Recursos/White Papers

Gestão

Hacking ético: por que ele pode ser a solução para os seus problemas

A cibersegurança preventiva é coisa série e precisa de atualização constante pois novos sistemas, APIs e soluções surgem todos dias, colocando a empresa em risco

Cristina Deluca

Publicada em 27 de setembro de 2018 às 11h16

Se você não conseguir pensar como um hacker será mais difícil se defender dos crakers. Essa é a premissa do hacking ético. 

O nome hacker vem do verbo em inglês “to Hack” - de fuçar, bisbilhotar. Essa expressão era dada aos estudantes que passavam muitas horas tentando encontrar vulnerabilidades em sistemas computacionais.  com o tempo, as ações hackers passaram a ser usadas para cometer crimes. Hackers mal intencionados passaram a utilizar toda sua expertise do meio digital para invadir um sistema informático, danificá-lo ou modificá-lo; seja para descobrir um segredo industrial, seja para roubar dados, disseminar vírus... sempre com o intuito de obter alguma vantagem. Eles passaram a ser chamados de cracker, nomenclatura que vem do verbo também em inglês “to Crack”, que significa quebrar (sistemas e a segurança de tais).

Uma empresa ter problemas com segurança digital é, hoje em dia, uma situação quase corriqueira: todos os dias empreendimentos dos mais diversos tamanhos recebem ataques em seus servidores e sistemas. O que fará com que essas tentativas de ataques se tornem um problema real ou não é o quanto a empresa está disposta a investir em soluções de segurança para mitigar os problemas diários. E uma das soluções preventivas em alta ultimamente na área da cibersegurança é o trabalho do hacker ético.

“É muito comum casos em que empresas que não investiram adequadamente em segurança perderem anos de trabalho, inclusive backups, para um ransomware, por exemplo”, explica Marcos Flávio Assunção, mestre em Sistemas de Informação e consultor de "Ethical Hacking", que também atua como instrutor na Udemy. Marcos escreveu nove livros sobre o assunto, entre eles “Wireless Hacking”, “Honeypots & Honeynets” e “Segredos do Hacker Ético - o que lhe rendeu, inclusive, uma citação no New York Times.

Marcos Flávio, que apresenta os fundamentos do ethical hacking em seu curso na plataforma da Udemy, explica que um hacker ético, ou pentester como também é comumente chamado, é um profissional de segurança especializado em offensive security, ou seja, na parte da cibersegurança que é mais focada em processos de identificação de vulnerabilidades e, consequentemente, no desenvolvimento de métodos de proteção.

“Com a migração das empresas para o ambiente da Internet, seja através do uso de soluções de cloud, outsourcing em datacenters ou até mesmo pelo desenvolvimento de e-commerce em servidores próprios, fez-se a necessidade de testes mais frequentes de segurança para verificar o nível de proteção oferecido pelos sistemas destas companhias. Muitas delas, inclusive, armazenam dados confidenciais de seus clientes - como nome, número de CPF, endereço ou informações de cartão de crédito, por exemplo - e arcariam com graves problemas caso tais informações vazassem”, diz, acrescentando que o hacker ético é, então, um profissional da própria empresa ou um terceirizado que será responsável por trabalhar com as equipes de segurança, ajudando a identificar vulnerabilidades e sugerindo métodos para resolver os problemas encontrados.

Os ataques mais comuns podem ser divididos em dois tipos: aqueles focados em servidores, como o site de uma empresa, e os focados no usuários. “Na categoria de servidores, os ataques mais comuns são justamente os focados em web: tentativas de inserção e manipulação de scripts em um site (XSS, CSRF, XML Injection), injeção de código no banco de dados (SQL Injection), etc... Já no lado cliente, os ataques mais comuns são tentativas de infectar o usuário com malwares através de mensagens, sejam de redes sociais, Whatsapp ou spams por e-mail”, afirma Marcos Flávio, que vai além: “A infecção pode ser direta - é passado um link, que caso o usuário clique, instala o vírus em seu computador - ou indireta, quando o link explora uma falha em uma aplicação cliente, como no próprio navegador de internet, e somente depois o malware é instalado”.

Não há diferença, do ponto de vista técnico, entre o hacker ético e o hacker “pirata” já que as ferramentas e os processos são os mesmos. Normalmente a exceção são as ferramentas utilizadas para fins escusos, como criadores de programas para captura e roubo de dados bancários. “A grande diferença do profissional para o "pirata" são as normas que devem ser seguidas durante o processo: como mapear os problemas, desenvolver um relatório e informar às equipes competentes formas de resolver as vulnerabilidades”. 

Esta é uma área que precisa de atualização de conhecimentos constante pois novos sistemas, APIs e soluções surgem todo dia e, com isso, aparecem também novas vulnerabilidades e técnicas. Entretanto, a "coluna vertebral" do processo do ethical hacking é a mesma. “Ou seja, se o profissional entender bem todo o processo do teste de invasão, ele mesmo é capaz de se manter atualizado através de sites como a Udemy. É aquela velha questão: ensinar a pescar é mais importante que somente entregar o peixe”, acredita o consultor.

hackingetico

E quais passos uma empresa deve seguir para implantar uma estratégia de hacking ético com sucesso? “Primeiramente, a empresa tem que definir o que deve ser testado e a frequência desse teste. Depois, precisa ver se vale a pena contratar um profissional para isso ou se é mais fácil terceirizar o processo. A vantagem da contratação de uma empresa especializada é que o cliente terá uma consultoria mais especializada, e sugestões de como proceder de forma a obter um melhor resultado”, completa Marcos Flávio.

“Como é uma área muito nova, ainda há poucos profissionais preparados para ela. Prova disso é a pequena quantidade de profissionais certificados em comparação com áreas tradicionalmente certificadas, como desenvolvimento, banco de dados e infraestrutura, por exemplo”, finaliza o instrutor da Udemy.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui