Uma tarde no porão secreto de hackers em São Paulo

Lá fora, o sol brilhava numa manhã de sábado fria na medida certa. Dentro, em uma espécie de galpão escuro, estava prestes a começar a primeira Leakon, uma conferência subversiva de hackers. A ideia era ser contrário a eventos semelhantes de cunho corporativo onde o marketing pessoal e competições do tipo capture the flag dão a tônica. Ali a parada era real. No porão, iluminado em sua maioria por luz negra e com todas as câmeras de segurança bloqueadas, juntaram-se uns 50 homens, a maior parte deles na casa dos 30 anos, com mais exceções para baixo do que para cima. O clima era de curtição, quase como uma galera das antigas que se reencontra para um churrasco.

Assim que desci, chamou atenção o som alto que tocava Prodigy. Somado ao resto do cenário, isso dava ao rolê uma aura clichê de filme hacker dos anos 90. Para completar, o crachá — ou badge — era uma peça estilizada parecida com um arduíno. O meu, uma versão rafamé, veio limpo. O de todos os outros participantes tinha quatro conectores de rede e permitia interceptar a transmissão de dados se instalados no meio de um sistema de cabos. Além disso, alguns dos badges também continham pequenos displays de LCD, que, quando acesos, criavam um visual ainda mais interessante.

Com exceção de dois caras que vestiam branco, o resto usava preto — grande parte deles com a camisa oficial da Leakon. A falta de cor destacava uma mulher que fazia a porta da conferência. Enquanto eu andava como barata tonta, ainda buscando me situar no espaço, ouvi ela perguntar meio chateada para um dos organizadores se tinham cortado a rede. Depois de uma risadinha, ele respondeu: "É para sua própria segurança". Era um aviso para mim também. A responsabilidade sobre a segurança dos dispositivos de cada um era por conta própria. Imerso numa cultura onde a a ownagem e a zoação são características fundamentais, não deixei meu celular sair do modo avião.

No meio do lugar, em duas cartolinas salmão que detalhavam a programação do dia, um pedaço de papel em branco com um SENHAS escrito em cima deixava claro que a preacaução era boa pedida. Pensava nisso quando um rapaz andou até lá e grudou uma nota com três ou quatro linhas que pareciam se referir a alguns diretórios. Sem entender muito bem o que aquilo significava, a paranoia bateu forte assim que começou a rolar um burburinho ao meu redor.

"Isso é um servidor onde subi os documentos de algumas empresas, só pela brincadeira", disse o menino, quando fui tirar a dúvida. Por acaso, ele era um dos palestrantes, então aproveitei e pedi para me adiantar sobre o que falaria. "É uma pesquisa que fiz meio em cima da hora sobre um modem 4G. Uma maneira de infectar o modem, mas não a máquina, o que permite passar despercebido pelo antivírus mas acessar a todo o tráfego que passa por ele [o modem]." Massa.

Então, cerca de 10h30 do dia 24 de junho, a Leakon começou. Na frente da galera, as regras eram repassadas num esquema Clube da Luta.
Não pode tirar foto,
não pode filmar,
não pode gravar áudio,
não pode fazer check-in em "porra de app nenhum",
não pode dizer onde aconteceu,
não pode identificar ninguém.
O anonimato é a lei. Com uma exceção. Eu.

***

"Queremos mostrar que São Paulo tem uma cena hacker", contou um dos organizadores, antes de emendar que ali ninguém é santo, embora existam os limites éticos. "E também, tá todo mundo envelhecendo, criando família, se distanciando, então é uma boa oportunidade de reencontrar", disse.

Na descrição, ele deixou claro os dois fatores definidores da Leakon: o anticorporativismo e o resgate de um tempo em que, antes de hacker, era preciso ser desbravador. Grande parte dos presentes se conhecia do final dos anos 90, do IRC, e alguns mais antigos das BBSs, espécie de fórum pré-internet que funcionava por meio de telefone. Se hoje a informação é de fácil acesso e computador se aprende na pré-escola, naquela época o lance era treta.

O contraste vai além. Ser um hacker —ou se declarar um —se tornou hype, o que, como todo o resto, cria um mercado lucrativo cheio de buzzwords, mas nem muito conteúdo. "Na essência, a cultura é o contrário disso, valoriza o stealth, ficar escondido, e não se aproveitar do conhecimento para ficar em evidência", afirmou outro dos organizadores. No canto inferior esquerdo do badge da Leakon, a posição combativa ao mercado corporativo era sintetizado por um símbolo de proibido sobre a sigla CISSP, uma certificação do setor que exige apadrinhamento para ser recebida e era desprezada de maneira geral no rolê. ("A bosta do CISSP só certifica que você sabe ganhar dinheiro, só isso", disse um rapaz.)

Ficar escondido, no entanto, não significa ser desconhecido. Ao longo do dia, não foram poucos as brincadeiras sobre a minha vulnerabilidade naquele ambiente. Certo momento, quando alguém com o microfone citou o doidinho que escrevia sem parar no caderno como mau exemplo de comportamento num evento como o Leakon, um cara chegou no meu cangote e mandou a real: "Tá achando que tá discreto, né? Tem um monte de gente te observando", falou, meio rindo.

Nesse contexto, o verbo "observar" podia ter mil e um significados. Para efeitos de tranquilidade, segui com o mais comum e torci para as brincadeiras serem só brincadeiras mesmo.

***

Em resumo, ele disse que desde 96 — quando os primeiros sistemas do tipo surgiram —, nada melhorou em termos de segurança. O pior é que tentativas de relatar os problemas para a empresa foram infrutíferas e recebidas com descaso. Para um leigo, o mais assustador foi o relato de que uma vez ele acessou uma câmera em Londres, na Inglaterra, e conseguiu ler o cartão de crédito de uma mulher dentro de um carro, a centenas de metros de onde o dispositivo estava instalado. "Mas o pior não é ter acesso ao streaming de vídeo, é que isso é um computador, pode ser usado de várias formas, como nas botnets", afirmou.

A segunda palestra foi a mais fácil de entender, mas também a mais assustadora. Na apresentação que começava com uma tela do programa MayDay! Desastres Aéreos junto a referência ao MH 370 da Malaysan Airlanes (aquele avião que sumiu), um pesquisador mostrou como na verdade os aviões não são tão seguros assim. Explicou cinco sistemas de radiofrequência da aviação civil vulneráveis a ataques e falou que, de todos eles, dois são protocolos que não utilizam nenhum tipo de autenticação ou criptografia. Outro foi criado antes da Segunda Guerra. Uma parada maravilhosa para quem teme voar.

"Para explorar vulnerabilidades e fazer ataque desse tipo é necessário um esforço bastante complicado e conhecimento técnico avançado, mas o equipamento usado é barato, coisa de 600 ou 700 dólares", explicou ele, quando perguntei o quanto um cenário como o descrito era factível. E por que não solucionar esses problemas? Dinheiro, como sempre. "Modificar esses protocolos utilizados é muito caro e demoraria muito tempo, então é compreensível que as empresas aéreas acabem usando segurança por obscuridade, mas isso vai ter que ser feito uma hora", disse o pesquisador, que também mostrou uma ideia de como sanar algumas dessas fragilidades por meio de uma assinatura de quais dispositivos enviam determinado sinal de rádio.

Enquanto a galera saia para almoçar, colei numa rodinha que tinha uma menina — uma das três únicas que passou pelo porão. Fui perguntar da participação feminina reduzida na conferência, mas ela logo esclareceu que só acompanhava o namorado. A participação feminina era inexistente. Quem tava em volta explicou que não foi uma questão deliberada, mas uma falta de contatos para convidar. Citaram três nomes de mulheres super capazes, mas todas estavam morando no exterior. "Esse é ainda um meio um pouco fechado para as mulheres sim", falou um dos organizadores. "Tem vários coletivos interessantes formados por mulheres e muitas desenvolvedoras extremamente boas por aí, mas ainda são minoria e o comporatmento do mercado não ajuda. Elas chegam nas empresas para trabalhar e logo são empurradas para equipe de vendas."

***

Ele começou com um vídeo muito interessante em que o áudio de uma negativa oficial do Governo Federal de que sistemas sensíveis haviam sido hackeados contrastava com as imagens de um amigo de um amigo de um amigo desse cara dando uma passeada sem nenhuma dificuldade por esses mesmos sistemas que permitiam acessar, por exemplo, a comunicação de diversas agências governamentais. "Mas isso não tinha por que ser vazado. Esse é o leak para curtir em casa de cueca bebendo cerveja. Agora tem leak bem feito que é muito importante", disse.

O registro era de alguns anos atrás. Semanas depois do ocorrido, um relatório oficial reconheceria 44 "acessos ilegais" nos sistemas de informação do governo. "Hoje em dia o sistema mudou muito, esse meu amigo não tem mais acesso. Ou não, quem sabe", me contou ele bem depois, não sem antes olhar no meu olho e perguntar meu nome completo. De brincadeira, claro.

Na conversa desordenada que se seguiu ao vídeo, ele falou um pouco sobre sua experiência no meio dessa cultura, deu as alfinetadas de lei na indústria ("o marketing leva a galera para o lado errado") e deixou escapar uma ou outra história mais cabulosa. De todas as pessoas que vi na Leakon, esse cara é o que mais se encaixaria na imagem feita pelo Jornal Nacional do que é um hacker. É possível resumir toda a fala do bicho em um incentivo para a rapaziada correr atrás e aprender mais, sem medo de parecer tosco.

Com uma empolgação genuína, ele contou que a diversão dele é pegar qualquer caixinha, qualquer dispositivo, e abrir para ver se encontra dois fiozinhos onde pode ligar um computador. É meio aquela parada da jornada ser tão importante quanto o destino: para quem estava ali, encontrar uma solução inusitada para um desafio autoimposto é uma satisfação tão grande quanto solucionar o próprio desafio. A ordem é subverter a maneira como um objeto — seja ele um sistema, software ou hardware — foi desenvolvido e encontrar uma brecha que possa ser explorada.

A partir daí, a graça é fazer uma "maldadezinha", termo que ouvi repetidas vezes e que era reforçado pela figura onipresente de um diabão sorridente nos slides da galera. O que significa exatamente o termo, no entanto, fica a cargo dos limites individuais de cada um. Ainda que nada impeça o uso dessas capacidades para o lado sombrio, a impressão é que o que estava em jogo era uma tour de force para mostrar uma sagacidade maior que a do coleguinha. Não por uma questão de vencer, mas sim para incentivar a escalada do nível de dificuldade dos desafios. Tipo uma Guerra Fria com uma humilhação virtual no lugar do inverno nuclear.

As duas palestras seguintes seguiram nesse caminho, apesar de terem sido meio indecifráveis para mim. A segunda delas, aquela sobre o modem 4G, terminou em grande estilo. Depois de demonstrar como funcionaria a infecção ao modem, ele abriu um prompt de comando — quem tava ao meu redor ficou excitado, então eu também fiquei — e aí o bicho pegou. Ele digitou o nome de uma empresa recordista de lucro no país e umas boas dezenas de nomes pessoais completos e seus respectivos e-mails e hashes (uma espécie de código) de senhas surgiram na tela. Tão rápido quanto apareceram, ele apagou as informações. Depois contou serem parte de um banco de dados vazado de um app brasileiro — quando perguntei qual, apenas riu.

Em seguida, foi a vez do três letras de um órgão federal e dezenas de nomes apareceram. Um login de figuras odiadas do mercado de segurança da informação. Delírio. Outro órgão de segurança, dois nomes. Uma fintech, a galera fez um "uhhhhhhhhhhh" e ele segurou a onda. Mais uma empresa, e aí a lista de dados não parava nunca. Enquanto um bróder atrás de mim falava "continua brincando que já já descobrem que banco de dados é esse aí", alguém me cutucou. Com a atenção do resto do povo toda na demonstração lá na frente, me levou até o papel das SENHAS, agora já mais preenchido. No meio dele, escrito com uma linha fina, discreto, quase escondido, um login e senha suscitava um dos salvadores da pátria dos últimos tempos.

Inicial conhecida ponto inicial desconhecida ponto quatro letras do sobrenome famoso, esse era o login. A senha parecia ter sido criada por um moleque do RPG sem muito criatividade. De onde vieram essas informações e onde logariam? Isso eu não perguntei.

***

A coisa esquentou quando perguntaram a opinião de um cara mais velho da cena sobre como reagir numa posição em que trabalhar nesse mercado significa roçar os ombros com algumas das figuras que distorcem o que deveria ser um hacker. A resposta dele foi elegante: "´Não dá para seguir uma lógica matemática, binária. Não tem saída, o conflito é inerente." E é verdade. Fora especificidades, a discussão ali girava em torno de uma dicotomia que é comum a diversas formas de cultura, conhecimento e arte: o combate entre o indivíduo e a corporação.

No sábado, naquele porão, como em showzinhos independentes e nas festas de música eletrônica que resgataram o Centro da cidade, quem ganhou foi o indivíduo.

Para mim, ficou a curiosidade de ver o dono do lugar andar o dia inteiro de um lado para o outro carregando caixas de cerveja sem dar muito bola para o povo estranho que ocupava o salão. Acostumado às festas underground que rolam por lá, ele disse que o mais próximo daquele evento que o lugar sediara antes fora um encontro de pixadores.

No final das contas, com tanta gente treta de internet ao meu redor, quem me ownou fui um guri de skate. Molequinho mesmo, pré-adolescente. Enquanto trocava uma ideia do lado de fora, ele interrompeu a conversa, entrou no meio da roda e apontou na minha direção. "Já falaram que você parece o ator do Hulk?". Risadas sem fim ao redor. "Sério mesmo, posso tirar uma foto?". Virei o Hulk, mas, ali, foto não podia.