Sempre existiram Ethical Hackers, muito antes dos Hackers maliciosos. Mas apenas a partir do início do século XXI a Cibersegurança inaugurou a sua democratização. Para muitas pessoas um Hacker não passa de alguém que usa o ambiente digital para cometer crimes, como o roubo de dados pessoais e financeiros. O que poucos sabem é que esta expressão já teve uma conotação positiva.
Na década de 1960, o termo era tido como um elogio, usado como referência aos estudantes do Instituto de Tecnologia de Massachusetts (MIT) que se destacavam pelas suas habilidades em programação. Entretanto, algumas pessoas começaram a utilizar estas mesmas habilidades para benefício próprio e a trazer má reputação ao termo. Mas em 1995 voltou a popularizar-se, quando o Vice-Presidente da IBM, John Patrick, utilizou a expressão Ethical Hacking para definir a atividade dos profissionais. João Paulino é Ethical Hacker e especialista em Cibersegurança. Passa entre oito a 10 horas online, são longos períodos a navegar pela internet e a explorar bugs e falhas de segurança, garantindo a ciberesiliência de muitas organizações. A Pandemia fez aumentar o cibercrime e foi também nessa altura que João teve oportunidade de se dedicar e investir em formação.
«A maioria das pessoas vê o submundo dos hackers como um iceberg, só conseguem ver a ponta do mesmo. No entanto este submundo possui infraestruturas tecnológicas, é um local onde se movem políticos, espiões, corruptos de diferentes organizações, máfias de todos os países, sindicatos do crime, Yakuza, cartéis de droga, grupos de ativistas, lone wolf’s, jornalistas, traficantes, polícias e militares. Este submundo confunde-se e mistura-se com a Deep Web e Dark Web. A maioria age no anonimato, não há nomes reais, os serviços, informação e produtos (tudo é comercializado, mesmo tudo) são transacionados nas diferentes criptomoedas, principalmente bitcoins», partilha. Um mundo à parte, que João Paulino desvenda parte à Líder.
O que é e como descreveria um Ethical Hacker?
Um Ethical Hacker ou White Hat Hacker é um profissional de tecnologias de informação com foco na cibersegurança. A sua atividade é descobrir informação relativa a equipamentos, redes de comunicações, sistemas, serviços e pessoas de organizações-alvo com a finalidade de encontrar e explorar vulnerabilidades. O principal objetivo é simular, tal como um hacker malicioso o executaria e controlaria o ecossistema, de forma a concretizar uma ação ou ataque. A diferença é que este trabalho é realizado para garantir a ciberesiliência das organizações ao invés de as prejudicar na imagem, negócios, ou terem de efetuar o pagamento de um resgate em criptomoeda.
O Ethical Hacker, tal como o Black Hat Hacker, é alguém com uma capacidade de persistência e resiliência muito alta, observador e com vontade e capacidade de aprender diariamente, ágil e flexível. É alguém com curiosidade que consegue desmontar uma coisa, compreendê-la e voltar a montá-la, se possível que fique melhor no final.
A filosofia por trás do Hacker Ético é tentar capturar o ladrão, pensando como um ladrão.
Portanto um hacker ético acaba por usar as mesmas técnicas e métodos de um Black Hat Hacker. Mas isso não é ilegal?
Não, desde que seja autorizado.
Quais são as origens do ethical hacking?
A origem do hacking remonta aos anos 60 do século passado. Era um termo utilizado pelos estudantes de Engenharia do MIT, quando conseguiam otimizar sistemas e equipamentos de forma a serem mais eficientes. Ou seja, ethical hacking é mais antigo do que o hacking malicioso. Na década de 70 do mesmo século, o número de computadores começou a crescer e alguns programadores começaram a testar as suas capacidades e as dos sistemas, a internet não era como a conhecemos agora e os computadores eram utilizados por grandes organizações ou departamentos estatais. Para se aceder utilizavam-se linhas telefónicas e as chamadas efetuadas eram pagas e caras, surgem os phreakers que violavam a rede telefónica para realizar chamadas de longa distância sem pagar. Foi um indivíduo chamado Joe Engressia, com 7 anos de idade, que conseguiu nos anos 60 recriando um tom em 2600 hz que interrompia a contagem da taxação telefónica. Esta vulnerabilidade foi amplamente explorada. Com a generalização dos computadores a partir da década de 80 do século passado a palavra hacker passou a estar associada a atividades criminosas. Sempre existiram Ethical Hackers, no entanto foi a partir do início do século XXI que a cibersegurança inicia a sua democratização, com certificações InfoSec, eventos e formação.
Como é que se tornou ethical hacker?
Sempre me interessei pelo tema e li durante anos artigos e livros e praticava num laboratório virtual criado por mim. No entanto, durante o início da pandemia da COVID-19 o assunto tornou-se sério e investi centenas de horas a estudar, a praticar mais e a fazer certificações. Foi a altura certa, pois o cibercrime aumentou de uma forma nunca vista até então e surgiram oportunidades de trabalhar na área, e acompanhar alguns cibercrimes de perto, até aqui em Portugal.
O cinema também ajudou a alimentar o imaginário coletivo dos hackers como pessoas isoladas e fora da lei a utilizar a tecnologia para fins criminosos. Como se consegue “limpar” esta imagem?
A palavra hacker tem uma conotação pesada, sempre que é dita, escrita e lida, é associada com ações ligadas a crimes. Num curto espaço de tempo não vai ser vista de outra forma; é assim desde as décadas de 70, 80 do século passado.
E o submundo dos hackers mantém-se altamente sigiloso.
A maioria das pessoas vê o submundo dos hackers como um iceberg, só conseguem ver a ponta do mesmo. No entanto este submundo, possui infraestruturas tecnológicas, é um local onde se movem políticos, espiões, corruptos de diferentes organizações, máfias de diferentes países, sindicatos do crime, Yakuza, cartéis de droga, grupos de ativistas, lone wolf’s, jornalistas, traficantes, polícias e militares. Este submundo confunde-se e mistura-se com a Deep Web e Dark Web. A maioria age no anonimato, não há nomes reais, os serviços, informação e produtos (tudo é comercializado, mesmo tudo) são transacionados nas diferentes criptomoedas, principalmente bitcoins.
Há guerras entre grupos de cibercriminosos e, com a Polícia, entre Estados com militares ou grupos de cibercriminosos patrocinados. Não nos podemos esquecer que o cibercrime teve em 2021 um custo de 6 triliões de dólares e a previsão é que cresça até aos 10,5 triliões de dólares em 2025, qualquer coisa entre 5,8 biliões e 10 biliões de Euros. No final do dia é igual ao mundo que conhecemos bem com todas as suas virtudes e defeitos e já não é tão sigiloso como já foi. Hoje as pessoas têm acesso a mais e melhor informação, há mais campanhas de esclarecimento e prevenção e as notícias de ciberataques colocam maior visibilidade, interesse e mesmo investigações sobre este submundo.
O ethical hacking é uma estratégia contratada por muitas empresas com o objetivo de medir e garantir a cibersegurança. Como é que se organizam e que regras seguem?
Para que tal seja legal e cumpra a legislação, as boas práticas e recomendações, deve ser realizado e celebrado um contrato entre as partes e os vários stakeholders devem ser informados sobre o PenTest, mais precisamente quando se irá realizar, qual o âmbito, a duração e de onde vai ser realizado. Estamos a falar de operadores de internet, fornecedores de serviços cloud, ou outras entidades que possam ser afetadas. Existem vários programas de recompensas, denominados «Bug Bounty Programs» em que várias empresas oferecem recompensas por defeitos e vulnerabilidades detetadas e exploração de segurança. Estes programas surgiram em 1983 pela mão da Hunter & Ready, onde era atribuído como prémio um Volkswagem Carocha/Beetle a quem descobrisse um bug no sistema operativo Versatile Real-Time Executive (VRTX).
Há também empresas a integrar ethical hackers como colaboradores permanentes?
Sim, algumas empresas contratam um ethical hacker ou mesmo uma red team (equipa de ataque) e uma blue team (equipa de defesa). Resultante da transformação digital acelerada das empresas, da desmaterialização de processos e da interconexão de ecossistemas digitais que aumenta ao minuto, tornando-os imprescindíveis no mundo atual. A cibersegurança é um tema de negócio em muitas empresas, e valorizado como tal, o que permite alocar recursos financeiros de forma a permitir uma ciberesiliência. Nenhuma organização está livre de sofrer um ciberataque. O que faz a diferença é como está preparada para resistir, recuperar e continuar a operar depois de um ciberataque e gerir a crise e comunicar de forma clara interna e externamente nos momentos certos.
Pode desvendar alguns nomes de empresas em Portugal?
CyberX, VisionWare, CyberS3c, Layer8, Redshift Consulting, S21Sec, adquirida pela Thales.
Quantos ethical hackers é que existem no nosso país?
Teremos cerca de 300 Ethical Hackers/ Pentester no que diz respeito à atividade de hacking e PenTest. No entanto, existem muitos mais engenheiros de segurança/ cibersegurança, analistas de segurança/ segurança, analistas SOC, engenheiros SOC que chegam à casa dos milhares.
Este artigo foi publicado na edição de inverno da revista Líder
Subscreva a Líder AQUI.
