Pwn2Win | Torneio de hacking abre portas do mercado e incentiva especialização
Por Felipe Demartini • Editado por Claudio Yuge |
As imagens de hackers trabalhando em sintonia, todos sentados à frente dos computadores digitando em alta velocidade e resolvendo problemas complexos com a força de sua inteligência é uma visão comum no entretenimento, mas passa longe da realidade. Em nosso mundo, o trabalho com segurança digital envolve estudo, especialização e capacidade de resolução de problemas, o que não significa que um aspecto lúdico não possa ser trazido para essa esfera, de forma a disseminar o conhecimento e incentivar estudantes a investirem na área. E essa última é, justamente, a proposta do Pwn2Win CTF.
- Brechas no Windows 10 rendem US$ 80 mil em competição de hackers
- Cellebrite | Como funciona o app usado para recuperar provas no Caso Henry
- “Ladrões” de canais no YouTube podem ter feito mais de 300 vítimas em dois dias
A competição internacional que está com inscrições abertas e vai acontecer entre os dias 28 e 30 de maio coloca times de especialistas de diferentes níveis de experiência para trabalhar em desafios que envolvem segurança da informação e Tecnologia da Informação (TI). O time vencedor garante vaga no Def Con CTF Finals, um dos maiores torneios mundiais da categoria.
Na disputa organizada pelo Epic Leet Team (ELT), vence a equipe que tiver a maior pontuação após 48 horas de desafios. No formato Capture the Flag, os especialistas dos times trabalham em um ambiente fictício, focado na resolução de problemas e pesquisas em diferentes áreas da segurança digital — as “bandeiras”, como o nome em inglês indica, são os códigos resultantes dessa resolução, com problemas que envolvem criptografia, engenharia reversa, testes de penetração, análise forense, exploração de aplicações e outros aspectos do cabedal de segurança digital.
“Tudo o que é aprendido nas competições pode ser posteriormente utilizado em testes de penetração, programas de caça a bugs e simulações de ataques”, explica Álisson Bertochi, fundador da competição, pelo ELT. A história anual do Pwn2Win é temática e fictícia, mas todos os olhos estão voltados ao mundo real, um em que a sempre existente escassez de profissionais qualificados, cada vez mais, encontra a necessidade crescente por medidas de proteção e ameaças cada vez maiores. Nesse ensejo, segundo ele, há uma gama infinita de opções para organizadores de torneios desse tipo e, também, de possibilidades de especialização para os participantes.
O evento é promovido em parceria com a Universidade Federal de São Carlos (UFSCar) e, embora o foco seja nos estudantes da instituição, também pode incluir profissionais já formados que seguem em busca de especialização e experiência no mercado digital. Bertochi explica que existem diferentes níveis de dificuldade para as competições de CTF, com o Pwn2Win estando em um dos mais altos, misturando desafios mais simples com aqueles altamente complexos. Com isso, existem oportunidades tanto para times de primeira viagem quanto para equipes com experiência.
Em busca da bandeira
Estevam Arantes é um dos participantes frequentes do Pwn2Win pela Ganesh, equipe que faz parte do grupo extracurricular da USP de São Carlos. Ele já é formado e, inclusive, atua na área de segurança, tendo sido estagiário da Microsoft. Na competição, ele se une a estudantes de diferentes níveis em uma maratona de estudos, problemas complexos e, porque não, camaradagem.
“Tento participar de um ou dois eventos por mês, pois [eles] continuam acrescentando à minha formação, mesmo já sendo formado”, explica o especialista, que destaca o foco na especialização como um dos grandes destaques de torneios desse tipo. “Como [as competições] tentam se aproximar ao máximo de um ambiente real, elas são altamente recomendadas como treinamento.”
Arantes usa o mercado de caça aos bugs como exemplos — programas em que grandes empresas pagam recompensas em dinheiro para especialistas que descobrirem e comprovarem brechas em seus sistemas. No mundo real, tais “prêmios” estão disponíveis para o primeiro que localizar as falhas, enquanto em competições de CTF, todos pontuam pela descoberta de vulnerabilidades, com quem fizer isso primeiro, claro, saindo na frente dos outros, mas não os impedindo de continuarem os trabalhos.
Achados desse tipo são uma demonstração de conhecimento e também contam como experiência, o que abre as portas do mercado. Ao mesmo tempo, a participação em programas de bug bounty pode ser um caminho espinhoso para quem está começando, com a participação em torneios servindo, justamente, para preencher esta lacuna. “Um membro de time vencedor prova ter interesse e aptidão para a área, algo que nem sempre é fácil para recém-graduados. As competições me ajudaram a conseguir emprego”, completa Arantes, que aguarda visto de trabalho para integrar a equipe de segurança digital do Office, da Microsoft.
Ele ressalta, ainda, as possibilidades de contato e networking com especialistas, professores de outras universidades e membros das equipes participantes. O Pwn2Win nasceu no mundo digital, com a pandemia do novo coronavírus mudando pouco a dinâmica da competição, o que não muda a aproximação entre os profissionais. “A ‘sofrência’ para resolver desafios em [maratonas] é substituída pela alegria quando conseguimos e essa também é uma motivação para aprender coisas novas.”
Cada vez maior
A necessidade de profissionais em um mercado cada vez mais exigente, pelo aumento na gravidade das ameaças digitais, também serve para o que Arantes enxerga como um aumento na relevância dos torneios de CTF. Para ele, há uma máquina de causa e consequência aqui, com a necessidade de especialização levando a maior interesse dos estudantes e recém-formados, o que leva a um maior número de competições e assim por diante, contribuindo de forma geral para a melhoria do mercado.
Do outro lado do balcão, a Academia também percebe esse movimento. A UFSCar, por exemplo, apoia o Pwn2Win desde seus primórdios, em 2016, e enxerga um apoio crescente, também, das empresas. O Google, por exemplo, fornece seus data centers de cloud computing para hospedar os desafios, enquanto a própria universidade fornece infraestrutura e equipamentos de hardware específicos para os desafios.
O professor adjunto da instituição, Paulo Matias, do departamento de computação, também ressalta que os alunos participantes da competição recebem créditos de atividades complementares, enquanto os docentes têm as horas de trabalho reconhecidas como parte de suas atividades funcionais. Para todos, é experiência e aprofundamento.
Matias não concorda com a ideia de que há escassez de profissionais no mercado, mas sim, que faltam indivíduos especializados e, principalmente, preparados aos desafios do mundo real. “Formar [pessoas] realmente qualificadas é muito difícil e não há receita pronta para a segurança digital. Trata-se de uma arte, que exige criatividade e dedicação para que as habilidades sejam lapidadas. Acreditamos nos CTFs como um dos caminhos para alcançar esse objetivo”, afirma.
Seja para quem conseguiu colocação na área ou não, as competições são encaradas como um método de formação continuada, que permite também o contato com as técnicas contemporâneas e problemas emergentes do ramo. O professor ressalta também a competitividade dos torneios para levar os interessados ainda mais além. “A maioria das equipes possui grande espírito esportivo e é enriquecedor ler os materiais publicados por ela. O hiperfoco, em períodos de 48 horas de estudos, também é um mecanismo interessante.”
Hoje, o Pwn2Win é uma das maiores competições globais de Capture The Flag e isso também atraiu a atenção de órgãos públicos, com o ELT trabalhando ao lado do Tribunal Superior Eleitoral, em 2017, durante testes do sistema eletrônico de votação. Além disso, recrutadores experientes reconhecem nos jogadores as características necessárias para encarar um trabalho em segurança digital, enquanto programas privados de caça a bugs também costumam recrutar jogadores para suas fileiras.
Para Bertochi, o principal aspecto que levou a competição a um dos pontos mais altos no ranking global foi sua inovação, com os desafios sempre levando em conta tendências do mercado atual e focando aquilo que ainda não foi explorado em edições anteriores ou outros torneios. Com isso, aponta ele, os participantes se viram, muitas vezes, na vanguarda de testes envolvendo modelos adversariais demachine learning, engenharia reversa de circuitos integrados e instruções relacionadas à segurança de processadores da Intel, apenas para citar alguns exemplos. “Os melhores times do mundo jogam nosso CTF esperando novidades”, completa.
O fundador ressalta, por outro lado, o aspecto agregador de Pwn2Win, que nasceu de uma iniciativa de posicionar equipes brasileiras de igual para igual com as internacionais. O resultado, afirma Bertochi, se reflete em mais grupos nacionais participando de torneios globais, e vice-versa, com conjuntos estrangeiros de CTF também se interessando pelo torneio local. “[Os iniciantes] podem até ficar em posições mais baixas, mas percebem que, com esforço, podem chegar lá e que nada está fora do alcance delas. Também procuramos dar reconhecimento e premiações especiais para times formados por alunos universitários”, completa.
O membro do ELT também ressalta a existência de competições de entrada como o picoctf, da universidade americana Carnegie Melon. No Brasil, Matias ressalta os torneios especiais de CTF que fazem parte da Semana de Computação da UFSCar. “O evento é divulgado nacionalmente e serve como plataforma de divulgação do Capture The Flag, com desafios elaborados pelos próprios alunos de forma despojada e descontraída”, explica.
As inscrições para a edição 2021 do Pwn2Win vão até o início do evento de 48 horas consecutivas, que como dito, acontece de 28 a 30 de maio. As pontuações das equipes podem ser acompanhadas no site da competição.