janeiro 23, 2013

[Segurança] Quero fazer um curso de Hacker

Frequentemente aparece alguém interessado em fazer um "curso de Hacker", ou algo parecido. Recentemente vi uma mensagem de uma pessoa interessada em fazer um "curso de Segurança oferecido por um ex-anonymous".

A verdade é que, se você está procurando um "curso de hacker" ou um curso oferecido por um "ex-hacker", é porque você não sabe nem o que é um hacker nem o que é segurança da informação.

Antes de mais nada, "hacker" é um estado de espírito, é uma ideologia, é um jeito de vida. Hacker é todo aquele que gosta de tecnologia e gosta de fuçar na tecnologia, inventando, testando e quebrando paradigmas, buscando novos usos e novas idéias para as tecnologias existentes. Por isso, não faz sentido falar em "ex-hacker": é alguém que não gosta mais de tecnologia? Cansou de fuçar?

Da mesma forma, ninguém aprende a ser hacker. Você aprende novas tecnologias, novas técnicas, mas o espírito hacker, o jeito de ser, você já tem naturalmente.

Provavelmente quem usa o termo "hacker" em um curso (ou se entitula um "ex-hacker") está se referindo a realizar ataques cibernéticos ou já ter feito isto no passado. Ou seja, um ex-hacker é um ex-ciber criminoso. E aí vem a questão, o que um ciber criminoso pode ensinar? Em que um ex-ladrão de bancos, um ex-fraudador ou um ex-estuprador pode te ajudar?

Não podemos nos esquecer que o acesso a tecnologia é muito fácil, e por isso, é comum vermos jovens e adolescentes que começam a usar a tecnologia e acabam se envolvendo em algumas atividades imorais ou ilegais, as vezes apenas por curiosidade ou pelo desafio que a tecnologia e a aprendizagem oferencem. E isso não necessariamente significa que aquela pessoa seja criminosa: em vários casos, ela teve o azar de começar a aprender do jeito errado. Normalmente ninguém aprende a dirigir e já sai atropelando as pessoas por puro prazer, mas um motorista novo normalmente é menos cuidadoso e consciente de seus atos do que um motorista experiente. E isto acontece com muita frequência na área de TI.

Sobre as pessoas que se intitulam "ex-Anonymous" (já que o grupo Anonymous é o maior e mais relevante grupo hacktivista da atualidade), divulgar isto já mostra que a pessoa em questão nada conhece sobre os verdadeiros Anonymous: a ideologia do grupo é baseada principalmente em dois pilares: defender a liberdade e justiça no mundo online (mas não necessariamente restrito a Internet) e o sentido de coletividade. Um verdadeiro membro do Anonymous busca ser, justamente, um membro Anônimo de uma grande coletividade, que tem a sua força justamente deste aspecto coletivo. Um "Anon" jamais busca a auto-promoção.

Discussões éticas a parte, sob o ponto de vista do conhecimento em Segurança da Informação um "ex-ciber criminoso" (note que eu me recuso a usar o rótulo "ex-hacker") é uma pessoa que na maioria das vezes conhece alguns tipos de ataques (hoje em dia ataques como DDoS e SQL Injection são os mais comuns). Mas isto não significa, de forma alguma, que ela conheça todos os tipos de ataque, muito menos todas as formas de proteção. Também não significa que a pessoa tenha um bom conhecimento de tecnologia.

A segurança da informação é muitíssimo mais complexa do que saber realizar alguns ataques. Na verdade, realizar ataques é a parte mais fácil e até mesmo divertida: basta achar um servidor vulnerável e seguir uma receitinha de bolo. Não é a tôa que facilmente encontramos centenas ou milhares de tutoriais na Internet sobre como realizar ataques.

Para trabalhar com Segurança da Informação, antes de mais nada é necessário ter um excelente conhecimento de tecnologia, incluindo sistemas operacionais, redes e seus protocolos, bancos de dados, aplicações e desenvolvimento de software. Isto é a base para conhecer os aspectos tecnológicos dos ataques e das formas de proteção. E existem diversos tipos e métodos de ataque. E muitas vezes um bom trabalho em Segurança exige conhecimentos que vão muito além do mundo técnico, pois lidamos também com pessoas, processos (procedimentos, regras e normas) e com aspectos legais.

Quer aprender segurança? Procure um curso sério, oferecido por uma instituição de ensino ou empresa conhecidos e de bom nome, com instrutores com experiência séria no mercado. Há várias faculdaes e empresas de segurança que oferecem bons cursos. Há excelentes eventos de segurança no Brasil. Há ótimos blogs e papers disponíveis na Internet. Saber fazer defacement de site ou DDoS não significa que a pessoa tem conhecimento, significa apenas que ela soube ler ou assistir um tutorial na Internet.

Por fim, recomendo uma leitura no post que o Rodrigo "Sp0oKer" Montoro fez sobre este assunto em seu blog Bozo Security: "Treinamentos com nome HACKER! OMG!" e uma olhada no vídeo abaixo, em inglês, sobre como você pode aprender mais sobre segurança da informação.



Atualização (25/01): O Gustavo Lima, do Blog Coruja de TI, fez uma excelente crítica a este post: "[Segurança] Quero fazer um curso de Hacker — meus comentários".

Nota (28/01): Eu li o post do Gustavo Lima e fiquei preocupado com uma frase em que ele disse ter recebido uma avalanche de e-mails sobre o meu post. Por isso eu receio que alguém tenha se confundido ou eu não tenha me expressado direito, mas em nenhum momento a minha crítica foi direcionada ao Hacking Day ou qualquer evento ou curso organizado por ele. Eu valorizo as iniciativas do Gustavo, e a minha crítica foi para as centenas de “Cursos de Hackers” (presenciais, vídeo-aulas ou apostilas) que existem por aí, e aos instrutores que se auto-intitulam hackers ou ex-hackers. Isto não é algo recente: estes cursos e apostilas existem há muitos anos. Minha crítica é direcionada ao pessoal que, na falta de real qualificação, usa a palavra "hacker" para se auto-promover e, na grande maioria dos casos que vemos por aí, oferecer conteúdo de péssima qualidade (e, em muitas vezes, copiado da Internet). Também critico aqueles que pensam que aprender segurança se limita a aprender a realizar um punhado de ataques – pois, como disse, segurança vai muito além de saber rodar um ou 2 scripts para invadir site.

Um comentário:

Tiago Baldo disse...

Gostei do post, parabéns!

Lembro que tinha uns 15 ou 16 anos quando comecei um determinado "curso de hacker" na internet, onde era enviado vídeo-aulas em minha casa gravadas em CD-ROM. O curso tinha uns 10 módulos que, segundo o autor, prometiam nos dar formação de "hacker".

Como eu não consegui terminar o curso, fiquei super frustado, pois não seria mais um hacker (kkk) :)

Hoje, com a mente mais madura, percebo que ser hacker independe de títulos ou certificações, mas sim é uma estilo de vida, um comportamento que não se rende a qualquer problema, mas luta-se para resolvê-los criando soluções mais seguras. Tanto na área de tecnologia ou fora dela.

Aprendi também, que para ser hacker, não é preciso ter um mega PC, mas uma mente hacker.

Pelé é o Rei do futebol com e sem bola nos pés. Um motorista de carro é um motorista dirigindo ou não. Assim, um hacker é hacker com ou sem um computador nas mãos, pois o PC é apenas uma ferramenta, o "como fazer" está na mente dele, e isso ninguém tira.

E graças a Deus, hoje não sou mais frustado com essa idéia de querer ser hacker e não conseguir. O desejo é conhecer tecnologia cada dia mais, fazendo boas amizades, curtindo a vida de maneira sábia, com alegria e devagar, pois com pressa chegamos cedo, mas cansados.

Chega...rs :)

Se falei algo errado, por favor, me corrija.

Abraço!

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.