[Segurança] A treta da Comunidade de segurança contra os "Cursos de Hacker" (com memes)

Para quem acompanha de perto a comunidade brasileira de profissionais de segurança da informação, nos últimos dias diversos profissionais se levantarem contra os "cursos de hacker", depois desse assunto virar foco graças aos cursos e eventos promovidos especificamente pelo Bruno Fraga:

Retirei as frases acima do Linkedin, postadas por profissionais que trabalham há muitos anos na área de segurança. Não estou citando as fontes, apesar dessas pessoas terem manifestado publicamente suas opiniões. Alguns textões também surgiram no Linkedin e vários memes circularam por grupos do Whatsapp (a maioria deles eu prefiro não compartilhar aqui).

Disclaimer: Eu não estou discutindo a qualidade desses cursos de qualquer pessoa que seja - para fazer isso, eu deveria assistir o curso primeiro e avaliar tecnicamente seu conteúdo. Esse meu post aqui é para dar a minha opinião e reflexão específica sobre essa treta e a responsabilidade da comunidade de segurança.

Resumindo a treta, de um lado temos os profissionais que trabalham no mercado e formam a comunidade de segurança (que, na verdade, são várias comunidades que se falam ou não), de outro lado temos as pessoas querendo aprender e entrar na área, e também temos pessoas que oferecem cursos, palestras e eventos que prometem, em curto tempo, dar todo o conhecimento para alguém virar um hacker rapidamente.

Vamos ser claros... esses questionamentos e críticas que surgiram recentemente entre os profissionais da comunidade de segurança tiveram uma motivação e alvo bem específico: os cursos e eventos promovidos pelo Bruno Fraga. Ele não foi a primeira e nem será a última pessoa a oferecer cursos prometendo transformar alguém em hacker. Por exemplo, veja esse artigo do blog Bozo Security de 2012 - que criticava os "cursos de hacker" há 11 anos atrás!!! O Fernando Mercês também fez um vídeo há 5 anos atrás sobre isso! Está claro que essa discussão não começou hoje, não é?

Algumas pessoas que oferecem esse tipo de curso podem ser bem intencionadas, ou podem ter uma visão errada de que seja fácil condensar o conhecimento de um "hacker" em poucas horas de palestra ou de  treinamento. E pode haver, também, alguém mal intencionado que ofereça um "curso de hacker" com uma falsa promessa de acesso fácil à uma carreira na área (e seus ótimos salários quando comparado a outras profissões).

Na grande maioria das vezes, a comunidade de profissionais de segurança não se manifesta sobre isso, e nada faz. Mas, desta vez, alguns colegas da área se manifestaram contra os "cursos de hacker" principalmente depois que o Julio Della Flora, um professor e pesquisador de hardware hacking, teve um video retirado do YouTube aonde ele criticava tais cursos e explicava a complexidade de conhecimentos da área. Poucos dias depois, ele publicou um texto no Linkedin se retratando sobre o ocorrido (fruto de um acordo extrajudicial entre os dois) e o vídeo voltou ao ar.

Há 5 anos atrás o Fernando Mercês fez um vídeo muito legal, no canal Papo Binário, sobre os cursos de hacker, aonde ele explica o que representa se tornar um hacker, a complexidade de conhecimentos envolvidos e que não é possível se tornar um especialista na área do dia para a noite:

Olha que coincidência: o video foi feito há 5 anos atrás, e curiosamente, na divulgação dos eventos do Bruno Fraga, ele também usou a máscara do Guy Fawkes para se identificar com a cultura hacker.

A maioria dos discursos da comunidade que surgiram nesses últimos dias contra os "cursos de hacker"gira em torno da suposição de que o curso seria de má qualidade, com conteúdo superficial, e também do uso da imagem do hacker para vender tais cursos. Décadas de cultura hacker e toda uma comunidade pulsante de repente vira um estereótipo para vender um curso. Além disso, diversos profissionais manifestaram preocupação com o risco das pessoas pagarem por um curso que poderia não ser útil, principalmente se não ensinar os fundamentos e técnicas realmente úteis para a carreira - ou pior ainda, se ensinar conceitos errados.

Por outro lado, eu vi alguns artigos acusando a comunidade de segurança de não ser receptiva a novos profissionais. Reacionária, hipócrita. Há quem diga que as pessoas de fora da área não recebem orientação e apoio para iniciar no mercado.

Eu discordo: embora existam alguns profissionais que são menos receptivos ou chegam a ser agressivos e tóxicos, eles são minoria. Eu me arrisco a dizer que a maioria do pessoal que trabalha na área é receptiva e está disposta a acolher novos talentos interessados em aprender e entrar no mercado. E como evidência disso, basta ver as diversas comunidades que existem no mercado de tecnologia e segurança.

Ou seja, na minha opinião esse movimento recente de vários colegas da área não se trata simplesmente de uma crítica infundada ou comportamento tóxico. É a comunidade preocupada com a possibilidade de termos pessoas se aproveitando da falta de informação para explorar outras pessoas mais vulneráveis.

Esse atigo do Luiz Felipe Silva traduz muito bem o posicionamento que existe na comunidade dobre esse assunto. Veja num trecho:

A fraude nesses "cursos de hackers" existe há anos e é bem conhecida pela galera de segurança. Infelizmente ninguém no mainstream fala disso e portanto a fraude continua sendo desconhecida por quem quer entrar na área, que acabam gastando até o que não tem em cursos inúteis para realizar um sonho que vai ficar cada vez mais distante.
A verdade é que esses cursos "promentem" que vão te ensinar sobre segurança da informação, "promentem" que vão te deixar "muito bem preparado" para o mercado de trabalho, "promentem" que tu vai se tornar "hacker" fazendo o curso mas, no fim das contas, o curso meramente ensina a usar ferramentas.

Para exemplificar o esforço da comunidade em disseminar o conhecimento, eu listo abaixo algumas das diversas iniciativas existentes para formar profissionais de segurança, compartilhar conhecimento de qualidade e promover a pesquisa na área. E note que eu corro o risco de deixar muitas outras iniciativas de lado, pois existe muito conteúdo bom e de grande qualidade a disposição de todos (essa lista é apenas a ponta do iceberg). Muitos profissionais se esforçam para compartilhar conteúdo gratuito para ajudar a comunidade.

• Aqui no Brasil, a Mente Binária é a minha melhor referência, com seu site, fórum, artigos, vídeos (Papo Binário) e cursos online e gratuitos - incluindo o Do Zero ao Um;
• Sim, temos eventos que incluem conteúdo para pessoas que estão iniciando na área: a BSidesSP (gratuito) e o Roadsec (com dezenas de palestras boas disponíveis online);
• Algumas comunidades são bem estruturadas e que produzem conteúdo de excelente qualidade e gratuito, como a OWASP, Cloud Security Alliance;
• Temos comunidades para acolher novos profissionais, como a WOMCY e a Cyber Security Girls  entre outras (veja mais nesse post aqui);
• Alguns podcasts, como o I Sh0t the Sheriff, o Red Zone, o TecSec e o SecurityCast;
• Existem cursos de graduação e pós-graduação na área - aqui em São Paulo, por exemplo, temos cursos na FATEC, Faculdade Impacta, tecnólogo no Senac, cursos na FIAP (de graduação/tecnólogo e dois MBAs), a Daryus/IDESP, Mauá, entre outros.

Isso sem falar das centenas de livros sobre o assunto.

É verdade que alguém interessado em trabalhar com segurança da informação vai ter dificuldade de começar pois há uma barreira de entrada muito grande. Além da dificuldade natural que qualquer pessoa encontrará para conseguir o seu primeiro emprego, para trabalhar em segurança é necessário uma bagagem de conhecimentos muito grande. Isso porque o conhecimento básico necessário para trabalhar com segurança da informação é muito extenso, e inclui uma grande base em tecnologia. Idem se você quiser se tornar um "hacker"- são anos de estudo para chegar nesse nível.

Ou seja, existem diversos caminhos para trilhar a sua formação como profissional de segurança, mas todos eles demandam anos de estudos, cursos, certificações e experiência prática. Vou repetir: "anos de estudo". Um profissional de segurança (ou um "hacker") deve conhecer sistemas operacionais, redes de computadores, programação (preferencialmente em várias linguagens), computação em nuvem, banco de dados, e muitos outros temas técnicos. Só depois disso ela deveria começar a aprender segurança em si. Não existe uma fórmula mágica para resumir o conteúdo de toda a carreira em segurança em apenas um curso de 1 hora, 8 horas e nem mesmo em uma semana.

Para piorar esse cenário, embora haja muito material disponível na Internet, a pessoa que está no início dos estudos vai encontrar dificuldade em separar o que é conteúdo de qualidade e o que não é. Ainda mais quem estiver procurando um "atalho", um material fácil e bem mastigadinho.

Infelizmente, algumas pessoas querem achar o caminho fácil e milagroso. Essa pessoa imediatista vai gastar dinheiro em alguns cursinhos rápidos, vai conhecer superficialmente 2 ou 3 ferramentas fáceis de usar e vai pensar que aprendeu algo. Mas, em algum momento, ela vai descobrir que seu suposto conhecimento, na verdade, de nada vale. Ela não vai conseguir um emprego na área porque, simplesmente, ela não tem o conhecimento básico nem o específico para realizar o trabalho. Aí, ou a ficha cai e a pessoa vai procurar conhecimento de qualidade, ou ela vai repetir a eterna ladainha de que o mercado é injusto e que ela é uma vítima que foi excluída de uma suposta "panelinha" imaginária.

Para fechar esse post, não faz sentido falar em "curso de hacker" pois, simplesmente, essa profissão não existe! Você nunca vai achar uma empresa com vaga aberta para "hacker". Hacker é uma cultura, é um jeito de vida, é uma forma de você encarar o mundo e a tecnologia ao seu redor. Como eu já disse uma vez (em 2013), se você está procurando um "curso de hacker" ou um curso oferecido por um "ex-hacker", é porque você não sabe nem o que é um hacker nem o que é segurança da informação.

Compartilho aqui alguns dos diversos textos que foram divulgados recentemente sobre essa treta:

• Nota de esclarecimento do Julio Della Flora no Linkedin (que, em acordo, retirou o post original sobre a remoção de seu vídeo)
• Reflexão da Marina Ciavatta no Linkedin
• Artigo do Luiz Felipe Silva: A FRAUDE dos "cursos de hackers"
• Texto do Luiz Felipe Silva no Linkedin
• Reflexão do Igor Rincon no Linkedin: Um breve questionamento sobre conteúdos "hackers" gratuitos.
• Artigo anônimo (*): A hipocrisia da comunidade de SI no BR
• Texto anônimo e sem título no Pastebin (*): https://pastebin.com/Sx3vAx2j
• Resumo bem humorado da treta, pelo Ivan Salles: DTNM edição 26 - Especial
• O Penegui fez um vídeo criticando a exploração por trás dos cursos de hacker: A Verdade Sobre os Cursos de Hacking
• O Lucas Silveira fez um vídeo bem legal comentando sua opinião sobre os cursos de hacker:

(*) Discordo desses textos, mas dou espaço para críticas e visões diferentes.

Veja também:

• Excelente artigo do Céu Balzano, com dicas para quem tem interesse pela área: Quer Ingressar na Área de Cybersegurança e Segurança da Informação? Saiba como começar
• Treinamentos com nome HACKER! OMG! (Bozo Security, em 2012)
• Quer ser hacker? Que tal ler esse ótimo texto? How To Become A Hacker
• Aqui no blog:
• Hacker, s.m+f. (post de 2019)
• Guy Fawkes, de Judas a símbolo dos Hacktivistas (post de 2013)
• Quero fazer um curso de Hacker (post de 2013)
• Graduação ou Certificação? (post de 2012)

PS: Post atualizado em 10/06 para incluir o texto do Ivan Salles e do Céu Balzano e uma correção (pois, segundo o Rubira Branco, a H2HC University não é destinada a pessoas novas na área). Pequena atualização em 20/06 para incluir o texto do Igor Rincon. Atualizado em 27/06 pata incluir um vídeo bem legal do Lucas Silveira e do Penegui e alguns links a mais para meus postas anteriores aqui no blog. Atualizado em 21/07 para incluir um link para o "How To Become A Hacker".