Locaweb Edição 128

10 // entrevista // revista locaweb @revistalocaweb Como é o trabalho de umhacker ético? No mercado, há hackers atuando em diversas áreas e posições. Alguns deles trabalham de forma independente, identificando e relatando vulnerabilidades. Esse é o caso dos que participam de programas de Bug Bounty, formato em que as empresas remuneram pesquisadores que relatem fragilidades em seus sistemas. Outro caminho comum é fazer parte do time de segurança das organizações, sobretudo das que adotam estratégias de red team – isto é, que têm uma equipe que atua simulando ataques e buscando vulnerabilidades no sistema da própria empresa, com o objetivo de identificar problemas antes dos cibercriminosos. Quando você se tornou umhacker ético? Ao longo de toda minha trajetória estudando tecnologia e hacking, naturalmente identifiquei diversas vulnerabilidades, tanto em empresas quanto em produtos. Nessa época, porém, temia reportá-las, já que as companhias, no geral, viam os hackers como ameaças. Certo dia, identifiquei uma vulnerabilidade grave na infraestrutura de uma empresa de jogos que mantinha um de meus games favoritos. Temendo que a companhia pudesse ser explorada por algum cibercriminoso, e que aquilo prejudicasse o jogo que eu amava, resolvi entrar em contato para relatar o problema. E como foi essa experiência? Para minha surpresa, eles me responderam de forma positiva, ouviram o que eu tinha a dizer e me contrataram para fazer o trabalho. Além disso, o CEO da empresa virou meu mentor, o que fez toda a diferença no início da minha carreira profissional. Percebi que a relação dos hackers com as companhias é extremamente produtiva quando existe boa intenção de ambos os lados. Isso me motivou a seguir cada vez mais nesse caminho. A partir daí, comecei a dar consultorias e a realizar testes de vulnerabilidades para outras empresas e acabei atuando como consultor daquela marca de games por 10 anos. Você já participou de programas de Bug Bounty? Sim. Comecei a participar desses programas de recompensa por vulnerabilidades nos Estados Unidos. Identifiquei e reportei algumas vulnerabilidades na Microsoft e fui mencionado na lista de honra deles. Em seguida, fui convidado para trabalhar como pesquisador em projetos de teste de vulnerabilidades na norte-americana Cobalt, onde, posteriormente, virei líder de pesquisa, e também fui selecionado para o grupo que realiza testes na Synack. Hoje, quais são as vulnerabilidades mais populares na web? O principal problema nesse sentido gira em torno do que ainda não pode ser automatizado. Um software, por exemplo, não identifica com clareza uma informação sensível, como um cartão de crédito, em comparação com uma informação pública, como uma notícia, porque é um desafio muito grande fazer algo que tenha essa inteligência. Se, na hora de desenvolver, o profissional não tiver isso emmente, esse pode ser um problema no futuro, tendo em vista que ainda é complexo criar padrões ou mecanismos que evitem esse cenário. As frameworks de desenvolvimento já estão integrando soluções de segurança de forma automática, mas as que precisam de atenção do desenvolvedor ainda seguem em alta nas vulnerabilidades. Quais dicas você dá para pequenos e médios empreendedores que querem proteger seus sites e lojas online? Recomendo delegar. Quanto mais as startups e os pequenos negócios puderem usar fornecedores de infraestrutura, como data centers e serviços que já ofereçam manutenção de segurança, melhor. Assim, a empresa pode focar desenvolvimento e crescimento, transferindo as preocupações de segurança. Quais as expectativas para o futuro dos hackers éticos? Em ummundo tão conectado, o impacto dos ataques cibernéticos é cada vez maior. Uma falha de segurança pode estar em qualquer componente tecnológico. Testar e pensar em todas as situações é uma tarefa muito complexa. Os hackers éticos oferecem sua visão fora da caixa e um amplo conhecimento para fornecer pontos de vista que podem não ter sido considerados pelas empresas e pelos desenvolvedores de software. Isso é extremamente necessário e valioso. O mundo precisa de mais hackers, e é justamente por isso que lancei a plataforma Pato Academy, com o curso “Do Bug ao Bounty”. As aulas nasceram com o propósito de fomentar o acesso à informação do mercado de cibersegurança e incentivar a profissionalização de entusiastas, que trabalharão para que as aplicações web sejammuito mais seguras.