A garota brasileira de 20 anos que vai hackear o planeta
Ingrid Spangler tem 20 anos e estuda Ciência da Computação na Universidade Federal de Minas Gerais. A garota vem ganhando notoriedade no hacking, principalmente quando falamos sobre o Capture the Flag (CTF), modalidade de competição que reúne desafios de Segurança da Informação, os quais misturam diferentes tipos de conhecimento e tecnologias, podendo variar entre diversos temas.
Spangler é uma resistência: uma mulher em um ambiente massivamente dominado por homens. Líder da equipe Pyladies, Ingrid tem como missão, ao lado de outras mulheres igualmente importantes, promover, educar e impulsionar a existência de uma comunidade Python diversificada através de sensibilização, educação, conferências, eventos e encontros sociais — como as próprias garotas definem a equipe.
A equipe Pyladies, aliás, é um caso de vitória: é a primeira equipe 100% feminina de Capture the Flag. Além de Ingrid, a equipe tem Clara Nobre (Lilium) como fundadora. Outra integrante, chamada Aghata Sophia (sm00n), também venceu o Hackaflag Paraíba, e você saberá mais sobre isso em breve.
Ingrid Spangler venceu o Hackaflag BH, que foi um presente de aniversário de 20 anos
Aos 17 anos, logo ao final do Ensino Médio, Ingrid começou a se interessar por programação. “Quando eu ouvi falar da área, percebi que era construída em volta da parte da matemática que eu mais gostava, além do meu passatempo favorito: a lógica. Por isso escolhi o curso, fora isso entrei sem conhecimento prévio nenhum sobre programação e muito menos hacking”, disse Spangler ontem (28), em conversa com o TecMundo.
Ingrid Spangler
Em uma sociedade patriarcal, é comum pensar que a Spangler sofreria algum tipo de resistência de seus familiares, por exemplo, quando decidiu ingressar no hacking e na Ciência da Computação — um mundo dominado, apenas hoje, pelos homens. Felizmente, e provavelmente um grande impulso para um sucesso futuro, foi a aceitação: “O meu desejo não é algo que sempre existiu, então a resposta dos meus familiares também não é algo que sempre existiu. Porém, nunca houve objeções da parte deles a partir do momento que eu entrei”.
Apesar desse apoio, Ingrid comentou que já sofreu assédio, principalmente online. “Eu conheço falhas de segurança e boas práticas online, portanto eu me defendo, tomo precauções contra possíveis ameaças online”. Spangler citou quais são as precauções, e essa dica você deveria carregar para sempre:
Cuide bem da sua saúde mental, o quanto antes melhor. Nunca se esqueça que você é absurdamente inteligente e consegue fazer tudo o que quiser
“Coloque senhas fortes e diferentes em todas as suas contas, junto com 2fa (verificação em duas etapas, dois fatores ou dois passos): se houver vazamento de informações de um site fraco, a senha que você sempre usa será usada para invadir os outros. Mude a senha padrão também dos seus aparelhos: chromecasts, câmeras de vigilância, box de televisão e roteadores, que são os principais alvos para botnets. Tenha em mente que suas fotos íntimas podem ser usadas como ameaça e as destrua, cheque muito bem a segurança de sites onde coloca seu endereço e telefone. Não poste informações importantes no Facebook, evite entrar em suas contas em redes WiFi públicas. Não descarte ou venda seu computador sem dar wipe, pois, se apenas deletar ou formatar, tudo o que havia nele pode ser recuperado com análise forense”.
E a dica mais importante, voltada para as garotas que buscam estudar hacking ou participar de algum curso de Ciências da Computação, é: “Cuide bem da sua saúde mental, o quanto antes melhor. Nunca se esqueça que você é absurdamente inteligente e consegue fazer tudo o que quiser, inclusive esse curso”.
Clara Nobre, Aghata Sophia, Alley Pereira e Ingrid, da Pyladies
Como citamos anteriormente, o Capture the Flag (CTF ou “Capture a Bandeira”) é uma das competições mais presentes nos eventos hackers pelo mundo. Normalmente, os CTF são organizados no modelo “pergunta e resposta”: um competidor é desafiado a resolver um problema dentro de uma das categorias escolhidas e deve submeter ao sistema uma resposta — também chamada de “flag” — para ganhar e acumular pontos. Ao final, vence o desafiante ou a equipe que juntar mais pontos, ou bandeiras.
Entre os desafios, existem modalidades como: criptografia (Cifra de Cesar), redes (captura de pacotes), forense (análise de dumps ou restauração de arquivos), engenharia reversa (análise de binário, strings) e Web Exploitation.
Eu só digo que é um campeonato de hacking ético. Quem hackear mais sistemas mais rápido ganha
Ingrid Spangler entrou no mundo do CTF porque gosta de “descobrir coisas interessantes que não deveria em lugares aonde também não deveria estar olhando”, disse. “Um belo dia eu descobri que isso é uma modalidade de eSport baseada em hacking chamada CTF”.
Dos 17 aos 19 anos, Spangler jogou diversas modalidades educativas de Capture the Flag, os wargames, nacionais e internacionais, sem o propósito de “ganhar no final”. Porém, com 19 em 2017, participou do Hackaflag BH, organizado pela Roadsec, e venceu a etapa exatamente no aniversário de 20 anos. Uma ótima estreia como “primeira competição pra valer”. A vitória rendeu uma viagem para São Paulo, local onde disputou a final do Hackaflag, no dia 11 de novembro.
Prêmio do Hackaflag BH em mãos
TecMundo: O Hackaflag é muito diferente de outros CTFs que você jogou?
Ingrid Spangler: “Todos os CTFs são mais ou menos iguais, vários desafios são colocados no site oficial do evento, e você precisa encontrar uma flag para cada um, são online para todos participarem, duram um ou dois dias. Dá pra ver as datas dos próximos no site ctftime.org. Existem outros tipos, como ataque e defesa e embedded CTF, porém são mais difíceis de participar. Ainda não fiz nenhum desses.”
TecMundo: Como você explicaria o que é CTF para quem não conhece?
Spangler: “É bem complicadinho de explicar (risos). Várias pessoas que me parabenizaram por ganhar o hackaflag não fazem a menor ideia do que diabos eu ganhei. Eu só digo que é um campeonato de hacking ético. Quem hackear mais sistemas mais rápido ganha.”
TecMundo: E como foi a recepção após vencer o Hackaflag? Algumas portas se abriram ou alguma empresa foi atrás de você?
Spangler: “O Banco Itaú foi atrás de alguns dos vencedores, mas não de mim. Algumas empresas se interessaram, mas todas de São Paulo, que requeriam que eu largasse a UFMG para trabalhar, o que não pretendo, a não ser que a oferta seja muito boa mesmo. A única em MG foi a Antebellum, mas não voltou a entrar em contato. As pessoas que realmente abriram portas para minha entrada em empresas foram o team leader da Fireshell e uma amiga, a chefe da UFMG eSport.”
TecMundo: Quais meios você usou para estudar sobre como jogar CTF?
Spangler: “Eu estudo sozinha, tiro dúvidas com colegas mais experientes, uso sites que tenham um banco de dados de exercícios abertos (como o Codecademy) quando preciso aprender uma linguagem nova. Tem o URI Online Judge, para quando quero praticar paradigmas de programação, e o Brilliant, para quando preciso aprender um conceito novo de matemática. Na teoria, também por canais como LiveOverflow e Cybrary.”
TecMundo: Muitos grupos de estudo sobre hacking também atuam dentro do hackativismo. Você mesma pode ter esbarrado em alguns deles. Você acha que o hacking é um ato político?
Spangler: “Hacking definitivamente pode ser e é usado para fins políticos, como derrubar ou fazer defacing de sites de grupos da oposição. Aliás, não só hacking, vários projetos de computação, como o ‘serenata de amor’, que rastreia os gastos de todos os deputados, são políticos. Há um grande potencial na interseção entre computação e política.”
O próximo passo? Hackear o planeta
TecMundo: E como você enxerga o hacking malicioso ou criminoso no Brasil?
Spangler: “Aquelas ligações que todo mundo já recebeu da cadeia é um ramo de hacking chamado phishing. Eu já vi um pedacinho do underground de hacking criminoso. É assustador o que os brasileiros podem fazer com a criatividade e malícia juntos do conhecimento técnico e recursos que eles têm disponíveis.
Por exemplo, eu já vi palestras nos eventos de segurança sobre diversos assuntos, como métodos de clonagem de cartão, phishing, sobre a existência de banco de dados para fins de fraude com nomes, telefones, endereços de várias pessoas que clicaram no que não deveriam ou tiveram suas contas roubadas, e também botnets infestando os dispositivos IoT do mundo. Tudo isso acontece no Brasil também. Felizmente, essas palestras têm o propósito de alertar e oferecer dicas de precaução.”
TecMundo: Como o governo ou as instituições poderiam fomentar o hacking ético no Brasil e diminuir a atração de jovens para o hacking criminoso?
Spangler: “Fomentar a ética no Brasil. Hacking ético e hacking criminoso são idênticos em nível técnico, e as ferramentas são as mesmas. A diferença está na intenção das pessoas que as usam. Quanto menos criminosos, menos hacking criminoso”.
TecMundo: Ingrid, qual é o próximo passo? O que você quer fazer agora?
Spangler: “Terminar a faculdade, hackear o planeta.”