Quando você pensa em hackers, provavelmente surge em sua mente aquele sujeito, talvez um nerd como no seriado "Mr. Robot", que passa a madrugada toda no computador tentando invadir sistemas para roubar contas bancárias. Eles existem e são chamados de “black hats” (“chapéus pretos”, em português) e atuam na ilegalmente.
Porém existem também os “white hats”, conhecidos mais popularmente como Ethical Hackers, que trabalham em grandes empresas na caça por vulnerabilidades. Assim como uma vacina, eles entram em um sistema para impedir que outros hackers, estes com más intenções, façam isso para te prejudicar de alguma forma.
Dando continuidade a conversa que tivemos na matéria passada a respeito de cybersecurity, entrevistamos seis especialistas em ethical hacking para conhecer melhor como é este mercado de trabalho, por que as empresas devem levar a sério a ideia de contratar um hacker e até se os “black hats” costumam se converter e sair do “lado negro da força”. Confira!
Angelo Oliveira (Ethical Hacker na TOTVS) - Se você é uma empresa que desenvolve software, o papel do ethical hacker é justamente validar se o software que você desenvolve não tem vulnerabilidades que podem comprometer a segurança e dados dos seus clientes.
Num processo de desenvolvimento de um software seguro, o ethical hacker entra na fase de pré-homologação e, dessa forma, quando o software for para produção/prateleira, já tem os requisitos mínimos de segurança. Para uma empresa de software, isso mostra, além de tudo, respeito pelo cliente.
Contudo, uma equipe de desenvolvimento de software seguro precisa mais que um ethical hacker, precisa de um application security engineer que irá acompanhar/executar a implementação do processo de desenvolvimento seguro em si. Caso a empresa não desenvolva software, o papel do ethical hacker é validar se os softwares que a empresa utiliza, bem como a infraestrutura (rede) são seguros.
Edson Borelli (CEO da Blackdoor Security) - Um hacker, na minha visão, é uma pessoa que tem a busca pelo conhecimento bastante direcionada. Isso no ambiente das empresas, que buscam no mercado pessoas inexperientes e treina as mesmas até que seja um funcionário bom e confiável, é uma vantagem muito grande. E a curva de aprendizado é bastante diferente. No ambiente de segurança da informação, vejo como um prêmio o empresário que conseguir achar um bom hacker, pois terá alguém em que pode confiar no trabalho.
Ricardo Maganhati Jr. (Analista de Segurança da Informação e autor do site O Analista) - Em um primeiro momento, muitas empresas ficam com receio quando escutam a palavra hacker. Mas o cenário hoje está um pouco melhor para o profissional que utiliza o conhecimento de hacking de modo profissional e para o “bem”.
Com muitos ataques ocorrendo em diversas partes do mundo (e o Brasil não fica fora dessa), as empresas que querem se manter no mercado e não ter a sua imagem prejudicada por conta de um ataque ou vazamento de informações, precisam contratar um Ethical Hacker. Ele é a pessoa que possui o conhecimento necessário para testar com eficiência a segurança de uma rede ou sistema, realizar a invasão, encontrar vulnerabilidades, além de sugerir formas proteção a esses ambientes.
O Ethical Hacker conhece o outro lado da moeda, sabe como os atacantes agem e utiliza seus conhecimentos técnicos para ajudar outras empresas a terem mais segurança.
Richard Willian Pandolfi (Especialista em Cybersecurity na Cielo) - Toda empresa deveria contratar hackers. Esses caras adoram o que fazem, sabem o que fazem e não são valorizados pelo que fazem. Hackers sabem onde encontrar falhas no código, explorar a vulnerabilidades e ainda corrigi-las. Muitas empresas têm percebido essas qualidades e tem investido na contratação de hackers.
Rodrigo Muniz (Consultor de Segurança da Informação na Redbelt) - A empresa só vai conhecer suas fragilidades e saber se defender delas se souber como explorar essas falhas. O ethical hacker deve olhar sua infra, seus sistemas e estar envolvido em todas as esteiras de desenvolvimento de sistemas construídos pela empresa (se houver).
Wagner Lucena (Analista Sênior de Segurança da Informação na 99) - Basicamente toda e qualquer empresa que preza pelos seus dados deveria contratar um hacker. O hacker tem como missão investigar as aplicações e infraestrutura de TI de forma meticulosa a fim de identificar possíveis vulnerabilidades que eventualmente um black hacker venha explorar.
Angelo Oliveira - Varia muito. Eu trabalhei com desenvolvedor e agora sou ethical hacker de aplicações. Quem tem experiência com redes, pode se dar melhor na parte de ethical hacking de infraestrutura. Qualquer que seja o seu background e perfil, ethical hacking é uma profissão em que se precisa estudar muito, praticar muito e acima de tudo gostar muito do que faz.
Edson Borelli - No mercado de trabalho, independente de todos os cursos que a pessoa terá que fazer, o principal foco esta na ética da pessoa, independente de problemas vinculados a crimes previstos em lei, pois isso hoje quem cuida é a Polícia/Justiça. É o fato de ter acesso a informações sensíveis e saber como lidar com elas.
E quanto mais confiável a pessoa for, mais acesso a projetos incríveis ela estará inserida. O resto é o dia a dia, análises, muitas análises, bastante feeling, muitos recursos para ter um plano A, plano B.
Ricardo Maganhati Jr. - A carreira de um profissional como um Ethical Hacker, está em constante expansão. Pois ele precisa se informar sobre novas vulnerabilidades, bem como sobre novas formas de ataque utilizadas. É um trabalho constante.
Para que esta profissão fosse reconhecida no mercado, foi criada nos anos 2000 a certificação CEH (Certified Ethical Hacking). Já que de lá para cá muita coisa mudou, foram criadas outras certificações para compor o portfólio deste profissional, como a Exin Ethical Hacking Foudation, OSCP e outras.
É preciso deixar claro, que tecnicamente falando, não é necessário que um ethical hacker possua várias certificações. Ele normalmente já possui conhecimentos de invasão em sistemas ou fez algum treinamento de Ethical Hacking para aprimorar seu conhecimento na área, então a obtenção de uma certificação não é item obrigatório para o profissional executar o seu trabalho.
As certificações foram criadas para avaliar um profissional e reconhecer (e as outras que estão contratando saberem) que ele possui os conhecimentos necessários para executar um trabalho com qualidade, além de dar uma certa visibilidade para quem possui uma ou mais certificações.
Richard Willian Pandolfi - É uma relação que deve ser construída sob a confiança. Para contratar um hacker você primeiro deve conhecer o caráter dele antes do conhecimento técnico. Investir em conhecimento é possível, mudar o caráter de alguém já é outra história. Infelizmente a mídia no Brasil pinta uma visão de que hackers são bandidos, mas lá fora existem cargos específicos para essa galera, tanto é verdade que foi criado a certificação Ethical Hacker.
Rodrigo Muniz - Muito estudo, muita demanda, pouca mão de obra qualificada, muito estudo, sobrecarga de trabalho e muito estudo. É preciso ser curioso e ser autodidata para compreender os problemas e saber traduzi-los ao negócio. Hoje poucos hackers sabem fazer essa ponte.
Wagner Lucena - Um ethical hacker pode seguir uma carreira em uma empresa ou seguir sua trajetória como pesquisador independente. Há algumas empresas que possuem um programa de bug bounty, que basicamente permite que hackers éticos em torno do mundo pesquise e/ou tente explorar vulnerabilidades em suas aplicações. Uma vez identificada/explorada a vulnerabilidade, o hacker ético é recompensado monetariamente. As duas maiores empresas que orquestram este tipo de serviço são: HackerOne e Bug Crowd.
É comum hackers “black hat” migrarem para o mercado de ethical hackers?
Angelo Oliveira - Não sei. Mesmo porque black hats atuam de forma ilegal e não iriam dizer que eram black hats antes de ser tornarem ethical hackers.
Edson Borelli - Hoje não acredito que uma pessoas com esse nível elevado de conhecimento fique muito tempo no black hat. Primeiro, porque hoje existe lei. Segundo, porque existe um mercado de trabalho bastante atrativo, que paga bem e oferece tudo o que essa pessoa precisa pra desenvolver mais e mais.
Acredito que alguém só é black hat por falta de oportunidade, pois uma pessoa com esse nível de conhecimento diferenciado é muito útil hoje nas diversas ameaças que os ativos enfrentam.
Ricardo Maganhati Jr. - Muitos hackers das antigas que realizavam invasões, mesmo que por curiosidade, eram considerados pelas empresas pelo que chamamos hoje de black hats. Hoje, esses hackers acabaram indo para o “lado bom da força”, atuando como Ethical Hackers ou prestando consultoria em segurança da informação em geral para várias empresas.
O exemplo mais conhecido de um white hat ou Ethical Hacker, é o Kevin Mitnick. Durante os anos 80 e 90 ele foi considerado um Black Hat pelas empresas que invadiu. Mitnick possui uma empresa de consultoria e é sócio de outra, que inclusive adquiriu uma empresa brasileira que atua no ramo de proteção contra ataques de phishing.
Essa é uma profissão do presente e do futuro, pois sabemos que os ataques cibernéticos nunca vão parar. Por isso, as empresas precisarão sempre ter por perto um Ethical Hacker.
Richard Willian Pandolfi - Conheço muitos black hat das comunidades underground e alguns trabalham em empresas durante o expediente comercial e nas madrugadas adentro fazem hacking. É difícil dizer/mensurar se é comum pois muitos deles estão na famosa zona cinza e buscam se colocar no mercado de trabalho, mas por muitas vezes não terem formação e/ou certificação na área, não conseguem uma boa recolocação e acabam ficando do lado que "paga mais", mesmo que seja de forma ilícita, infelizmente.
Rodrigo Muniz - Não é muito comum, tem caras atuando como greyhat (tanto como black hat, quanto como white hat), mas vai da ética de cada um. Na verdade, a ética é o que separa os bons profissionais dos inconsequentes.
Wagner Lucena -“Black hat” é um evento de segurança da informação, o termo correto seria “Black Hacker”. Infelizmente não é comum, pois, financeiramente falando, o mercado de black hackers é muito mais vantajoso. O fato é que o inverso é mais comum de acontecer, ethical hacker migrando para o mundo negro.