MEU DINHEIRO VOCÊ BEM INFORMADO VOCÊ EM AÇÃO VOCÊ EM EVOLUÇÃO VOCÊ EM EQUILÍBRIO
Assine VOCÊ S/A
BUSCA AVANÇADA
VOCÊ NA REDE
COLUNISTAS
EVENTOS
TESTES
NEWSLETTER
QUEM SOMOS
FALE CONOSCO
ANUNCIE
 
 
 
HACKERS DO BEM

Por Cassio Henrique Utiyama

Pague-me 100 000 dólares e eu consertarei seus 'bugs' e esquecerei de sua loja para sempre. Caso contrário, vou vender o número dos cartões de crédito de seus clientes e vou falar sobre esse incidente para a imprensa."

O autor dessa mensagem é um jovem russo, na época com 19 anos, que se identificou como Maxim; e a vítima, uma empresa norte-americana chamada CD Universe, de vendas de CDs pela internet. A ameaça foi ignorada e o hacker deu início a seu plano diabólico, roubando 300 000 números de cartões de crédito -- com as respectivas senhas -- dos clientes da CD Universe. Para provar que não estava para brincadeiras, ele enviou 198 desses números ao jornal The New York Times. Depois do incidente, a CD Universe, que faturou 9,1 milhões de dólares em 1999, não teve outra saída a não ser fechar as portas.

Isso aconteceu há dois anos, mas de lá para cá as coisas só pioraram. No mês passado, um ataque hacker para-lisou, durante uma hora, nove dos 13 servidores que dão acesso à internet em todo o mundo. O fato foi descrito por especialistas da Casa Branca como o mais sofisticado ataque em larga escala na história da web.

Esses dois exemplos demonstram que a internet ainda não conseguiu vencer seu maior desafio: provar que é segura. Só neste ano as companhias americanas amargaram prejuízos de 455,8 milhões de dólares por causa dos ataques de hackers. O dado é de um levantamento realizado pelo instituto norte-americano Computer Security Institute (CSI) em parceria com nada menos que o Federal Bureau of Investigation, ou FBI. É óbvio que essa falta de segurança afeta a confiança dos consumidores nos negócios. Uma pesquisa recente feita pelo instituto Forester Research, dos Estados Unidos, revelou que 37% das pessoas comprariam mais pela rede se tivessem certeza de que não existe risco.

As corporações americanas estão vulneráveis -- 90% delas encontraram brechas em seu sistema de segurança nos últimos 12 meses. A expectativa da Computer Economics, empresa que analisa segurança em tecnologia da informação, é que o cibercrime cresça algo em torno de 230% e a incidência de vírus aumente em 22%. Só no ano passado foram registrados mais de 31 000 ataques a redes corporativas, segundo análise da empresa de segurança mi2g. Espera-se que até o fim do ano esse número chegue a 45 000. No Brasil, a história não é muito diferente. A Módulo Security, uma das maiores empresas nacionais de segurança de informação, diz que 43% das companhias que atuam em nosso mercado já tiveram seus sistemas invadidos por hackers.

Há hackers e... hackers

Na outra ponta desse cabo-de-guerra -- reforçando o lado das corporações -- estão profissionais como o norte-americano Brian Christian, co-fundador e consultor sênior de uma organização especializada em segurança de informação, a SpiDynamics. Seu trabalho é encontrar defesas contra o cibercrime. Ou seja, Christian é um hacker do bem. Aos 28 anos, depois de passar por corporações do porte da Lucent Technologies e da IBM, montou seu próprio negócio de segurança de informação e hoje tem o governo norte-americano entre seus clientes.

O trabalho de profissionais como Christian vai muito além de evitar ataques de hackers e problemas com vírus. Eles também precisam garantir um plano de continuidade para o negócio. Ou seja, desenvolver uma política que faça a empresa se manter funcionando mesmo com o comprometimento de sua infra-estrutura de dados -- Disaster Recovery, para usar o vocabulário da área. "Após a queda das torres gêmeas do World Trade Center, várias companhias continuaram suas atividades no resto do mundo graças aos dados armazenados em outros locais", diz André Damiano, consultor sênior da Delloitte Touche Tohmatsu. De acordo com a pesquisa anual da revista Informationweek e da consultoria PricewaterhouseCoopers do Brasil, 55,4% das empresas atualizaram seus planos de continuidade depois do dia 11 de setembro. A Veritas, fabricante de software de armazenamento e proteção de dados, por exemplo, foi contatada por mais de 100 delas depois da tragédia -- o dobro do usual.

Para Christopher Cook, gerente da Veritas no Brasil, o mercado está mais consciente da importância do armazenamento de dados. "Quanto mais uma companhia depende da tecnologia, maior a importância de ter um plano de continuidade", afirma. A sorte está lançada. Se você procura uma chance na carreira e entende -- e gosta -- da área de segurança em rede, a hora é agora. Só neste ano, as companhias brasileiras devem investir aproximadamente 2% de seu orçamento em tecnologia, o que não é pouco. Lá fora o panorama é ainda mais promissor, e as organizações vão destinar cerca de 4% do orçamento para a área de sistemas. Ou seja, um profissional bem preparado pode trabalhar como hacker do bem até em outro país.

Mudança de hábito

Para criar um ambiente seguro, o responsável pela segurança das informações não deve preocupar-se apenas com o aspecto tecnológico -- precisa também pensar em estratégias que ajudem as pessoas a mudar seu comportamento. Tem gente precavida no mundo real, que se esquece de tomar cuidados básicos no universo digital. "Da mesma maneira que a chave de um cofre deve ser guardada em lugar seguro, a senha do computador não pode ficar debaixo do teclado", comenta Zilta Marinho, diretora de educação da Módulo Education Center, uma das maiores empresas de segurança do Brasil. São justamente essas pessoas que podem contribuir para colocar o trabalho do hacker do bem a perder. Elas esquecem documentos confidenciais em cima da mesa, jogam relatórios importantes no lixo (sem destruí-los previamente) e falam sobre assuntos estratégicos sem cautela e para quem não devem. Parece insano, mas faz parte das atribuições do chief security officer (CSO), o topo da carreira de um ha-cker do bem, pensar na possibilidade de um concorrente subornar a empresa de limpeza prestadora de serviços para obter os relatórios que foram para o lixo. "Entre 75% e 80% das violações de informações secretas são causadas por funcionários", afirma Cezar Zarza, vice-presidente de marketing para a América Latina da Computer Associates, que atua na área de software de segurança de informação. "Devemos cuidar tanto do vazamento de informações quanto das infiltrações de hackers", afirma Marcelo Mendes, diretor de desenvolvimento de negócios da YKP Informática, especializada em soluções de software e serviços. O melhor antídoto contra essas ameaças? Conhecer quais são os dados mais importantes para melhor defendê-los.

Amaral: um dos poucos brasileiros com certificação internacional NA VELOCIDADE DOS BITS Quem conversa com o recifense Marcelo Amaral, analista sênior da Módulo, surpreende-se com a velocidade de seu raciocínio. Ele tem todos os dados sobre a área em que atua na cabeça, de bate-pronto. Parece um arquivo ambulante. Fala com desenvoltura e é muito bem-humorado. Formado em ciências da computação pela Universidade Católica de Pernambuco, Amaral pode se vangloriar de ser um dos 32 brasileiros com a certificação CISSP (Certified Information Sistems Security Professional), uma das mais respeitadas pelos profissionais de segurança no mundo. Amaral é um hacker do bem. Em 1999, quando decidiu sair de Recife para estudar nos Estados Unidos, recebeu 17 propostas de emprego em start-ups norte-americanas. "Logo em seguida veio o crash das empresas de internet e sobraram apenas duas propostas", lembra. Amaral decidiu, então, mudar-se para o Rio de Janeiro e aceitar a oferta da Módulo. Com menos de dois anos, já ganhou uma promoção e é puro entusiasmo quando fala de seu trabalho. "Todo dia é diferente. Numa hora você atua como 'escovador de bit', o profissional que faz reparos nos computadores, e na outra presta consultoria aos clientes", afirma. "O melhor de tudo é que não dá para falar em rotina em uma carreira como essa."
Menezes: "Desconfie até de seu professor" DESCONFIAR É PRECISO É no mínimo peculiar o método de ensino de Ed Wilson Menezes, coordenador da pós-graduação em segurança da informação da Faculdade de Informática e Administração Paulista (Fiap). Ele manda para os alunos um e-mail com um arquivo em Power Point anexo. Enquanto o pessoal se diverte com a apresentação, Menezes sonda as operações dos alunos com um arquivo hacker que estava dentro do documento. "Eles nunca mais se esquecem de uma lição importante: não confie em nenhum arquivo, mesmo aquele enviado por seu próprio professor."
VOCE PODE SER UM DELES?
* Quem: engenheiros, bacharéis em ciências da computação e técnicos de redes * Onde trabalha: em empresas de segurança, softwares, consultorias ou gerindo a segurança de informação dentro das organizações * Quanto ganha: o analista de segurança recebe em média 3 839,40 reais, segundo pesquisa da Internet Business Boucinhas & Campos * Topo da carreira: chief security officer (CSO), responsável por gerir toda a segurança da empresa. Salário? De 10 000 a 12 000 reais * Certificados internacionais que comprovam a capacidade técnica do profissional: CISSP (Certified Information Sistems Security Professional); e Giac (Global Information Assurance Certification) * Mais informações: www.sans.org, Instituto Sans, que confere o certificado Giac; www.gocsi.com, Computer Security Institute, a mais importante organização da área de segurança; www.isc2.org, International Information Systems Security Certification Consortium, organização internacional de segurança; www.modulo.com.br, Módulo, uma das maiores empresas de segurança do Brasil; www.issa.org, Information Security Systems Association, organização internacional de segurança de informações.