O que faz um hacker do bem
Conheça o mundo dos pentesters, os especialistas em invadir sistemas de empresas para aprimorá-los contra ataques cibernéticos.
Aos 11 anos, Cristian Souza descobriu que podia colocar computadores para fazer o que ele quisesse. Ficou encantado e nunca mais parou. Aos 12, identificou uma brecha de segurança num código que ele mesmo desenvolveu. Logo após fazer os devidos reparos, começou a criar diferentes tipos de vírus, que mandava para as máquinas de amigos – era só pela brincadeira, mas funcionava. “Na época, era muito mais fácil invadir computadores do que hoje”, relembra.
Aos 14, Cristian decidiu cursar ensino médio com curso técnico em informática. Queria entender também o hardware, então fez um curso de eletrônica. Com 16, já prestava consultoria em cibersegurança. Ao chegar aos 18 anos, enquanto muitos jovens estão pensando em vestibular, já tinha publicado artigos em que documentava as soluções que havia desenvolvido.
Hoje, aos 22, é consultor e instrutor de treinamentos na área em uma grande empresa do ramo, a Daryus Consultoria, de São Paulo (SP). Mora em Natal (RN) e trabalha de forma remota. Ele é um “hacker ético”, ou “hacker do bem”. A atividade desse profissional consiste basicamente em hackear empresas – de forma autorizada, claro, com o procedimento estabelecido por contrato. Os ataques acontecem em horários combinados previamente – há clientes que preferem que a ação aconteça em horários de pico de uso dos computadores, outros temem que o teste prejudique a rotina das equipes e oferecem horários alternativos.
Finalizado o trabalho, que pode durar de 40 a 160 horas não contínuas, geralmente distribuídas em turnos de 8 horas diárias, cinco dias por semana, o profissional entrega um relatório detalhado, com instruções e orientações.
Geralmente, o executor do teste transforma esse relatório em uma apresentação corporativa tradicional, com slides sintetizando as eventuais brechas nos sistemas. “Tudo precisa ser documentado, em cada etapa do processo”, afirma Cristian Souza, que, diga-se, nunca pegou um cliente que estivesse 100% imune a ataques. “Alguma falha sempre aparece, é inevitável.”
Emprego fixo ou desafios
Grandes empresas rodam testes de vulnerabilidade com frequência. São verificações rápidas, que identificam falhas primárias, como algum erro na configuração do servidor ou a concessão de autorizações inadequadas quando uma pessoa que não precisa acessar determinadas informações sensíveis vai parar na lista de logins permitidos.
O ideal é que, antes do lançamento de algum novo aplicativo, ou logo após grandes mudanças na TI, como atualizações de software, as organizações chamem um hacker ético, que realiza um procedimento conhecido como pentest (acrônimo de penetration test). Essa expressão também denomina o nome oficial da profissão: pentester.
O primeiro passo da ação de um pentester é justamente executar o teste de vulnerabilidade tradicional à procura de brechas. Geralmente as encontra, e então começa a explorá-las para verificar quão graves são as falhas. Em algumas modalidades de teste, um time de atacantes forma um “red group” e atua contra uma equipe de defesa, um “blue group”, que tenta barrar suas ações.
Gênios precoces, como Cristian Souza, são muito disputados no mercado – que, como acontece com frequência na área de TI, conta com mais demanda do que profissionais qualificados e vê os melhores profissionais serem procurados por empresas de outros países, que permitem trabalho de home office e pagam em moeda forte.
A formação acadêmica não tem muito peso. “O profissional deve provar que consegue invadir um sistema. É o que importa”, relata André Silva, COO da HackerSec e especialista em cibersegurança.
“Ele precisa pensar como os criminosos, conhecer quais são as estratégias deles, e saber operar não apenas em computadores, mas também com sistemas de outros equipamentos, como aparelhos de TV.”
Os empregadores mais comuns são as empresas especializadas em segurança digital, além de companhias de grande porte, que mantêm pentesters em seus departamentos internos de TI. Os salários partem de R$ 2 mil para os iniciantes, chegam a R$ 7 mil para os profissionais de nível pleno, ultrapassam R$ 10 mil no nível sênior e vão além dos R$ 20 mil para os cargos gerenciais.
Além do mercado de trabalho formal, há também os concursos de hackers: companhias pagam prêmios para aquele que conseguir hackear seus sistemas, e explicar como fez isso. Os prêmios partem de US$ 150, e podem chegar a US$ 100 mil nos casos mais extremos. Existem empresas especializadas em divulgar esses concursos de hackers, como a HackerRank e a brasileira BugHunt.
Recentemente, começaram a surgir cursos de curta duração que colocam os pentesters para aprender na prática – a Daryus e a HackerSec oferecem os seus, com laboratórios que simulam sistemas corporativos, de modo que os alunos tentem romper as defesas.
Ubiratan Cascales, coordenador de inteligência contra ameaças cibernéticas da Apura, outra consultoria da área, reforça que o mais importante é se manter atualizado. “É fundamental uma rotina de leitura de veículos especializados em segurança digital”, afirma.
Em outras palavras, este é um trabalho dinâmico, sem rotina, para pessoas que suportam bem situações de pressão. Além disso, vale desenvolver um jogo de cintura, já que os relatórios trarão informações necessariamente negativas aos clientes.
A luta entre hackers do bem e do mal é eterna, já que o progresso de um leva ao aprimoramento do outro. A ascensão das criptomoedas também ajudou o lado sombrio da força. Hoje são cada vez mais comuns os crimes de ransonware. Ranson é “resgate” em inglês: um grupo de hackers toma o controle do sistema de uma companhia e pede um resgate para “libertá-lo”. As criptos facilitam a vida do sequestrador – já que eles podem pedir o depósito do resgate em carteiras digitais anônimas e irrastreáveis.
Por essas, o número de ataques tem sido mais do que expressivo. De acordo com a empresa de segurança digital Fortinet, só no primeiro semestre de 2021 aconteceram no Brasil mais de 16,2 bilhões tentativas de ataques cibernéticos (ou seja, um único time de sequestradores digitais pode fazer milhões de tentativas com a ajuda de robôs). “Esses grupos de criminosos organizados atuam globalmente, adotando as melhores tecnologias disponíveis e buscando, inclusive, informações fornecidas por colaboradores das empresas”, afirma Cascales.
Ou seja: estamos diante de uma área em que jamais faltará demanda por mão de obra.
Um dia na vida
Atividades-chave: utilizar todas as ferramentas de um “hacker do mal” para tentar invadir os sistemas da empresa.
Quem contrata: multinacionais, em especial, porque a matriz exige que as filiais entreguem relatórios constantes sobre a segurança de dados sensíveis. E empresas de cibersegurança que vendem serviços de pentesting no mercado.
Principais competências: conhecer tanto de programação quanto de arquitetura de hardware. Atualizar-se diariamente sobre as técnicas dos grupos criminosos.
O que fazer para atuar na área: basta ser um bom hacker, o que não demanda conhecimentos acadêmicos específicos. Para avançar na carreira, é recomendável graduação em alguma área de TI, mas as certificações específicas em segurança são mais importantes.
Salário*: Médio – R$ 7 mil | Alto – R$ 20 mil
*Fonte: PageGroup