Não só em Portugal, mas em todo o mundo existe uma escassez de profissionais de cibersegurança. Para resolver este problema há que começar cada vez mais cedo a incentivar a formação de novos profissionais na área. É para resolver este mesmo problema que existem os CTFs.
CTFs (Capture The Flag) são competições didáticas focadas na área da cibersegurança. Geralmente duram entre 10 e 48 horas (chegando algumas a durar semanas) e o objetivo é apresentar problemas (chamados de challenges) que as equipas que estão a competir devem resolver o mais rapidamente possível.
As equipas são formadas por vários especialistas nas mais diversas vertentes da cibersegurança como binary exploitation, criptografia, reverse engineering, cibersegurança forense e web (entre outras). Todos estes devem cooperar para resolver o máximo de desafios e levar a equipa alcançar a melhor posição possível.
Categorias dos CTFs: Jeopardy e Ataque-Defesa
Existem duas grandes categorias destas competições: Jeopardy e Ataque-Defesa.
A primeira categoria partilha o mesmo nome que o famoso programa de televisão americano, visto serem conceitos muito parecidos. Nesta categoria as equipas têm de atacar desafios propostos pelos organizadores das competições. Cada desafio está geralmente identificado pelo número de pontos que vale e pela área da cibersegurança mais relevante para o seu contexto. Para ganhar pontos os jogadores têm de obter a flag correspondente a cada desafio, ou seja, devem conseguir recuperar informação escondida à qual apenas conseguem aceder se conseguirem explorar corretamente as vulnerabilidades do desafio que lhes é proposto.
Os CTFs de Ataque-Defesa seguem um conceito muito diferente. Estas competições emulam uma espécie de ciberguerra. A cada equipa é atribuído um servidor com alguns serviços vulneráveis, que devem ser protegidos. Os jogadores têm de conseguir atacar e explorar as vulnerabilidades nos serviços das outras equipas para conseguir as tão desejadas flags. Simultaneamente, devem também consertar as vulnerabilidades dos seus próprios serviços e garantir que estes se encontram disponíveis durante o maior período de tempo possível. A pontuação final de cada equipa tem em conta estas 3 vertentes – flags ganhas, flags perdidas e quantidade de tempo que serviços da equipa se mantêm disponíveis – e obviamente quem tiver mais pontos no final ganha.
Os resultados obtidos nestas competições são refletidos num ranking mundial e, como Portugal não podia ser exceção, é possível consultar o ranking nacional no CTFTime (ctftime.org), plataforma usada para promover este tipo de competições. Em 2022 Portugal teve 38 equipas registadas, estando os STT (equipa académica do Instituto Superior Técnico e equipa portuguesa melhor posicionada no ranking mundial) entre as 100 melhores equipas a nível mundial, tendo conseguido estar entre as 50 melhores em anos anteriores.
Para promover a formação através destas competições o Centro Nacional de Cibersegurança (CNCS), o Instituto Superior Técnico, a Universidade do Porto e a Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI) organizam anualmente uma competição nacional que incentiva cada vez mais estudantes a juntarem-se ao mundo da cibersegurança.
O Cybersecurity Challenge Portugal (CSCPT) tem como objetivo reunir os 10 melhores talentos nacionais para participar no European Cybersecurity Challenge (ECSC), organizado pela Agência Europeia para a Segurança de Redes e da Informação (ENISA). Portugal tem-se revelado um país promissor, tendo conseguido 7º lugar entre 19 equipas em 2021 e 16º lugar entre 33 equipas em 2022. As qualificações para selecionar a Team Portugal, que irá representar o nosso país a Hamar, Noruega, em outubro deste ano, são já a 3 de junho.
Portugal conta também com uma representação significativa na Team Europe, uma iniciativa da ENISA, que aposta na formação e seleção dos melhores talentos a nível europeu para participar no International Cybersecurity Challenge (ICC). No ano passado, um dos capitães da Team Europe que levou a equipa à vitória foi o português Nuno Sabino, aluno de doutoramento no Instituto Superior Técnico.
Após tamanho sucesso, este ano Portugal contribuiu com dois candidatos para a equipa europeia, ambos estudantes do IST: Bruno Mendes, aluno de mestrado em Engenharia Informática e de Computadores e Mariana Costa, aluna de licenciatura em Matemática Aplicada e Computação. Bruno Mendes integra a equipa que vai defender o título em San Diego, em agosto. Em ambos os anos a Team Europe contou com um treinador português na equipa técnica, Pedro Adão, professor no Instituto Superior Técnico.
É importante realçar que, apesar de Portugal contar com alguns dos melhores talentos a nível europeu e mundial, se devem continuar a fazer esforços e a divulgar oportunidades de formação na área da cibersegurança. Iniciativas como estas permitem não só captar novos talentos, mas também desenvolver capacidades como a resiliência, resolução de problemas e capacidade de trabalhar sobre pressão e em equipa, para além de porem à prova os conhecimentos técnicos dos participantes.
Em suma, a comunidade de jogadores de CTFs surge cada vez mais como uma solução ao problema do mercado de trabalho que é a falta de profissionais qualificados na área da cibersegurança.
- Imagens: Cybersecurity Challenge Portugal
- Texto: Bruno Mendes e Mariana Rio Costa