specialist num projeto na área Financeira, e falámos sobre segurança ofensiva, red team e o trabalho de quem testa não só sistemas, mas também pessoas e processos, com o objetivo de reduzir o impacto e a probabilidade de ataques informáticos. Da curiosidade pelos primeiros desafios de hacking ao trabalho com Active Directory, cloud, controlo de acessos e simulações mais silenciosas, esta conversa mostra-nos uma área exigente, técnica e cada vez mais essencial para as empresas.
Quando alguém te pergunta o que fazes, qual é a versão “simplificada” da resposta?
[O que faço é] Reduzir o impacto e a probabilidade de ataques informáticos.
Se tivesse de explicar à minha avó, diria que há pessoas que ganham dinheiro a entrar em sistemas e, muitas vezes, a vender esse acesso. O meu trabalho passa por fazer tudo o que está ao nosso alcance para reduzir a probabilidade de isso acontecer.
Tanto em sistemas públicos como privados existem falhas, e grande parte do nosso dia a dia está focada em identificá-las e mitigá-las.
Eu trabalho na área da segurança informática, que é um termo bastante abrangente e inclui várias especializações. Dentro dessa área, estou na vertente de segurança ofensiva e, mais especificamente, em red team.
Na segurança ofensiva, o papel mais conhecido é o dos pentesters e dos hackers éticos que analisam sistemas para identificar vulnerabilidades, reportam essas falhas às equipas responsáveis pelos ativos testados e apoiam a mitigação dos riscos encontrados.
No meu caso, o trabalho é um pouco diferente. Em red team, a abordagem também é ofensiva, mas tende a ser mais silenciosa, porque o objetivo não é apenas testar sistemas ou encontrar vulnerabilidades. É também testar processos e pessoas.
Posso, por exemplo, fazer uma operação de red team em que a infraestrutura está bem protegida e não existe nenhuma vulnerabilidade técnica conhecida. Ainda assim, a campanha pode ser bem-sucedida porque consegui explorar outra fragilidade, que pode não ser técnica, mas sim social.
Um exemplo simples seria ligar para o helpdesk a pedir a alteração da password de uma conta, dizendo que sou o utilizador X quando, na verdade, não sou. Se conseguir que essa alteração seja feita, passo a ter acesso à conta. Não estamos perante uma vulnerabilidade técnica, mas sim perante uma falha na componente humana ou social que me permitiu entrar no sistema.
Sempre quiseste trabalhar em cibersegurança ou foi um caminho inesperado?
Já vem de há muito tempo. Acho que foi por volta do 9.º ano que tive o primeiro contacto com esta área, através do marido da minha prima. Ele tinha feito uma mudança de carreira: era professor de Matemática e acabou por passar para Engenharia Informática. Nessa altura teve uma cadeira de hacking e gostou bastante.
Entretanto, apresentaram-lhe um website chamado hackthissite.org, creio eu. Era um site antigo, dos primeiros a ser criado para ser “hackeado”, permitindo às pessoas testar as suas skills, sobretudo na vertente de web hacking.
Como ele me dava explicações de Matemática e estava também nessa fase de transição, acabou por aproveitar para aprender enquanto ensinava. Foi nessa altura que me mostrou esse website, e eu fiquei curioso.
Gostei da área e, com o tempo, foram aparecendo outros websites, como o TryHackMe e o Hack The Box, que também são plataformas de CTF. Durante algum tempo andei ali entre a programação e a segurança informática, a saltar entre as duas, mas sempre tive mais interesse pela segurança informática.
A partir do 11.º ano comecei a focar-me mais nessa área. Até aí, era mais um espécie de brincadeira.
Saí da faculdade e fui trabalhar para uma empresa de desenvolvimento de software na equipa de segurança informática, fazia pentestes mais à componente web. Era uma empresa que fornecia serviços de pentesting a terceiros. Era mais focada em pentestes, mas também tive oportunidade de fazer uma campanha de red team.
Qual é a diferença entre pentest e red team?
O red team não se foca apenas em encontrar vulnerabilidades. O objetivo é identificar falhas no sentido mais amplo e chegar a um determinado resultado. Isso significa que posso atingir esse objetivo sem encontrar propriamente falhas de segurança técnicas, mas explorando falhas nos processos, por exemplo.
Já no pentest, o objetivo é encontrar vulnerabilidades para que possam depois ser corrigidas. É um trabalho mais orientado para um scope específico: pode ser uma aplicação, um sistema ou uma rede de sistemas, e o teste incide apenas sobre esse perímetro.
No red team, pelo contrário, existe um objetivo concreto, mais do que um alvo técnico isolado. Esse objetivo pode passar por comprometer uma base de dados ou encriptar sistemas, por exemplo. A forma como se chega lá não é assim tão relevante, desde que se consiga atingir o objetivo.
Qual foi o teu primeiro contacto com segurança ofensiva?
Legal? [risos] Não me lembro.
Também é preciso perceber que a legislação nesta área ainda tem muito caminho a fazer, especialmente em Portugal. Tecnicamente, se eu fizer uma pesquisa no Google e me aparecer um website, tudo o que fiz foi procurar uma coisa e clicar num link.
Se esse website tiver más defesas, posso acabar por aceder diretamente à base de dados só porque ela apareceu como resultado da minha pesquisa, sem ter feito nada com intenção maliciosa. Ainda assim, tecnicamente, isso pode ser considerado um crime, porque acedi a algo sem autorização.
Dentro da Cibersegurança tens a parte ofensiva mas também tens outras áreas, certo?
Tendemos a dividir a cibersegurança, de forma simplificada, em três cores: red, blue e purple. O red corresponde à componente ofensiva, o blue à componente defensiva e o purple à componente de colaboração entre as duas.
Tipicamente, as red operations enquadram-se dentro da red team. Do lado defensivo, temos tudo o que está ligado à proteção e monitorização do ambiente, nomeadamente a equipa de SOC.
No dia a dia, a equipa de SOC está focada em perceber o que está a acontecer no ambiente, analisar os alertas e determinar se se tratam de falsos positivos ou de atividades que correspondem, de facto, a algum tipo de ataque.
Depois temos a purple team, que se centra precisamente na colaboração entre as duas vertentes. Nós identificamos problemas na postura de segurança da organização, mas esse trabalho só tem verdadeiro valor se for possível retirar aprendizagens concretas dali. E isso, sobretudo na componente de red team, geralmente só acontece através de uma colaboração próxima com a blue team. Daí o nome purple, que resulta da junção das duas cores.
Apresentamos os nossos findings, explicamos o que fizemos, porque o fizemos dessa forma e como é que, no futuro, esse tipo de atividade pode ser detectada.
Que momento foi decisivo para perceberes que querias especializar-te em offensive security?
Depende muito da fase em que somos introduzidos à área e também do tipo de personalidade que temos.
No meu caso, como tive contacto com isto bastante cedo, não havia propriamente nada que eu pudesse defender, por isso a vertente ofensiva acabou por ser a única à qual me podia dedicar nessa altura.
Além disso, também sou uma pessoa mais dinâmica. Não gosto de estar parado e acho que a minha personalidade me puxa naturalmente mais para o lado ofensivo.
Ainda assim, a componente defensiva também tem muito que se lhe diga. É uma área igualmente muito interessante.
Houve algum erro ou falha que tenha sido particularmente marcante no teu percurso?
Acho que demorei demasiado tempo a estudar uma componente específica. A maior parte das empresas, sobretudo as de maior dimensão, utiliza tecnologias da Microsoft. Uma das mais comuns é o Active Directory. No meu caso, como fui introduzido à área através daquele website que mencionei, a maior parte dos sistemas com que contactava corria sobre Linux. Ou seja, essa era a realidade com que eu estava mais familiarizado.
Sempre que aparecia uma máquina Windows, eu tendia a afastar-me, porque não me apetecia ter de ir pesquisar e aprender sobre aquilo.
Entretanto, percebi que não dava para continuar a evitar esse tema durante muito mais tempo. Houve uma altura em que pensei: “Ok, vou ter mesmo de estudar isto, nem que seja só para perceber.” A ideia inicial era aprender o suficiente e continuar depois a dedicar-me mais ao Linux. Mas, a partir do momento em que comecei a estudar, acabei por gostar bastante. E hoje em dia é praticamente isso que faço. Já quase nem mexo em Linux, trabalho essencialmente com Active Directory.
Que tipo de vulnerabilidades aparecem com mais frequência?
Os problemas de controlo de acessos são dos que aparecem com mais frequência. Ou seja, pessoas ou sistemas que têm acesso a coisas a que não deviam ter.
Muitas vezes, nem sequer estamos a falar de uma vulnerabilidade técnica no sentido mais clássico. Não é necessariamente uma componente desatualizada, nem software antigo que precise de ser substituído, nem uma patch em falta. Pode até estar tudo atualizado e aparentemente seguro. O problema está na forma como a solução foi implementada: há uma falha lógica que faz com que determinadas pessoas acabem por ter acesso ao que não deviam.
Isto acontece, por exemplo, em situações muito comuns dentro das organizações. Existe uma share onde as pessoas partilham ficheiros e, sempre que entra alguém novo, pensa-se logo: “Esta pessoa provavelmente vai precisar de acesso a esta drive.” Então dão-lhe permissões para ler, escrever, partilhar, remover ou alterar conteúdos.
O problema é que, muitas vezes, esses acessos são atribuídos e depois nunca mais são revistos ou retirados.
Já apanhaste algo crítico que tenha surpreendido o cliente?
A situação que mais me surpreendeu estava, mais uma vez, relacionada com controlo de acessos.
Tratava-se de uma conta com o nível de privilégios mais reduzido possível, mas que, ao mesmo tempo, tinha acesso direto ao nível de privilégios mais elevado. Ou seja, havia ali uma pessoa que nem sequer pertencia à componente técnica e que tinha acessos altamente privilegiados, normalmente reservados a perfis técnicos com o nível máximo de permissões dentro da empresa.
Isso chocou-me bastante, sobretudo porque esses privilégios já estavam atribuídos há muitos anos e nunca tinham sido detetados.
O que é mais difícil: a parte técnica ou explicar o risco ao negócio?
À medida que se avança na carreira, torna-se cada vez mais evidente a importância de saber explicar a componente técnica de forma não técnica.
Numa fase inicial, claro que a parte técnica é a mais difícil, porque há todo um mundo novo para descobrir e assimilar. É muita informação, muitos conceitos e muitas camadas de complexidade a entrar ao mesmo tempo.
Mas, nesta fase, diria que o mais importante e também um dos maiores desafios é conseguir traduzir essa componente técnica para uma linguagem que faça sentido para o negócio.
O grande desafio acaba por estar no equilíbrio entre capacidade operacional e segurança. Num mundo ideal, qualquer ação teria de ser verificada. Mas isso introduziria um atraso enorme em tudo o que se faz. Se, para cada tarefa, eu tiver de introduzir uma palavra-passe e passar por um processo de 2FA, isso até pode ser o cenário mais seguro possível, mas depois as pessoas também precisam de conseguir trabalhar.
É possível ter uma empresa extremamente segura, mas, se isso comprometer demasiado a operação, acaba por afetar o próprio negócio. E sem negócio, também não há dinheiro. Por isso, encontrar esse ponto de equilíbrio é um dos grandes problemas a resolver.
Depois há ainda a questão dos bias. A equipa de segurança tende naturalmente a favorecer a segurança, enquanto as equipas operacionais tendem a dar prioridade à capacidade operacional.
Que linguagens e ferramentas são essenciais no teu dia a dia?
Diria que a tecnologia mais associada à minha área, dentro da segurança ofensiva, é o Kali Linux. É uma distribuição específica de Linux, mais orientada para a componente ofensiva.
Acho que esse é, de certa forma, o elo que nos une a todos. Qualquer pessoa que trabalhe em red team, web application security, infraestrutura ou cloud conhece o Kali Linux. É uma ferramenta com que praticamente toda a gente já teve contacto em algum momento e, no meu caso, uso-a no dia a dia.
Em termos de linguagens de programação, utiliza-se muito Python, sobretudo por ser uma linguagem de scripting bastante versátil e que facilita muito o trabalho. Com a evolução da IA, isso tornou-se ainda mais evidente.
Depois, há também todo o ecossistema de cloud da Microsoft, nomeadamente Azure e Entra ID, que têm vindo a ganhar cada vez mais relevância. AWS continua igualmente a ser a plataforma de cloud mais utilizada no mundo.
---
Achaste esta área interessante? 💡 Explora aqui todos os nossos projetos disponíveis em Cibersegurança!
Ouve mais sobre temas como carreira, produtividade, tecnologia, gestão ou liderança no nosso podcast:
