Geralmente, eu defino hacker como aquele indivíduo que usa um computador, uma rede ou outras habilidades para superar um problema técnico. 

Porém, provavelmente você também deve conhecer outro significado para esse termo, não é? E nesse caso, um hacker pode ser aquela pessoa que utiliza suas habilidades para obter acesso não autorizado a sistemas ou redes a fim de cometer crimes. Ou seja, ele nada mais é do que um ladrão de informações ou outra ação, sempre no intuito de agir para o mal. 

Em empresas, a contratação de hackers é interessante, pois há o uso de conhecimento e experiência para testar a vulnerabilidade dos sistemas de segurança. 

Tipos de hackers

Primeiramente, note que eu citei que existem dois conceitos para a palavra hacker, o que define seus dois tipos principais – falando de um modo geral:

• O hacker “anti-ético”, vou assim chamar, é uma pessoa que tem acesso secretamente a um sistema de computador a fim de obter informações, provocar danos, etc.

Ou seja, é quando uma pessoa invade um sistema de computador com o intuito de causar algum mal.

• Já o hacker “ético” é aquele que invade uma rede de computador a fim de testar ou avaliar sua segurança, sem quaisquer intenções criminais ou maliciosas.

Aqui, os hackers usam suas habilidades técnicas para explorar as defesas de segurança cibernética. Hackers éticos testam vulnerabilidades e podem adotar o hacking como profissão – pentester – ou mesmo como hobby.

De toda forma, o objetivo final é determinar falhas de segurança em sistemas corporativos e, em seguida, aconselhar onde as organizações devem aumentar suas defesas de segurança para manter os agentes de ameaças afastados.

Claro, deve-se tomar cuidado, pois muitos hackers vão explorar fraquezas técnicas ou sociais para violar as defesas.

Isso pode ser prejudicial, pois eles irão manipular os resultados sociais por meio de falsos pretextos, como se passar por um colega de trabalho ou outro indivíduo para obter informações de login ou financeiras. 

Além disso, os hackers podem usar suas habilidades técnicas para instalar malwares, roubar ou destruir dados, bem como interromper os serviços de uma organização.

Leia sobre os impactos da transformação digital nas organizações.

Hacker “Chapéu branco”

O tipo de hacker que caracterizamos como “chapéu branco” é aquele que eu chamo de “hacker legal”, isto é, aquele hacker ético ou testador de invasão.

Assim, seu trabalho principal é testar a segurança. Podemos conduzir tais testes de diferentes formas, o que permite que o hacker tenha conhecimento completo, parcial ou nenhum conhecimento do alvo a ser avaliado (box testing).

Hacker “Chapéu preto”

Em contrapartida, o hacker de “chapéu preto” é o ilegal. São as pessoas criminosas que irão invadir as redes de computadores com intenções maliciosas. 

Aqui, eles podem liberar malware que destruirá arquivos, manter os computadores reféns ou mesmo roubar senhas, números de cartão de crédito e outros dados pessoais.

Enfim, a motivação desse tipo de hacker é o interesse próprio, como ganhos financeiros, vinganças ou apenas pelo desejo de espalhar o caos. Aliás, existem também hackers que têm motivação ideológica, visando atacar pessoas das quais discordam fortemente.

Hacker “Chapéu cinza”

Ao mesmo tempo, existe o hacker “chapéu cinza”, que chamo de hacker intermediário. Ele tem a intenção de um “chapéu branco”, mas invade sistemas e redes sem permissão.

Por exemplo, ele pode manipular rankings em websites por meio de técnicas de SEO ou ainda expor invasões ilegais pelos governos.

Hacktivista

Por fim, existe o hacktivista e pelo nome você já imagina: é uma pessoa que usa os computadores de outras pessoas e redes de computadores para promover uma agenda política.

Logo, está no limite com o ciberterrorismo. 

Algumas formas de hacktivismo são: extensões de websites ou softwares (como a instalação RECAP para fins políticos, por exemplo o WikiLeaks) e website mirroring (onde o hacker faz uma cópia de um website censurado – governo – em um domínio não-censurado).

Contrato de hacking

Hoje, existe o termo Ethical Hacking – Hacking Ético –, que nada mais é do que uma tradução para uma forma legal de exercer o hacking.

Nesse sentido, o profissional utilizará suas habilidades e atuará com base em autorizações e de acordo com a lei, estando sempre um passo à frente daqueles hackers que pretendem burlar as normas.

Essa integração de hackers éticos aos times de tecnologia e segurança da informação das organizações vêm se tornando uma constante, pois:

• Garante entrega de produtos com mais testes, isto é, com um menor índice de correção de eventuais defeitos (bugs);
• Tais profissionais são aliados de um Sistema de Gerenciamento de Segurança da Informação (SGSI) assertivo. Isso auxilia de forma ética a evolução de programas de privacidade e governança.

Além de estabelecer um contrato, é essencial elaborar um acordo de não divulgação e de um termo de confidencialidade – uma proteção para ambos os lados, é claro: o sigilo das informações da empresa e o resguardo do profissional para que ele realize as atividades contratadas.

Conclusão

Definitivamente, eu vejo benefícios na contratação de um hacker ético para as organizações. E o objetivo é que elas tenham mais segurança de suas informações, afinal é extremamente importante conhecer as próprias fraquezas para saber protegê-las.

Hackeamento ilegal é crime, passível de punição. Não é nada diferente de um ladrão que entra pela janela de sua casa e faz furto de seus itens – a diferença é o tipo de conteúdo violado. 

Portanto, usar o hacking apenas para proteção, bem consentida por ambos os lados, para a segurança da organização, vale a pena – e muito.

Se você tem dúvidas sobre o assunto, deixe aqui nos comentários e leia os outros textos do blog para se manter informado.

E, para se qualificar em hacking ético, sugiro as trilhas de Segurança da Informação da PMG Prime. Acesse aqui, confira e comece a estudar.