Quando a revista Forbes, uma das mais conceituadas da atualidade, lançou uma reportagem sobre as profissões do futuro (leia aqui) muitos se surpreenderam quando viram “hacker ético” como uma das principais carreiras citadas. Epidemiologista, químico de alimentos… mas hacker?
Para compreender o quão estranho para alguns pareceu a reportagem, relembremos como a mídia utilizou durante muito tempo (e ainda utiliza) a palavra “hacker” como uma espécie de sinônimo de criminoso cibernético. Se um adolescente invade o sistema da escola para mudar suas notas, é hacker. Se um terrorista invade um sistema governamental e o compromete, também é um hacker. Alguém que rouba dinheiro de contas de banco na Internet? Hacker. Essa “uniformidade negativa” do termo fez com que muitos leigos, e até algumas pessoas da própria área de TI, associassem um hacker como uma espécie de ladrão digital. Na realidade, o termo hacking, quando utilizado de forma pura, significa basicamente “resolver um problema de forma não-convencional”, de modo que a terminologia também é aplicada a àreas que não são de TI (como o “car hacking”, ou “life hacking”).
Apesar de normalmente não ser citado pela mídia geral, existem terminologias mais adequadas para separar os criminosos dos profissionais. Um “whitehat” é o profissional que utiliza seus conhecimentos de invasão de sistemas para melhorar a segurança das empresas. Já o “blackhat”(ou cracker) é visto como o criminoso da história. Existe ainda o “grayhat”, que é aquele que sempre está na linha tênue entre o profissionalismo e o crime. Mesmo que os whitehats já atuavam há décadas ajudando instituições a se tornarem mais seguras, essa atividade não foi vista como uma verdadeira “carreira” até meados dos anos 2000. O panorama mudou quando surgiu a certificação CEH (Certified Ethical Hacking), que abriu os olhos de parte da indústria de TI para a necessidade deste profissional. Foi nesse momento que cunhou-se o termo “Hacker Ético” ou “pentester” (aquele que faz “penetration test”- teste de invasão).
Hoje, mais de uma década depois, existe quase uma dezena de certificações na área (EXIN Ethical Hacking Foundation, CEH, LPT, GPEN, GWAPT, OSCP, OSCE, etc) e cada vez mais as empresas têm buscado pentesters com conhecimento de invasões de sistemas. A premissa para todo esse crescimento é simples: as instituições entenderam que um penetration test é vital para a segurança do ambiente. É como um teste de stress feito em automóveis, para verificar o quanto impacto os carros aguentariam “no mundo real”.
Especialmente no ambiente Web, muitas entidades realizam testes de invasão com frequência para descobrirem as vulnerabilidades antes que um “ataque de verdade” aconteça. Com a maior seriedade e profissionalização do processo de hacking, começaram a surgir padrões de segurança que exigem os testes de análise de vulnerabilidades em uma empresa. Um exemplo é o PCI-DSS, criado através de uma parceria das empresas Visa e Mastecard, que determina regras a serem seguidas por instituições que armazenam dados de cartão de crédito dos clientes na Internet.
Apesar de ainda não ser comum alguém no Brasil com a carteira “formalmente” assinada como Ethical Hacker, houve um crescimento muito grande de empresas terceirizadas que prestam o serviço de teste de invasão, ou mesmo freelancers que o realizam como pessoa física. O mercado internacional já está mais maduro e costuma puxar muitos bons profissionais de hacking para outros países, como EUA, Inglaterra, Polônia, entre outros.
Um dos sinais da maturidade do Ethical Hacking é a quantidade de instituições que passaram a oferecer disciplinas com conteúdo de pentesting em níveis de graduação ou mesmo pós-graduação e mestrado. E isso estamos falando no Brasil, no exterior nem se fala. Com mais de dez anos de experiência na área eu também ministro uma disciplina em um curso de especialização (pós) chamada de “Análise de Vulnerabilidades e Teste de invasão”.
Com o objetivo de popularizar o acesso às principais etapas e técnicas que devem ser conhecidas para atuar como um hacker ético iniciante, mesmo para aqueles que ainda não concluíram a graduação, fiz uma parceria com a plataforma Udemy para lançar o treinamento “Fundamentos de Ethical Hacking: curso prático” a um preço extremamente acessível a todos. O curso inclusive serve como preparatório para certificações mais introdutórias na área, como a EXIN EHF (Ethical Hacking Foundation). Para os interessados, conheçam mais sobre o curso clicando aqui.