julho 01, 2011

[Segurança] Um ministro e os hackers, crackers, piratas e aloprados

Recentemente o nosso ministro da Ciência e Tecnologia, o Sr. Aloizio Mercadante, surgiu com a idéia
de chamar "hackers" para trabalhar para o seu ministério em projetos de transparência de dados e pretende criar um "Hacker Day" por lá, para permitir que os tais hackers ajudem na modernização e na segurança do portal do ministério.

Segundo o ministro Mercadante, "os hackers são os jovens talentosos e criativos" e "os crackers utilizam os ataques para espalhar uma mensagem política ou mesmo pelo "prazer do desafio".

A repercussão foi bem diversificada. Enquanto alguns viram este anúncio com certa cautela ou desconfiança, várias outras pessoas ficaram empolgadas. Vários ativistas aproveitaram o Forum Internacional de Software Livre (FISL) que acontece esta semana em Porto Alegre para se encontrarem com o ministro, conforme divulgou o Partido Pirata.

Mas, pera aí... Partido Pirata? Isso mesmo... lendo a notícia sobre o encontro, o Sr. Mercadante se reuniu com representantes do Partido Pirata e representantes da comunidade de software livre. A notícia não fala nada de representantes ou reivindicações dos tais "hackers". O engraçado é que eu conheço alguns colegas "hackers" (no melhor sentido amplo da palavra, incluindo profissionais de segurança e membros do Garoa Hacker Clube) que foram no FISL e não os encontrei na foto oficial do tal encontro :(

O jornalista Nelson Motta fez uma crítica severa a iniciativa do Ministro, e em um determinado momento, disse que o Ministro "acredita que os hackers são bonzinhos, que vão adorar conversar com ele no ministério, todos com os seus crachás de "hacker", tomar um lanche e acertar a data do "Hacker"s Day" patrocinado por uma estatal. Cuidado, ministro, se eles vierem, não são hackers: são nerds.".

E, justamente nesse ponto, me lembrei da notícia no site do Partido Pirata.

Infelizmente eu não acredito que vivemos em um país sério, mas continuo mantendo a esperança de que as pessoas são bem intencionadas e repletas de boa vontade e, hum... de honestidade e ética. Mas, afinal de contas, o que o ministro acha que seria um "hacker"? O que será que o Seu Ministro quer de verdade? Aonde será que isso tudo vai dar?

Supondo que isso tudo não passe de um discurso oportunista, pegando carona na polêmica dos diversos ataques realizados pelo grupo LulzSecBrasil desde o dia 21 de Julho, eu entendo que o Ministério da Ciência e Tecnologia (MCT) está pedindo ajuda para que técnicos e especialistas o orientem em como melhor disponibilizar suas informações na Internet. Por um lado, ele está valorizando a cultura hacker, o que é muito bom (quando pensamos no hacker como o especialista em tecnologia, bem intencionado, e não no bandido digital, ou cracker, que a mídia costuma abordar). Por outro lado, ele está dando margem para alguns questionamentos preocupantes, como por exemplo:

  • Será que ele está dizendo que o Ministério da Ciência e Tecnologia (MCT) não sabe como colocar um site na Internet? Vou repetir, pois acho que fui sutil demais: estamos falando do Ministério da Ciência e Tecnologia, e não do ministério da Pesca, do Meio-Ambiente, ou qualquer coisa assim.
  • Se o MCT não sabe como um Web site funciona, será que ele não tem verba para contratar uma consultoria? Existem dezenas de empresas nacionais, excelentes, que dão emprego para centenas ou milhares de brasileiros, que poderiam orientar o MCT a como criar um site e como fazer isso de forma segura.
  • Ou será que o Ministro quer um carimbo do tipo "Site feito por hackers"? Como se isso garantisse que o site nunca teria problemas e jamais seria invadido...


Mas, voltemos a questão dos tais "hackers" que o nosso ministro quer. Pelo menos, em seu discurso, ele soube explicar o que é um "hacker", no sentido mais clássico e menos polêmico da palavra. Mas, lendo a história toda, me parece que ele quer algum especialista em tecnologia para dar consultoria de graça para ele. E, de repente, brotou um monte de gente na sua volta. Mas quem seria o melhor pessoal para ajudar?
  • Hackers: São pessoas com grande talento e conhecimento em tecnologia, com facilidade de apreender e, geralmente, auto-didatas, movidos pelo desafio. Também podemos chamá-los de "nerds", ainda mais agora que este termo está na moda e deixou de ser tão pejorativo. Eles querem aprender. E cheios de boas intenções. Há hackers que trabalham em empresas de tecnologia ou de segurança, há pesquisadores independentes, estudantes, acadêmicos e os cyber ativistas, para citar somente alguns dos sub tipos. Sim, esse pessoal poderia ajudar o MCT - alguns de graça, outros não.
  • Crackers: Esses são os criminosos virtuais, cyber criminosos, bandidos digitais, piratas digitais e qualquer outro termo parecido que a imprensa inventar. São pessoas que usam a tecnologia para cometer crimes. Aqui incluimos os carders (especialistas em roubar e fraudar cartões de crédito e débito), o bankers (especialistas em fraudar o Internet Banking) e os piratas (especialistas em pirataria de software e de material protegido por direito autoral). Há tambem os desenvolvedores de vírus, de phishings, sites falsos e códigos maliciosos em geral.
  • Cyber Ativistas: Eu já falei deles antes, mas esta categoria merece uma citação a parte. Na verdade, os cyber ativistas são pessoas que usam a tecnologia para promover atos de ativismo, protesto ou de tentativa de mudanca na sociedade. São motivados por aspectos políticos, ideológicos ou mesmo religiosos. Alguns desses grupos podem ser benéficos e bem intencionados, outros podem tender ao vandalismo. Por exemplo, o pessoal do Transparência Hacker é bem intencionado e tem uma idéia excelente: usar a tecnologia para extrair informações do governo e apresentá-las para a sociedade, para que essa possa melhor acompanhar o que nosso governo faz de certo e de errado. Há também o Partido Pirata, que busca defender alguns dos aspectos da nossa atual vida digital através da militância política. Por outro lado, o pessoal do LulzSecBrazil tende para a anarquia. Eles querem protestar derrubando sites, prejudicando empresas, profissionais e cidadãos que precisam usar um determinado serviço público. Eles protestam contra os governos e empresas com argumentação e ideologia fracas, ou quase inexistentes, e suas ações causam o caos, em vez de efetivamente ajudarem a resolver algum problema.
  • Especialistas em Segurança da Informação: são profissionais, estudantes e acadêmicos especializados nos diversos aspectos da segurança da informação, ou seja, em como garantir a proteção dos sistemas, dados, ativos e do negócio. Há desde os especialistas tecnológicos (como os pesquisadores de vulnerabilidades, os analistas de ferramentas, os especialistas em desenvolvimento seguro, etc) e até mesmo os especialistas em processos, auditoria ou nos aspectos jurídicos (advogados e especialistas forenses).
  • Comunidade de Software Livre: A grosso modo, e aquele pessoal que consegue virar um software de ponta-cabeca, desenvolvê-lo e adaptá-lo para a sua necessidade, mantendo o espírito de que todos tem o direito a usar, compartilhar e adaptar o software. Não necessariamente tem conhecimentos de segurança.


A moral da história é que não basta chamar os "hackers" para criar um site milagroso. Primeiro, é preciso saber o que se quer fazer. Depois, definir quais são as melhores pessoas para te ajudar, em termos de conhecimento, necessidade e disponibilidade de recursos (ou seja, você quer mão de obra gratuita, voluntária, ou quer contratar um profissional?).

Se você não sabe a diferença entre um nerd e um pirata, o problema pode não ser o seu site.

Nota adicionada na madrugada de 04/07: Como bem lembrou o guru Nelson Brito, em muitos casos o "hacker e profissional de segurança podem englobar um único indivíduo". Na verdade, assim como qualquer tipo de classificação ou de generalização, a explicação que eu dei acima não engloba necessariamente todas as facetas e papéis que as pessoas podem exercer dentro do, digamos assim, "universo hacker". Uma pessoa pode se enquadrar em diversas categorias ao mesmo tempo ou em fases distintas de sua vida. Por exemplo, um profissional de segurança pode ser um "nerd" (apaixonado por tecnologia) e ainda um pesquisador independente nas horas vagas. Para quem quiser se aprofundar mais na "taxonomia" dos diferentes tipos e motivações dos indivíduos relacionados ao hacking, eu sugiro uma fuçada no sensacional projeto Hacker Profiling Project (HPP) (há mais informações sobre o projeto aqui também).

3 comentários:

Luiz Rabelo disse...

Ótimo artigo, uma brilhante abordagem, Anchises! Parabéns!

Wagner Elias disse...

Anchises,

em uma análise superficial, sem falar de paraquedistas do governo que podem estar tentando pegar um limão e fazer uma limonada para si próprio acho que tem um erro na visão que se tem do tema hackerismo.

Foi criado uma mística grande sobre o tema hacker. Então as pessoas acabam fazendo um julgamento do tipo: Hacker é um tecnopata e cracker é um idiota que usa algum conhecimento para o mal.

Com esta visão superficial do tema é fácil um político aproveitar os atuais acontecimentos e fazer sua plataforma.

Eu chamo um hacker e meu problema está resolvido, mesmo que seja apenas varrendo a sujeira para debaixo do tapete.

Tem idéia da moral que e o Mercadante fez só indo até o FISL?

É tudo política meu amigo, infelizmente. Perderemos tempo tentando julgar técnica o operacionalmente qualquer ação desta. ;-(

Abs.

Fernando disse...

Excelentes considerações. Parabéns.

Fernando Peres

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.