Cracker, Hacker e o Hacker Ético

Quais as diferenças? A sua empresa está preparada? Quais os riscos que estamos expostos?

Antes de partir para os esclarecimentos precisamos ter em mente uma grande verdade do ambiente cibernético. – Se não pensar como um hacker; fica muito mais difícil, praticamente impossível, se defender dos crakers. Essa é a diretriz básica de um hacker ético.

Uma falha de segurança pode gerar prejuízos gigantescos em empresas, independentemente do tamanho dessas. As consequências disto podem variar em um, ou mais, dos itens que citamos a seguir:

     -- Furto de dados/informações (base de dados, dados bancários, IDs, senhas de acesso...);

     -- Furto de dinheiro;

     -- Danos à imagem;

     -- Paralisação das atividades;

     -- Sequestro de dados;

     -- Inviabilização do negócio;

     -- e diversos outros danos.

Considerando o aumento, cada vez mais crescente, destes riscos, empresas das mais variadas áreas e tamanhos estão procurando profissionais e/ou empresas especializadas em hackeamento ético.

"Hacker" e "cracker" – palavras parecidas, mas no mundo da TI são bem diferentes. De um modo geral, os hackers são pessoas que criam / alteram softwares e hardwares de computadores, ora desenvolvendo novas funcionalidades ora transformando antigas com o objetivo de melhorar algo, sem causar prejuízos. Já os cracker é quem emprega o seu conhecimento com o objetivo de “quebrar” (ou cracking – burlar) sistemas de computadores com o objetivo de “ganhar” dinheiro de uma forma não honesta (criminosa).

Essa diferenciação de termos foi concebida para que leigos e, especialmente a mídia, não confundissem os dois grupos. O termo "cracker" nasceu em 1985, e foram os próprios hackers que difundiram o nome em sua própria defesa. A ideia era que não utilizassem o mesmo termo para quem praticava o roubo, ou vandalismo na internet, com os profissionais de segurança cibernética, que estudavam as vulnerabilidades dos sistemas.

Apesar dos termos serem mundialmente conhecidos, chamar alguns de "bons" e outros de "maus" não agrada a todos. Há quem acredite que tanto o hacker quanto o cracker são habilidosos e podem fazer as mesmas coisas, a linha que os separa é muito tênue. Para muitas pessoas o termo cracker, criado para denotar um "Hacker do mal", é bastante subjetivo. Para estas pessoas os termos mais corretos são os usados dentro da ética hacker : "White Hat" (Chapéu Branco), "Black Hat" (Chapéu Preto) e "Gray Hat" (Chapéu Cinza). Os hackers "Chapéu Branco" são pessoas interessadas em segurança e usam suas habilidades a favor de quem detém a propriedade dos sistemas analisados, sendo 100% éticos em suas ações. Já os hackers "Chapéu Preto" são criminosos e, normalmente, especializados em invasões maliciosas de sites. Os hackers "Chapéu Cinza" têm as intenções de um Chapéu Branco, mas suas ações são eticamente questionáveis.

Então, hacker ético ("White Hat"  - Chapéu Branco) é o profissional de segurança (cibersegurança) especializado em processos de identificação de vulnerabilidades e, por isso, na elaboração de estratégias de proteção. Falando de forma clara: Este profissional é pago para tentar invadir sistemas, para detectar vulnerabilidades. Sua função é encontrar vulnerabilidades (pontos de fuga) de segurança que um hacker malicioso poderia explorar. Para tanto, precisa estar capacitado em técnicas de penetração de sistemas. Claro, todas estas estratégias são desenvolvidas, aplicadas, baseando-se em códigos de ética padronizados e aceitos pela comunidade internacional.

Um bom hacker ético deve possuir habilidades nas mais diversas áreas do conhecimento da TI: redes de computadores, programação web e de banco de dados. Essas são, apenas, algumas das expertises exigidas de um hacker ético na realização dos testes de vulnerabilidade.

Gerenciamento de riscos

O trabalho do hacker ético não termina com a entrega de uma lista de vulnerabilidades encontradas. Eles precisam trabalhar com o gerenciamento de TI de uma forma perene para identificar as ameaças maiores e mais prováveis. Agora, eles fazem parte da equipe de gerenciamento de riscos, ajudando a reduzir ainda mais os riscos de uma maneira eficiente.