Torresmo, energético e senhas quebradas no maior campeonato de hackers do Brasil

Por volta das 18 horas de sexta-feira, Marc Rogers, consultor técnico da série Mr. Robot, falava para uma audiência atenta de 400 pessoas. Animado, ele fazia parecer trivial coisas como hackear o FBI e assumir à distância o controle de um Tesla. No fundo do salão, apoiados no bar, outros tantos se aglomeravam e tomavam seus bons e merecidos drinks depois de um dia todo de palestras e hacks.

A cena rolava na pista principal da Audio Club, clube noturno localizado no bairro da Barra Funda em São Paulo, durante a edição final do Roadsec. Alguns poucos metros acima, concentrados nas telas dos computadores, na área dos camarotes da balada, estavam os finalistas do campeonato de Capture the Flag – o CTF – mais importante realizado no Brasil, o Hackaflag.

Se você não faz ideia alguma do seja um CTF, esqueça pessoas correndo atrás de bandeirinhas, bolas e assim por diante. Na verdade, esqueça pessoas correndo. O jogo é quase totalmente intelectual. Nele, os jogadores são apresentados a desafios que envolvem desde achar falhas em sites até a quebrar criptografias. Para dizer com todas as letras: é um jogo para hackers.

O modelo da competição não é exatamente novo. Há pelo menos vinte anos a Def Con, a principal conferência de segurança da informação dos Estados Unidos, realiza campeonatos deste tipo. Lá os moldes da competição são um pouco diferentes do que acontece aqui no Brasil. Eles, os gringos, usam dois: o 'Attack/Defence', em que as equipes devem atacar as outras equipes para conseguir suas "flag", e o 'Jeopardy', no qual os competidores não jogam contra os outros, mas sim descobrem as "flags" dentro de um sistema criado especialmente para o desafio.

É esta última que é adotada pela maioria dos CTFs brasileiros e online. Foi também o modo de jogo com o qual o campeão da edição de 2015 do Hackaflag, Saulo Hachem, de 25 anos, se deparou pela primeira vez. Ele participou da organização de um dos primeiros campeonatos de CTF online desenvolvido para o público brasileiro, o Hacking N' Roll, no ano de 2010. "Na época eram poucos brasileiros que conheciam Capture the Flag", conta. "Fizemos a organização por quatro anos consecutivos e participávamos de campeonatos paralelamente."

A principal dificuldade apontada por Hachem durante seus primeiros anos era encontrar materiais para estudar e se preparar para as competições. Plataformas que compilam conteúdos e trazem exercícios como CTF-BR e o Shellter Labs – esta segunda criação de Hachem –, não eram comuns nem fáceis para os iniciantes. Hoje o cenário mudou, ainda que grande parte do conteúdo disponível na internet esteja em inglês. O maior acesso aos materiais sobre as competições não apenas possibilitou o crescimento do cenário competitivo do CTF. Algumas empresas de segurança da informação já usam o jogo como seleção de seus candidatos, e organizações militares também veem a competição com interesse.

Na final do Hackaflag deste ano, não se via conexões wi-fi, tampouco cabos de rede azuis e brancos nas máquinas de todos os 17 finalistas. Toda a conexão era controlada e monitorada. A tela dos participantes era gravada para um possível "tira teima" a fim de evitar qualquer comunicação externa com os competidores. Conforme explicou Marina Ciavatta, de 24 anos, uma das organizadoras do evento, nas fases regionais não há um controle mais rígido da comunicação dos participantes. "Alguns deles são membros de equipes, e acabam recebendo ajuda online para resolver os desafios. Na final, como não há conexão, nós vemos quem é quem", comentou Ciavatta.

"A maioria dos CTFs são realizados online e são competições longas, algumas levam dias para ser feitas e os desafios são extremamente complexos", explicou Anderson Ramos, de 38 anos, CTO da Flipside e idealizador da Roadsec e Hackaflag. Com pensamento rápido e passeando por vários assuntos, ele explica que a ideia do evento era propor uma atividade divertida mas que ajudasse a revelar talentos. Ele aponta que uma das principais diferenças que o Hackaflag tem em relação a outras competições reside na proporção geográfica. "Neste ano o Roadsec esteve em 17 cidades, em 16 estados, em cada uma delas tivemos uma fase classificatória do campeonato para a grande final em São Paulo", explicou.

A competição cresceu desde sua primeira edição em 2014, quando passou por 10 cidades. Neste ano foram um total de 18 edições e, a cada etapa classificatória, contou com uma média de 30 competidores inscritos. "De uma forma geral, este público é bastante jovem", observa Ramos.

A pouca idade não é um fator limitante, nem dificulta a lidar com a pressão. Durante a final, ao circular pela área dos competidores, foi possível sentir o clima tenso. Todos os 17 não tiravam os olhos do computador para praticamente nada enquanto liam uma sucessão de códigos que podem não fazer o menor sentido para quem não conhece a fundo informática e programação.

O vencedor da etapa de Cuiabá, Jhonathan Davi, de 19 anos, que dois dias antes estava tranquilo e dando risadas na casa onde os competidores ficaram hospedados antes do evento, estava sério e totalmente concentrado com seus fones de ouvido verde limão. Ele é um dos mais jovens finalistas e também um dos mais comunicativos do grupo de hackers. Nos momentos de descontração, não escondia a empolgação de ter chegado tão longe na competição.

Davi é o único a ainda não ter ingressado em nenhuma faculdade. "Por ser muito fissurado em informática, eu acabava matando várias aulas no ensino médio e acabei perdendo muitas aulas, conclui com o supletivo, mas agora vou correr atrás de uma faculdade", explica. A diferença da formação não o intimidava. "Acho que eu estou bacana para alguém da minha idade."

Sentado no espaço ao lado de Davi, o campeão da cidade de Porto Alegre, Eduardo Santa Helena, de 44 anos, um hacker veterano e professor na Universidade Luterana Brasileira, em Canoas, no Rio Grande do Sul, exaltava a qualidade da nova geração. "A molecada que está jogando e começando a trabalhar em segurança da informação está muito bem hoje em dia, você consegue ver isso pelos competidores que estão aqui", comentou Santa Helena.

Com jeito um pouco tímido e fala mansa, ele faz piada com o fato de ser o "tiozinho" entre os jovens. "Comecei a trabalhar com segurança da informação em 1996, mas só agora em 2012 que participei do meu primeiro CTF", comentou. Uma das providências que tomou ao ver o potencial das competições de Capture the Flag foi aplicá-las em sala de aula. Esta necessidade acadêmica fez com que ele se tornasse não só um jogador, mas também alguém que monta os desafios da competição. "Pra mim o pior tipo de tarefa são as que envolvem adivinhação, elas fazem o jogador perder muito tempo e escondem a informação de forma pouco realista", completou.

Ao centro da área dos camarotes e bem de frente para o palco da pista principal da Audio Club estava o QG do Hackaflag. Toda a infraestrutura de rede utilizada na competição estava ali. Entre os que estavam controlando as máquinas e monitorando os desafios estava Gabriel Garcia, de 21 anos. Ele foi o responsável por montar algumas das provas que os competidores tiveram que resolver. "Pra mim um bom CTF é aquele que você não tem que perder muito tempo tentando resolver, se você não sabe resolver, paciência", comentou Garcia.

Quando o relógio acusou quatro da tarde, o placar final começava a se desenhar. A maioria dos competidores havia descoberto uma flag e apenas três participantes haviam resolvido duas ou mais. "Esse é o padrão de um bom CTF, normalmente você tem um primeiro colocado que se destaca, um segundo que vai bem também, o terceiro e os restantes acabam ficando mais distantes no placar", comentou Garcia.

Para resolver os nove desafios, a única ajuda era uma possível dica dada pela equipe da organização. Para merecer a ajuda, o hacker deveria ter o maior número de menções, no Twitter, de uma hashtag escolhida antes da competição. A medição era feita de hora em hora.

Num jogo de hackers é possível esperar que este tipo de critério seja manipulado pelos jogadores. Garcia conta que o código fonte do programa que contabilizava os tweets foi disponibilizado para os jogadores antes da competição. "A ideia de usar Twitter não era ver quem conseguia mais gente falando a respeito, mas sim que fez o melhor bot", explicou Garcia mostrando uma das telas onde era monitorada a competição.

Apesar do espaço da balada estar mais iluminado do que estaria em uma festa ou um show, a principal forma de iluminação nos competidores é a luz dos monitores. O azul esverdeado era o principal tom da luz que batia na pele e chegava aos olhos concentrados dos hackers jogando. Até que do nada uma baque alto que chamou a atenção de todos na área dos camarotes.

O campeão do Recife, Arthur Paixão, de 26 anos, frustrado com algum dos desafios deu um soco na mesa que acabou chamando atenção dos competidores ao redor. O estranhamento passa e não demora mais que uns poucos segundos para a situação de tensão voltar ao normal. Paixão protagonizou um dos embates mais concorridos na fase estadual. "Praticamente ganhei no par ou ímpar", explica.

Na final Paixão não está pontuando tão bem assim. Na sexta colocação e bastante inquieto, os pés não paravam de se agitar em baixo da mesa enquanto os olhos seguiam fixos na tela. Por um momento ele tira os fones de ouvido e ouve-se uma música eletrônica bem alta, mesmo com a palestra ao fundo. A fala de Marc Rogers começava a dar sinais que chegava ao final. Os competidores já haviam sido avisados que, assim que Rogers saísse do palco, o campeão poderia ser anunciado a qualquer momento.

Nessa hora já era possível ver o acúmulo das latas de refrigerantes e energéticos sobre as mesas dos competidores. Durante a competição vários deles comeram algo para aliviar a pressão ou para pensar com a barriga cheia. Os pratos, que foram de porções de torresmo a baião de dois, agora ajudavam a compor um visual de quarto de adolescente que fica no computador o dia inteiro.

Quando acaba a palestra, Anderson Ramos sobe ao palco para anunciar o final da competição. Nessa hora meio que sem saber muito como comemorar, numa mistura de alegria, timidez e um esforço sem jeito pra levantar os braços em comemoração, Renato Alencar, de 21 anos, se deu conta de que ele era quem tinha encontrado o maior número de flags na final deste ano deste ano. "Vai gente, cadê o vencedor", falou Ramos ao microfone sem perceber a comemoração discreta de Alencar. O placar final do vencedor foi 325 pontos, apenas 50 à frente do segundo colocado.

A ficha não caiu em um primeiro momento para Alencar. Ele ficou olhando o palco sem acreditar muito que no que tinha acontecido e que tinha ganhado. "Este foi o primeiro campeonato que participei, a fase estadual foi a primeira vez que eu joguei CTF", contou Alencar que foi o campeão na cidade de Teresina, no Piauí.

Alguns minutos depois ele estava no palco, no centro dos outros jogadores posando para uma foto conjunta, segurando uma placa escrito "Welcome to Las Vegas". O prêmio do campeonato é uma viagem com tudo pago para a próxima edição da Def Con. Pouco à vontade com os holofotes e a necessidade de dar entrevistas, Alencar falou que estava muito contente com a vitória e que os desafios estavam bastante difíceis. Os outros competidores concordavam. Era difícil não pensar que hackers normalmente não ficam tão à vontade com o palco e sendo o centro das atenções.

Pouco depois, Alencar voltou ao lugar que ocupou na competição para guardar seus equipamentos. Ali conversou com outros competidores que o parabenizavam. Falavam sobre a dificuldade da competição e como alguns desafios não estavam tão difíceis assim se você tivesse a sacada certa. Dava para notar que estavam cansados pelas cinco horas de hacking ininterrupto. Exausto, sem esboçar qualquer reação, Alencar enfiava suas máquinas na mochila e, em silêncio, enquanto seus colegas iam curtir os shows da noite, pensava na expectativa para a Def Con do ano que vem.