Supostos especialistas oferecem serviços e cursos.
Deixe suas perguntas na seção de comentários.
É como um personagem de um filme de Hollywood: é capaz de invadir qualquer sistema com suas habilidades que desafiam o entendimento de usuários e especialistas. Essa é a imagem de super-hacker vendida por “profissionais” picaretas, que tentam vender produtos – principalmente consultoria e cursos – para usuários e empresas. Além de espalhar o medo, esse tipo de atividade não contribui para a segurança – isso quando não for claramente antiética ou até ilegal.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
De onde vêm os picaretas
Em qualquer mercado há empresas ou indivíduos que tentam se aproveitar da falta de conhecimento de quem precisa dos produtos ou serviços e “vender gato por lebre”. No caso da segurança, casos de picaretagem como do hacker nº 1 acontecem porque a área é muito complexa e abrangente. Por esse motivo, muitas pessoas, devido ao medo, acabam se impressionando.
Anchises Moraes é especialista em segurança há 15 anos. Ele explica que muitos conhecimentos distintos são necessários para alguém ser um “expert” em segurança. “Para prover um bom nível de proteção, há muita coisa a ser feita, desde implantar ferramenta, auditar a aplicação da empresa ou o site web, instalar tudo corretamente e até criar normas e políticas, e inclusive dar treinamento”, diz. Mas não acaba aí: “Além de milhares de aspectos técnicos, tem o aspecto humano”.
O que acontece, de acordo com Moraes, é que o resultado é uma fragmentação do mercado. Cada profissional conhece um “pedacinho do problema e um pedacinho da solução”. Mas os super-hackers, como Gregory Evans, afirmam, implicitamente, conhecer todo o tipo de problema, colocando tudo abaixo do guarda-chuva do termo “hacker”.
A principal manifestação da picaretagem acontece em cursos que se autointitulam “cursos de hacker”. “Eles usam a estratégia do medo: ‘eu sou hacker e posso invadir seu computador’. Com isto conseguem convencer uma série de pessoas a pagar pequenas taxas por um curso que não ensina nada além de técnicas e ferramentas básicas e, na grande maioria, também antigas e ineficazes”, explica o consultor em segurança Wagner Elias.
Copiando – ou tendo inspiração pesada – de tutoriais gratuitamente disponíveis na internet, os organizadores desse tipo de curso conseguem ganhar dinheiro sem oferecer nenhum conteúdo ou técnica nova, ao mesmo tempo em que vendem a ideia como revolucionária ou exclusiva. Mentem sobre suas qualificações, dizendo que possuem certificações que na verdade não possuem, e promovem seus conhecimentos básicos como as mais avançadas técnicas de proteção e invasão.
No campo da criptografia, qualquer solução falsa ou ineficaz recebe o nome de “snake oil” ou “óleo de cobra”. “Snake oil” era um medicamento ineficaz usado como panaceia nos Estados Unidos, por isso a analogia.
Existe curso para ser hacker?
O problema é em grande parte a propaganda enganosa. Quando se fala em um “curso de hacker”, há uma infinidade de conteúdos a serem ensinados. Em alguns casos, a troca de nome seria suficiente para dar uma ideia clara do que se trata.
“O termo hacker é legal. É algo a ser perseguido. O problema é que pouca gente sabe o que é hacker”, explica Wagner Elias, que ministra um curso sobre técnicas de invasão que ele se recusa a chamar de “curso de hacking ético”. “Eu vou ensinar algumas técnicas e dar um caminho, introdução... mas só a pessoa pode buscar a cultura hacking”, afirma. “Eu não vou formar hackers e ética não se ensina”.
Para Anchises de Moraes, um curso hacker de verdade teria que abordar assuntos técnicos, humanos (éticos, psicológicos) e até culturais, tornando-o inviável. “Um curso de ‘hacker’ de verdade deveria abordar tanta coisa, das entranhas dos sistemas operacionais, do desenvolvimento de código, aos aspectos psicológicos como a engenharia social, e por aí vai”, especifica. Segundo ele, a maioria dos cursos apenas ensina técnicas de invasão. “Há sim como ensinar técnicas de invasão, mesmo porque existem várias técnicas distintas e muito material disponível sobre elas. Então, sim, é possível criar um curso sobre técnicas de invasão”, diz. Mas adverte: “De cara, isso leva a um questionamento grande sobre a ética do curso e de quem quer fazer um curso desses”.
“A palavra [hacker] é usada de forma a passar uma ideia maior do que o curso promete ser e, portanto, para vender o curso, de forma marketeira”, resume Moraes. “As pessoas usam o termo para ganhar ‘Ibope’. Ser hacker é cool, é só procurar no Google e no Orkut”, concorda Elias.
O teste de invasão não solicitado
Os chamados “penetration tests” (pentests) são testes de invasão em que um profissional de segurança, habilitado e autorizado, tenta obter um acesso privilegiado aos sistemas da empresa com as mesmas condições de um invasor externo. Os cursos normalmente ditos de “hacker” podem ensinar técnicas úteis para esses testes – isso se pelo menos o curso for de qualidade.
A ética dos pentests é problemática. No ano passado, uma empresa realizou um pentest em instituições financeiras dos Estados Unidos que acabou gerando um alerta nacional, porque ninguém na empresa sabia do teste – o que é necessário. Depois, a empresa que realizou o teste precisou se pronunciar publicamente para esclarecer a questão.
É entendimento comum, porém, que não se pode procurar por uma falha nos sistemas de uma empresa sem autorização e depois oferecer a solução é uma falha ética. É por conta dessas situações que o ensinamento de técnicas de invasão necessita de tanto cuidado.
Evitando a picaretagem
Um grupo de hackers brasileiros, conhecidos como “Project Mayhem”, buscou invadir os sites e sistemas pertencentes a profissionais que eles consideravam “picaretas”. Quando alguns profissionais respeitados do ramo se pronunciaram contra os ataques, eles também viraram alvos do Project Mayhem.
Mas confiar no julgamento e na “justiça” de justiceiros virtuais não é uma boa maneira de evitar a picaretagem. Wagner Elias criou uma lista de comportamentos comuns a alguns profissionais que valorizam mais a imagem e reputação de “hacker” do que o conhecimento técnico e efetivo. Ele sugere que empresas e usuários busquem referências e analisem o histórico de cada consultor ou instrutor de curso para não contratar apenas “um cara famoso e que eventualmente tenha alguma certificação”.
O site Attrition.org possui uma lista que inclui profissionais, empresas e até jornalistas de segurança. Buscar semelhanças entre os exemplos e outros profissionais pode ajudar a identificar um charlatão.
Não acreditar em receitas mágicas e buscar resultados concretos é importante porque o objetivo de quem exagera suas habilidades é ganhar dinheiro com o pouco que sabem sem apresentar resultados. O delegado Emerson Wendt, da Polícia Civil gaúcha, lembra que a engenharia social – enganação – é uma das áreas de estudo e atuação da segurança. “Esse tipo de pessoa [o picareta] continua sendo um ‘engenheiro social’, porém com outros objetivos e alvos”, diz.
Talvez a primeira lição de um curso hacker teria de ser “como evitar um falso curso hacker”.
A coluna Segurança para o PC volta na quarta-feira (29) com o pacotão de respostas. Até lá!
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca
1 comentários:
oi, adorei teu site e boas tuas informações a respeito dos hackers
Postar um comentário