59 / 68
hacker
do
bem
REVISTA LOCAWEB
59
que existe desde 2015. A
principal diferença é que não é
necessário comprovar atuação
prévia na área de segurança
da informação, como acontece
na CEH. São abordadas as
atividades básicas da profissão,
como escaneamento de
redes e sistema, exploração
de vulnerabilidades e coleta
de informações.
'LƬFXOGDGHV
Certificado desde 2010 com o
CEH, tendo inclusive ministrado
cursos no Brasil, Silvio Giavaroto é
atualmente pentester no Governo
do Estado de São Paulo. Ele
acredita que a profissão enfrenta
dificuldades no País. “Para
algumas empresas, a segurança
da informação ainda é vista como
coisa de filme. Muitas corporações
não fazem investimentos.
Geralmente, são multinacionais
que contratam profissionais.”
Esse ponto de vista é
compartilhado por Marcos
Assunção. Como consultor,
o professor universitário diz
que seus principais clientes
são grandes instituições e
organizações do mercado
financeiro. “Geralmente, quem
mais me procura são bancos. A
grande maioria trabalha com esse
modelo de negócios, contratando
consultorias dedicadas”, relata.
“Poucas empresas possuem
um setor de ethical hacker ou
pentester. Quemmais adota
esse tipo de profissional são as
gigantes financeiras e
de tecnologia.”
Cleber também sente que
falta conscientização sobre a
importância de se ter uma equipe
forte de segurança, embora
acredite que algumas iniciativas
já começam a mudar o cenário.
“Algumas companhias já trazem
eventos como Hackathon e Bug
Bounty para identificar falhas de
segurança de seus dispositivos,
softwares ou infraestrutura, além
de observar potencias talentos
profissionais.”
Se na iniciativa privada
brasileira a aposta em ethical
hackers ainda engatinha, a
área pública nada contra essa
corrente. O poder público é um
dos setores que têm investido
nesses profissionais – os grandes
órgãos federais, como a Polícia
Federal, e os maiores estados do
País contam com pentesters para
suas ações.
Como exemplo, Marcos conta
que foi contratado pelo Governo
de Santa Catarina para treinar 120
agentes de segurança pública.
“O objetivo era fazer com que os
profissionais, da mesma maneira
que conseguem grampear um telefone, fossem
capazes de invadir uma rede wi-fi, pois os criminosos
também continuam se atualizando”, conta.
A falta de profissionais certificados também é
uma barreira que deve ser superada nos próximos
anos. De qualquer forma, sem revelar valores,
Silvio acredita ser plenamente possível se manter
como profissional da área. “A carreira de hacker
ético é promissora. Uma auditoria, por exemplo,
não é algo barato. Dá para viver bem com os
honorários pagos a um pentester.”
Um consultor de segurança da informação
– carreira que apresenta similaridade à de
pentester – tem salário médio de R$ 5,6 mil, de
acordo com o Love Mondays, um dos principais
sites de carreiras do mundo.
&KDSÄX FLQ]D
Um problema que ainda precisa ser superado
quando o assunto é a profissionalização de hackers
é a dos agentes duplos. Os chapéus cinza (grey hat)
são pessoas que prestam serviços como ethical
hacker, mas também utilizam o conhecimento para
cometer crimes. “Em meus treinamentos, busco
enfatizar a parte ética. Comparo a profissão com a
de policiais, que aprendem defesa pessoal, mas não
saem brigando na rua”, explica Marcos.
“Todo penetration testing é realizado depois
de firmado um contrato. No documento, há
tudo o que o profissional fará e um termo de
confidencialidade”, conta Silvio. “Tudo o que fugir
do escopo do projeto pode ser considerado crime.”
Cleber concorda com Silvio. “Contratante e
contratado devem estabelecer limites para garantir
a proteção de toda a informação gerada durante
o processo.”
Com tudo bem esclarecido, a chance de brechas
serem exploradas diminuem. Que a exploração delas
seja apenas digital e fique a cargo dos pentesters, e
não das áreas jurídicas das empresas.
O termo hacker ainda é muito
associado aos cybercriminosos,
que são, na verdade, crackers.
Isso faz com que alguns
profissionais prefiram ser
chamados pentester, em
vez de hacker éticos.
Porém, o objetivo é o
mesmo: encontrar falhas
de segurança em sistemas
e plataformas e corrigi-las