“Hello world!”. Essa é a publicação inaugural da minha coluna aqui no Canaltech. Aqui, vou dividir com você assuntos do universo da segurança da informação e da cultura hacker, enquanto hacker ético.
E começo discutindo o uso do adjetivo “ético” que acabei de usar. Até hoje a definição do termo hacker é nebulosa: enquanto alguns os definem como especialistas em sistemas que identificam e exploram vulnerabilidades, outros fazem uso de uma definição mais macro, colocando-os como aqueles que pensam “fora da caixa”, que enxergam além do convencional. Duas definições que, a meu ver, estão corretas. A coisa começa a ficar mais complicada, porém, quando vemos o contexto no qual o termo hacker é usado nas notícias da mídia e até nas conversas de bar. Em geral, a palavra ‘hacker’ quase sempre está vinculada a um crime digital e, portanto, usar o termo ‘ético’ quando nos referimos aos profissionais que trabalham dentro da lei ainda se faz necessário.
Desfazer essa associação sempre foi meu principal objetivo como criador de conteúdo. Quanto mais a visão negativa do hacker é reforçada, mais estamos ofuscando um tipo de profissional extremamente qualificado, importante e escasso. Como a pesquisadora de segurança da informação Keren Elazari bem definiu em uma de suas palestras, os hackers são “o sistema imunológico da Internet”. A segurança do navegador que você está usando para ler essa coluna, a do banco de dados que armazena este texto nos servidores, e a do protocolo de rede sem fio que transmitiu essas palavras até seu dispositivo foi moldada com a ajuda de hackers éticos, por exemplo.
Encontrar vulnerabilidades sempre foi o esporte mental desses profissionais. Essas descobertas são consequências da soma do amplo conhecimento técnico, da visão criativa e da curiosidade que eles possuem, e terminar sua pesquisa com a empresa responsável pelo software vulnerável corrigindo a falha reportada é como fechar o processo com chave de ouro.
Mas, ainda que esse cenário de hackers reportando fragilidades para empresas soe como algo positivo, muitas delas não entendiam dessa forma. Era comum que elas se sentissem incomodadas com “estranhos” investigando suas vulnerabilidades e a consequência disso eram relatórios sendo ignorados – talvez por acreditarem que os profissionais responsáveis pelo sistema vulnerável seriam punidos – , e até em medidas judiciais contra os hackers. Como resposta, parte da comunidade hacker passou a defender que parassem de reportar vulnerabilidades gratuitamente às empresas, já que elas não valorizavam seu trabalho. Foi preciso maturidade de ambos os lados para que essa relação passasse a funcionar.
E um dos fatores que mais contribuiu para a maturidade do setor foi a popularização do uso das estratégias de red team. Red team é um conceito originado no meio militar. A ideia é estabelecer uma equipe que pense como seu inimigo pensaria e que busque testar suas fraquezas como tal. Idealmente, red teams ficam isolados das organizações pra que suas pesquisas e desenvolvimentos não fiquem enviesados. Na segurança da informação, o ciclo de interação entre os red teams, sendo o time ofensivo, e os blue teams, como os responsáveis pela parte defensivas, trouxe ótimos resultados em organizações de todo o mundo.
O grande desafio da segurança da informação, porém, é que o lado do atacante precisa identificar uma vulnerabilidade no sistema alvo para ter sucesso, enquanto o lado defensivo precisa identificar todas as suas vulnerabilidades para se proteger. Implementar um red team é algo que funciona bem, mas compor essa equipe é uma tarefa complicada. É preciso de mentes incríveis para que se tenha a análise de um mesmo sistema sob diferentes óticas. A grande “sacada” para se identificar uma vulnerabilidade pode vir de um grande e experiente consultor, como também pode vir de um adolescente que está começando a programar e resolveu se aventurar por um sistema.
Eis que surgiu um formato que vem revolucionando a segurança da informação e que resolve todas as dificuldades que apontei até aqui: O Bug Bounty. Bug bounty é um programa de recompensa por vulnerabilidades onde empresas remuneram hackers pelas fragilidades encontradas. Quanto mais crítica for a falha, maior é a recompensa.
Do lado do hacker, o programa de bug bounty demonstra que a empresa valoriza seu trabalho, recompensando-o financeiramente por sua descoberta, oferecendo garantia jurídica de que ele pode realizar seus testes e fornecendo transparência no processo de correção. Do lado das organizações, o bug bounty traz profissionais com diferentes conjuntos de habilidades, possibilitando a identificação e correção de vulnerabilidades e a evolução de seus sistemas defensivos da forma como o modelo de interação de blue team e red team propõe.
Empresas como Facebook, Microsoft, Paypal, Apple e Google são exemplos de sucesso com seus programas de Bug Bounty e a tendência é cada vez mais seguida por outras empresas: Em março deste ano, a HackerOne, plataforma de gestão de programas de bug bounty, anunciou ter atingido a marca de dois mil programas geridos. A popularidade do assunto também cresceu entre os hackers: Em 2020, o número de hackers que reportaram vulnerabilidades cresceu em 63%.
Os hackers definitivamente são o sistema imunológico da internet, e quando sua relação com as empresas que mantêm os serviços que usamos na rede acontece de forma harmoniosa, somos nós, usuários, que saímos ganhando.
Quer saber mais sobre hacking e segurança da informação? Acompanhe o meu canal do Youtube “Gabriel Pato”