Páginas

novembro 15, 2016

[Segurança] Revenge Hack

Que o nosso mercado de segurança é hostil, isso não deve ser novidade para ninguém!

As vezes essa hostilidade é velada, disfarçada como uma brincadeira ou uma trollagem. É o caso, por exemplo, de vários eventos que fazem um "Wall of Sheep" para expor as senhas capturadas em aberto na sua rede local. Na H2HC, criou-se a cultura do "leak do banheiro": de vez em quando você vai no benheiro masculino e encontra senhas ou dados pessoais de alguém em um papel, colocado no espelho ou na pia.


Mas em outras ocasiões vemos esse tipo de hostilidade atingir níveis mais sérios, com brigas e discussões em listas públicas (discussões que vão muito além de um simples "flame war"), até mesmo campanhas de ciber ataques para invadir ou humilhar colegas de profissão ou empresas da area. São exemplos, neste último caso, a "operação AntiSec" que aconteceu principalmente nos Estados Unidos no início da década, comandada pelo grupo Lulzsec. Ou, no Brasil, o Project Mayhem, uma série de ataques a profissionais e empresas brasileiras, que aconteceu na segunda metade da década de 2000.


Às vezes, essas campanhas são direcionadas a pessoas que uma parte da comunidade de segurança considera serem charlatões ou mau profissionais, ou que não mereça fazer parte da comunidade. Um exemplo recente, neste caso, foram algumas ações que aconteceram contra o Luís Vieira e o Gustavo Lima (Coruja de TI).

Mas, recentemente, vimos um caso que, na minha opinião, foge desses comportamentos "padrão", e que eu prefiro batizar de "Revenge Hack". Tentando resumir a história, já comentada pelo Carlos Cabral: durante a última H2HC, um colega nosso que estava responsável pelo bar do evento tratou mal vários participantes do evento que iam se servir no bar (comportamento em parte causado por conta do jeito bonachão-mal-interpretado dele, e em parte por outros agravantes que não vem ao caso). O fato é que várias pessoas se sentiram incomodadas com o desrespeito que sofreram e um pequeno grupo decidiu se vingar: conseguiram ter acesso a várias contas pessoais do responsável pelo bar e "hackearam" o seu perfil no Linkedin, seu blog, apagaram seu iPhone, entre outras coisas. Pior ainda: mandaram mensagem para o chefe dele, a partir do perfil dele no Linkedin. Nesse momento foi cruzada a linha entre a trollagem e a vingança.



Já ouvi muitos colegas falando muita coisa sobre esse incidente. Na minha opinião pessoal, os dois lados agiram errado, de forma vergonhosa: quem ofendeu e quem vingou a ofensa, pois acredito que um erro não justifica outro erro. E, no final do dia, o maior perdedor é justamente o senso de comunidade. Novamente testemunhamos atitudes desnecessariamente desrespeitosas.

Por um lado, eu acredito que este incidente recente de vingança na H2HC foi um caso isolado em nossa comunidade, um ato que não se encaixa nos comportamentos tradicionais de hostilidade latente do mercado. Não se encaixa, mas foi consequência da comunidade de segurança que todos nós criamos em todos esses anos.

Em todos estes anos, nós construímos e toleramos uma comunidade baseada principamente na trollagem, mais do que no compartilhamento de conhecimento, aonde é mais fácil criticar alguém que se destaque do que contribuir com a comunidade. Como se não bastasse trollar os colegas ao minimo deslize, os ataques desrespeitosos com o fim de humilhar podem atingir qualquer pessoa que se exponha um pouco mais na comunidade, fazendo ou não por merecer uma resposta de ódio.

Para quem não faz parte desse pequeno grupo que centraliza as conversas e as atividades existentes na área de segurança, estes incidentes reforçam a ideia de "panelinha", uma visão muito comum para quem está lado de fora ou mais a margem dos acontecimentos. Eu acredito, inclusive, que tais ações acabam intimidando e afastando pessoas interessadas em contribuir com a área, principalmente quem está começando na área. Arrisco até a dizer que esse tipo de comportamento ajuda a afastar potenciais palestrantes - não é a tôa que a maioria dos eventos de SI contam sempre com a mesma meia dúzia de palestrantes de sempre,e  temos dificuldade em renovar isso.

Devemos aproveitar e pensar se este é realmente o modelo de comunidade que queremos para nós. Viver em comunidade significa saber respeitar o próximo e as diferenças entre todos, e estar disposto a acolher e ajudar a todos. Em um ambiente saudável, tanto os mais experientes quanto os menos experientes podem se beneficiar de uma interação saudável em comunidade.

Nota (incluida em 12/12): O DMR escreveu um texto interessante, com um contraponto das opiniões minhas e do Cabral: "0 ch0r0 3h l1vr3". Vale a leitura e reflexão.

Um comentário: