Como contratar um hacker? É correto?

Apesar de comumente ser associada a práticas ilícitas e a indivíduos de índole duvidosa, a palavra hacker, na verdade, se refere a uma subcultura relacionada ao ramo da tecnologia e da computação. Com o advento de uma sociedade cada vez mais interconectada, a importância e influência dos hackers no mercado de trabalho cresceram a ponto de se tornarem uma categoria profissional própria.

Assim, empresas no mundo todo buscam saber como contratar um hacker para tentar entender a contemporaneidade digital e se adequar a questões envolvendo a segurança virtual tanto de seus próprios ativos quanto dos seus funcionários.

Demanda por hackers e cibersegurança aumenta 83% em 2022

No Brasil, especificamente, os serviços hacker começaram a ser levados mais a sério nos últimos anos. Segunda dados da Brasscom, a Associação das Empresas de Tecnologia da Informação e Comunicação, o Brasil possui um déficit de vinte e quatro mil especialistas em tecnologia capacitados para trabalhar com cibersegurança — ou seja, se há déficit, há uma demanda que não está conseguindo ser suprida. Por ano, o Brasil forma por volta de quarenta e seis mil profissionais em TI, mas esses números ficam aquém da necessidade do mercado, visto que o ponto de equilíbrio deveria ser por volta de setenta mil profissionais.

Nota-se que essa demanda ainda está longe de ser suprida e acredita-se que irá aumentar. Segundo o relatório PwC Digital Trusts Insights, a tendência é que 83% das empresas do Brasil acabem tendo que aumentar o investimento em segurança cibernética ao longo de 2022. Outra tendência é que os gastos em cibersegurança também cresçam por volta de 69%, uma porcentagem maior do que o salto do ano retrasado para o passado, cujo aumento de investimento das empresas brasileiras foi de 55%.

Tal tendência ainda é um dos efeitos estendidos da pandemia de COVID-19. Com o crescimento exponencial de negócios tocados digitalmente, houve também aumento de 330% referente à atividade hacker diante da adoção massificada de regimes de home office que antes não eram tão comuns. Antes, computadores pessoais e de trabalho eram máquinas separadas, mas há uma convergência dessas funções para uma única máquina, o que aumenta o fluxo informacional e se torna uma mina de ouro para os hackers de má índole.

Entretanto, nem todo hacker se enquadra nessa descrição, visto que também existem profissionais que atuam justamente para evitar a ação dos cibercriminosos e, como já foi constatado, trata-se de um mercado com carência de profissionais. Segundo informações da Intera, uma empresa de recrutamento digital, houve um crescimento de 265% no faturamento referente à ação dos hackers profissionais, com um aumento de 125% de sua base de clientes, especialmente no que diz respeito às grandes marcas dos varejos que conseguem entender a importância desse tipo de serviço.

Com isso, observando as oportunidades diante de uma demanda ascendente por cibersegurança, houve o surgimento de um “mercado hacker” de consultores e profissionais que se voltaram para preencher essa lacuna. Da mesma forma, há certas empresas de recrutamento e recursos humanos que se especializaram nessa área, facilitando a ação dos empresários preocupados com a segurança dos sistemas de suas empresas.

Também é possível fazer a cooptação desses hackers de forma direta, mas a contratação de tais intermediárias agilizam o processo. A Intera, por exemplo, especializou-se na captação de talentos a ponto de garantir 90% de assertividade e reduzir o tempo da busca por um hacker capacitado em 80%. Outra empresa brasileira especialista em cibersegurança é a Saftec, que também se especializou na área e oferece serviços que vão do monitoramento em rede ao direito digital.

Assim, é importante entender que um hacker nem sempre corresponde a um indivíduo que age pela internet cometendo crimes contra usuários desavisados. Na verdade, trata-se apenas de uma categoria dentro dessa classificação que tem a ver com uma espécie de estilo de vida e código de conduta com origem na contracultura da década de 60 e que gerou frutos que são colhidos até hoje no mercado profissional. 

O que é um hacker?

A ideia do que é um hacker e o que pode ser chamado de “cultura hacker” remonta desde os anos 60, originária de um grupo de entusiastas por computação do Instituto de Tecnologia Massachusetts (o MIT) chamado Tech Model Railroad Club. Tendo abrigado nomes notórios do campo da tecnologia, como Steve Russell (responsável pela criação de Spacewar, o primeiro jogo de videogame amplamente distribuído), o TMRC era uma espécie de abrigo para um grupo de entusiastas por tecnologia onde podiam desenvolver suas habilidades.

Foi nesse clube que o termo “hack” surgiu no intuito de definir a atividade de modificar os computadores e sistemas no intuito de aprimorar suas funções. Mais do que isso, o hacking se tornou uma espécie de estilo de vida, uma ideologia a ser seguida, com um código de ética próprio. Segundo Steven Levy em Hackers: Heróis da Revolução Computacional (1994), computadores podem mudar a nossa vida para melhor e, portanto, devem ser de acesso livre e ilimitado, tal como a informação.

Hackers acreditam que lições essenciais podem ser aprendidas a respeito do sistema de como o mundo funciona ao desmontar os componentes, ver como eles funcionam e usar esse conhecimento para criar coisas novas e mais interessantes.

LEVY, Stephen. Hackers: Heroes of the Computer Revolution. Nova Iorque: Dell Publishing, 1994, páginas 32-33, tradução livre.

Para eles, a computação é um reflexo do mundo (e vice-versa), sendo que o objetivo central de um hacker é o aprimoramento constante de todo e qualquer sistema, sempre procurando falhas e tentando solucioná-las. É como se fosse um instinto primitivo tentar corrigir erros e buscar sistemas cada vez mais perfeitos. Para os hackers, esse tipo de prática é comparável à produção artística, sendo que cada indivíduo tem sua própria lógica de programação, uma espécie de assinatura.

Outro aspecto importante da cultura hacker é que, visando o aprimoramento dos sistemas os hackers também visam se aprimorar e provar a sua própria qualidade para seus pares, mostrando sua expertise e habilidades singulares e se provando o melhor dos hackers. A valorização de um hacker dentro de uma comunidade é indiferente ao seu gênero e idade, desde que seja bom. MafiaBoy, um dos hackers mais notórios do mundo e conhecido por derrubar sites de grandes marcas como Yahoo e CNN com apenas 15 anos à época do feito, explica uma situação aplicável a tal característica da cultura hacker e que aconteceu com ele:

Eu literalmente entrei em um dos chats e disse: “Eu vou mostrar a vocês que eu sou capaz de fazer isso. Listem para mim quem vocês consideram as redes mais poderosas no mundo que eu vou derrubá-las“. Várias sugestões foram enviadas, uma delas foi a rede CNN. Então eu disse: “Ok, CNN? Entrem na CNN em 30 segundos“, e aí a CNN estava fora do ar, incluindo outros 1.500 sites que eram hospedados em servidores da empresa. A motivação era assustar e fazer todos os outros hackers no IRC se submeterem de alguma forma.

MafiaBoy, em entrevista exclusiva para o Showmetech

De acordo com o código de ética hacker, toda informação precisa ser livre. Normalmente atrelado a tal “mandamento”, há outro que incentiva a descrença às autoridades e a promoção da descentralização, visto que muitas vezes a ideia de que a tal informação é constantemente monopolizada pelas figuras consideradas autoridades e a melhor maneira de manter um sistema em que a informação consiga correr livremente são justamente os sistemas abertos livre de autoridades limitantes. É exatamente na interpretação ambígua desse ideal que surgem os conflitos a respeito da índole da comunidade hacker.

Como encontrar um hacker de confiança?

Para se contratar um hacker, é necessário, inicialmente, tomar alguns cuidados. Como constatamos, a questão da certificação é importante, mas também é necessário levar em conta a índole de quem queremos contratar. Afinal, não podemos confiar a nossa cibersegurança para qualquer um, não é mesmo?

Embora seja ideia comum o estereótipo de que “os hackers vivem na Dark Web”, ou ainda que eles aceitam apenas pagamentos em bitcoin por serem moedas virtuais de difícil rastreamento e coisa do tipo, tais ideias, quando presenciadas na vida real, são consideravelmente problemáticas e podem justamente ligar um alerta, já que os hackers “do bem” não precisam se esconder por trás desse tipo de artimanha. Afinal, o que queremos não é nada ilegal.

Isso é porque se precaver não é nada fora da lei. Se você acha que sua empresa está vulnerável ou mesmo já tem suspeita de que há alguma coisa errada com ela, desconfiando de que os sistemas já foram vítimas de atividade suspeita — por conta de travamentos, lentidão, arquivos sumindo, arquivos vestigiais sem justificativa — talvez seja uma boa ideia ir atrás de alguém que possa fazer um diagnóstico.

Assim, tratando-se de práticas completamente legalizadas, não é necessário vasculhar as camadas mais profundas do submundo da internet. Uma busca simples por sites de serviços pela rede pode facilitar bastante tal prática. Um deles, por exemplo, é o GetNinjas, portal que tem como objetivo realizar a conexão entre prestadores de serviço e aqueles que os precisam. No próprio site existe a categoria “serviços de TI“, que pode se enquadrar na busca por um especialista hacker em cibersegurança.

Também é possível encontrar esses profissionais diretamente nos centros de formação. Por exemplo, o Brasil conta com o Hackaflag Academy, uma plataforma especializada cuja missão é desenvolver os profissionais da computação na área da cibersegurança. Eles mesmos contam com um método chamado “In Company“, que disponibiliza os serviços dos próprios tutelados para empresas que os precisem. No site deles há uma aba de contato, o que mostra que estão abertos para quem tem esse tipo de necessidade.

Ademais, também já citamos duas empresas focadas em cibersegurança nesta mesma reportagem, como a Intera e a Saftec. Como se tratam de especialistas, as próprias podem sugerir as melhores ações e serviços de acordo com as necessidades da empresa, de forma personalizada. A comunicação, portanto, é muito importante. Os custos, por sua vez, obviamente variarão de acordo com a especificidade e escopo do serviço. O processo de contratação também pode variar, dependendo da política da intermediária ou do hacker em questão.

Nota-se que alguns serviços que aparentam precisar de hackers especializados às vezes podem ser resolvidos de forma mais prática. Um hacker pode identificar um celular clonado, mas ações podem ser tomadas ao relatar a desconfiança diretamente à operadora de celular. Em ocasiões assim, o próprio hacker também recomendará esse tipo de ação, além de sugerir a troca das senhas, configuração de login em duas etapas e outras práticas comuns de segurança online. É claro que a opinião de tal especialista sempre é importante, caso seja possível e ela esteja disponível.

É válido chamar atenção que invasões de redes sociais, como o Facebook, Instagram ou LinkedIn, ou da coleta irregular de informações de alguém, se enquadram atentados contra a segurança digital de um indivíduo, como protegido pela Lei Geral de Proteção de Dados e pelo Marco Civil da Internet. Portanto, são práticas ilegais. O mesmo vale para invasões contra sites e servidores online. Não precisamos nem entrar em detalhes a respeito das informações bancárias, não é?

Para que serve um hacker?

Comumente classificados como especialistas em tecnologias e sistemas, os hackers têm uma função de entender a nossa sociedade cada vez mais interconectada e ajudar a sua construção e manutenção de uma forma segura e otimizada. Os hackers enxergam o mundo como sistemas e, portanto, observam sempre margem para aprimoramento.

Considerando que a sociedade visa uma migração constante para ambientes digitais, é importante que tenhamos especialistas em tais sistemas para que pessoas comuns, sem o interesse nesse tipo de conhecimento, possam se sentir seguras e protegidas.

É daí que vem tal dicotomia. Os hackers têm uma função social cada vez mais importante e presente no nosso cotidiano, mesmo que muitas vezes não os vejamos atuando de forma prática e até mesmo acabem no noticiário por práticas ilícitas e imorais. Entretanto, há aqueles que se importam e zelam por uma sociedade interconectada tranquila e livre de ameaças, mesmo que dos hackers mal-intencionados.

White Hat / Black Hat

A forma como o Código de Ética Hacker é interpretada pela comunidade é bastante variada, o que fez com que os próprios hackers acabem sendo categorizados em definições distintas de acordo com sua forma de atuação.

O hacker que corresponde a uma visão estereotípica negativa, aquele responsável por invadir sistemas vulneráveis atrás de informações alheias e que promove a desordem em rede é costumeiramente chamado Black Hat (os hackers chapéu preto, em tradução livre), uma vez que justifica suas ações ilícitas através do mandamento da descentralização da autoridade e da liberdade informacional, mesmo que seja relacionado a informações privadas. Eles não deixam de ser hackers, mas ainda não representam o todo dessa subcultura. Ocasionalmente, são também chamados crackers.

Kevin Poulsen, por exemplo, foi um notório Black Hat Hacker nos anos 80 conhecido como o “Hannibal Lecter dos Hackers”. Ganhando fama por hackear as linhas de telefone de estações de rádio para ganhar um carro. Hoje, ele está reformado e, após sair da cadeia, tornou-se jornalista especialista em tecnologia.

Por outro lado, os hackers White Hat (hackers chapéu branco, em tradução livre) são aqueles que se preocupam com a construção de sistemas cada vez mais seguros. Sob tal ponto de vista, ele normalmente é responsável por encontrar falhas em sistemas para ou avisar os responsáveis (de maneira discreta), ou resolvê-las em sua plenitude. Nomes conhecidos do mercado, como Steve Wozniak, cofundador da Apple, Tim Berners-Lee, responsável pelo protocolo WWW, e membros clássicos do TMC, como Steve Russell, são considerados White Hat.

Além destes dois, há também uma espécie de meio termo chamado Gray Hat (os hackers chapéu cinza, em tradução livre), que costuma identificar as falhas dos sistemas e resgatar os dados a eles relacionados, mas não chega a cometer crimes, de fato. Um caso bastante paradigmático e relacionado aos Gray Hat foi em fevereiro de 2021, quando o Ministério da Saúde foi invadido por um hacker que simplesmente deixou uma mensagem alertando, de forma pública, a respeito das falhas do sistema e deixando um ultimato que o próximo invasor pode não ser tão bonzinho quanto ele.

Meses mais tarde, em dezembro, o mesmo Ministério da Saúde foi alvo de um novo ataque hacker. Aparentemente sem ouvir os conselhos do Gray Hat de meses atrás, outro grupo invadiu o sistema e acabou sequestrando os dados de usuário referentes ao ConecteSUS, tirando o site do ar e deixando apenas um aviso. Considerando que tal ataque coloca em risco a segurança nacional e, portanto, comete um crime, pode muito bem ser enquadrado como a ação de Black Hats.

Uma curiosidade: tal classificação veio de uma convenção dos filmes de velho oeste antigos onde os mocinhos eram reconhecidos justamente pelo chapéu de cowboy branco, enquanto a índole dos vilões era rapidamente identificada por conta do chapéu preto.

Serviços comuns do hacker do bem

O Ministério da Saúde chegou a ser avisado por um Gray Hat Hacker a respeito da vulnerabilidade do sistema, não foi? Teoricamente, o próximo passo a ser seguido pelos responsáveis do Ministério da Saúde era checar a integridade dos sistemas envolvidos. Para isso, o ideal era a contratação de hackers profissionais e especialistas em encontrar as falhas presentes no sistema e, então, saná-las para evitar potenciais consequências caso as vulnerabilidades sejam exploradas.

Assim, os White Hat Hackers são considerados os mocinhos responsáveis por identificar potenciais brechas abertas e então fechá-las. Tal prática se dá não apenas analisando o sistema e apontando tais falhas, mas também forçando invasões — obviamente programadas e avisadas previamente a seus contratantes — no intuito de simular o contexto e variáveis existentes em um ataque real.

É por isso que um hacker “do bem” também precisa ter exímio conhecimento em táticas consideradas ilícitas, pois precisa estar sempre um passo a frente daqueles de intenções menos nobres. O conhecimento a respeito de como malwares e outros vírus agem é importante porque assim pode prevenir o sistema, que poderá ser reprogramado para se comportar de forma mais segura diante de adversidade.

Além do entendimento dos sistemas a nível técnico, os hackers profissionais White Hat também precisam ter conhecimentos de engenharia social, ou seja, referentes ao entendimento comportamental dos próprios funcionários de uma empresa para a qual ele está atuando e verificando a integridade.

O fator humano ainda tem muita responsabilidade nas eventuais brechas que podem surgir nos sistemas de uma empresa. É por isso que os próprios hackers conduzem campanhas de e-mail fraudulentas — repetindo, sempre visando com a autorização do contratante — para conseguir verificar pontos de fraqueza nos próprios funcionários, que acabam tendo dificuldades para diferenciar um e-mail verídico de um prejudicial.

Isso também tem bastante a ver com a engenharia social, ramo da área da segurança da informação que envolve a manipulação emocional e psicológica para adquirir dados considerados confidenciais, muitas vezes recebidos de bom grado através de conversa e convencimento.

Nota-se que essa busca incessante pelas falhas de um sistema ainda corresponde com interpretações do código de ética hacker instituído pelo Tech Model Railroad Club. Afinal, os hackers trabalham no intuito de aprimorar continuamente os sistemas para torná-los cada vez mais eficientes — e a composição sistemática de uma empresa é feito não só pelos computadores, códigos e aparelhagem tecnológica, mas também pelas pessoas que as utilizam.

Em um exemplo prático e dentro da esfera governamental, por exemplo, os White Hackers são comumente recrutados pelo Tribual Superior Eleitoral para participar da condução do Teste Público de Segurança (o TPS) com o objetivo de simular de forma controlada as condições de um pleito e tentar identificar potenciais falhas nos sistemas realizando testes diversos referentes às urnas eletrônicas.

Ressalta-se que o entendimento computacional não é exatamente a única exigência necessária para se tornar oficialmente um White Hacker ou um hacker profissional. É necessário ser confiável e, para isso, existem certificações que podem ser conferidas por órgãos respeitados para aqueles que intentam seguir por esse caminho. O EC-Council, por exemplo, é uma organização especializada em cibersegurança voltada ao comércio eletrônico e está habilitada para conceder esse tipo de diploma. A Foundstone Ultimate Hacking, da McAfee, é outra entidade que foi inclusive pioneira na concessão desse tipo de certificação.

Serviços comuns do hacker do mal (e por que eles são ilegais)

Enquanto o White Hat visa o fortalecimento dos sistemas, os Black Hat visam justamente o contrário, explorar falhas do sistema para benefício próprio em atividades consideradas ilegais, configuradas como cibercrimes. Como qualquer crime, existem leis determinando o que são atividades ilícitas e, sob tal ponto de vista, um cibercriminoso, mesmo estando em um ambiente de rede que ele julga ter conquistado, ainda está suscetível por se tratar de um indivíduo físico que responde às leis de um país onde é cidadão.

Por exemplo, a segurança das informações digitais de um cidadão está garantida pela lei correspondente ao Marco Civil da Internet, promulgada em 2014 e que, a despeito de algumas controvérsias, foi considerada pioneira no que diz respeito a políticas relacionadas às redes e ao ambiente virtual como um todo. Sendo o Marco Civil da Internet uma lei que assegura a confidencialidade dos nossos dados, tentativas de invasão podem ser consideradas crime de acordo com a legislação brasileira. O mesmo vale para a Lei Geral de Proteção de Dados.

Além dos objetivos finais que podem ser vistos como escusos, os meios utilizados pelos Black Hat também são passíveis de julgamento. Por exemplo, visando a mineração de criptomoedas, não é incomum a invasão de computadores de terceiros no intuito de instalar scripts de mineração sem que o usuário saiba, se utilizando de máquinas alheias para ganho próprio.

Para tal, é comum o Black Hat Hacker se aproveitar de códigos e scripts invasores (como Trojans e outros Malwares) em desacordo com os termos e condições dos sistemas operacionais que também assumem a função de garantir a segurança do usuário (isso como se o descumprimento da própria legislação do Estado não fosse motivo suficiente).

O mesmo vale para aqueles que realizam a manutenção de páginas visando práticas ilegais, que vão desde a disponibilização de conteúdo pirata a venda de drogas ou manutenção de redes de material pornográfico ilícito, que constantemente precisam se manter à margem da lei para que os responsáveis não sejam pegos e possam manter seus negócios clandestinos — muitas vezes operando em redes paralelas como a Deep Web e a Dark Web.

É válido chamar atenção que a engenharia social e o phishing — e-mails e websites fraudulentos que se disfarçam como oficiais — também são métodos utilizados pelos black hat principalmente sobre os mais desavisados.

É por isso que, no fim das contas, cibersegurança é um tema cada vez mais discutido e levado em consideração no nosso mundo interconectado de hoje, sejam em situações que envolvem empresas de pequeno a grande porte, que envolvem o cidadão como pessoa física a até importantes órgãos governamentais.

Leia também

Marcus Hutchins é um hacker conhecido ter encontrado uma falha no poderoso vírus Wannacry, mas tal feito fez com que seu histórico como black hat viesse a tona e chamasse a atenção das autoridades. Confira sua história.

Fontes: Forbes, Pandasecurity, CNN, New York Times, PrimeIt, UFSC, Brasscom