Hacker é um dos termos mais incompreendidos na indústria da segurança. Todos, desde o noticiário aos filmes de Hollywood e o resto da da mídia usam o termo frequentemente. Graças ao uso excessivo do termo e do fato de que é quase constantemente ligado às atividades que são obscuras ou mesmo de natureza criminosa, o público em geral olha para qualquer um com o rótulo de hacker como alguém que não é boa pessoa. Hackers são vistos como aqueles que operam nas sombras, anti-social e anti-autoridades, em muitos casos. Outros membros públicos chegam a dizer que os hackers são como os novos ativistas sociais políticos, governamentais, de grandes corporações, e outros tipos de ativistas.
Hackers também começaram a perceber que é possível usar suas habilidades para gerar dinheiro de muitas maneiras interessantes. Por exemplo, os atacantes usaram técnicas para redirecionar navegadores da Web para páginas específicas que geram receitas para si próprios. Outro exemplo é um spammer enviar milhares e milhares de mensagens de correio eletrônico que anunciam um produto ou serviço. Como o envio de e-mail em massa custa pouco, isto leva apenas um pequeno número de compradores para conseguir fazer um bom lucro.
A área de TI, em especial a de Segurança, muda rapidamente. Nesta área, os atacantes e defensores estão em uma luta constante para ganhar o domínio. Pois os invasores tornaram-se altamente flexíveis e adaptáveis, então, como um hacker ético, você também deve ser. Sua capacidade de pensar fora da caixa irá te ajudar bem como você imaginar novas estratégias e possíveis ataques antes que eles sejam usados contra você.
Mas o que é um hacker ético?
Hackers éticos são profissionais, quer através de contratos ou emprego direto testam a segurança de uma organização. Eles usam as mesmas habilidades e táticas como um hacker, mas com a permissão do proprietário do sistema para realizar o seu ataque contra o sistema. Além disso, hackers éticos não revelam as fraquezas de um sistema avaliada para alguém que não seja o proprietário do sistema. Finalmente, hackers éticos trabalhar sob contrato para uma empresa ou cliente e seus contratos de especificar o que é fora dos limites e o que eles devem fazer. O seu papel depende das necessidades específicas de uma determinada organização. De fato, algumas organizações mantêm uma equipes especificamente para participar em atividades de hacking ético.
Tipos de hackers
- Script Kiddies – Estes hackers tem pouco ou nenhum treinamento e sabe apenas usar técnicas e ferramentas básicas. Mesmo sem saber exatamente o que eles estão fazendo.
- White-Hat Hackers – Estes hackers pensam como um atacante, mas trabalham para os caras bons. Eles são tipicamente profissionais que seguem um código de ética que diz basicamente que eles não causarão danos. Este grupo também é conhecido como hackers éticos (ethical hackers) ou pentesters.
- Gray-Hat Hackers – Estes hackers estão no limite entre o bom e mau, e decidiu se reformar e ir para o lado bom. Uma vez que são reformados, eles não são totalmente confiáveis.
- Black-Hat Hackers – Estes hackers são os que atuam do lado oposto da lei. Eles podem ou não ter objetivos fixos. Na maioria dos casos, efetuam atividades criminosas. Eles não possuem autorização para efetuar os pentests.
- Suicide Hackers – Estes hackers tentam derrubar seus alvos para provar que são bons, sem se preocupar em cobrir seus rastros e serem pegos ou passar um tempo na prisão.
Código de conduta
Como um hacker ético, você precisa ter certeza que você está aderente a um código de conduta ou de ética para que você se permaneça confiável e empregável. Um código de conduta aborda alguns pontos, como:
- Manter a confidencialidade das informações obtidas durante os testes, não podendo vender ou repassar sem a permissão por escrito do cliente;
- Proteger a propriedade intelectual dos outros;
- Divulgar às pessoas apropriadas ou autoridades os perigos de qualquer cliente de e-commerce, da comunidade da internet ou de qualquer pessoa relacionada a uma transação eletrônica via software ou hardware;
- Prover um serviço com qualidade dentro da sua área de conhecimento e sendo honesto quanto a sua capacidade técnica;
- Nunca usar um software obtido de forma ilegal ou antiética;
- Não se envolver em práticas financeiras fraudulentas como suborno, dupla cobrança ou práticas financeiras inadequadas;
- Usar as informações do cliente ou empregador de forma consciente e somente o que foi autorizado;
- Ter uma conduta de forma ética e competente o tempo inteiro;
- Não ter envolvimento com hackers ou atividades maliciosas;
- Não comprometer de forma proposital os sistemas dos clientes durante sua atividade profissional;
- Garantir que todos os pentests sejam autorizados e dentro da legalidade;
- Não violar nenhuma lei;
Ethical hacking e pentests
Como um futuro hacker, você deve ter certeza absoluta que tem permissão para realizar os pentests de forma benigna. É importante saber alguns termos:
- Hack Value – Descreve um alvo que possa chamar atenção de um atacante. Como o alvo é atraente para o atacante, ele tem mais valor com o que tem dentro dele;
- Target of Evaluation (TOE) – É um sistema ou recurso que está sendo analisado em busca de vulnerabilidades. O TOE deve ser especificado no contrato com o cliente;
- Attack – É o ato de definir seu alvo e começar o TOE;
- Exploit – É uma forma de quebrar a segurança de um sistema;
- Zero Day – Descreve uma ameaça ou vulnerabilidade que é desconhecida pelo desenvolvedor e não foi endereçado para correção. É considerado um problema sério de várias formas;
- Security – É um estado de bem-estar em um ambiente onde somente ações que são permitidas são executadas;
- Threat – É considerado ser uma violação potencial de segurança;
- Vulnerability – É uma fraqueza em um sistema que pode ser atacado e usado como um ponto de entrada para um ambiente;
- Daisy Chaining – É o ato de realizar diversos ataques hacking em sequência, baseado no resultado do ataque anterior.
Quando um penteste é realizado, ele é de algum dos 3 tipos: whit box, gray box ou black box.
- Black Box – Um tipo de teste onde o pentester tem um pouco ou nenhum conhecimento de seu alvo. A situação é semelhante a que um atacante real encontraria, pela falta de conhecimento do alvo;
- Gray Box – Uma forma de teste onde o conhecimento dado é limitado. Neste tipo de teste, o pentester obtêm informações como endereço IP, sistema operacional e a topologia da rede, mas a informação é limitada. Este tipo de teste simula o conhecimento que alguém de dentro da companhia possa ter;
- White Box – Uma forma de teste onde a informação é completamente repassada ao pentester. É o teste realizado pela equipe interna ou de auditoria de sistemas.
Um hacker ético deve preservar a tríade CIA:
- Confidentiality – Refere-se a salvaguarda da informação, mantendo longe de pessoas não autorizadas. Exemplo: controle de acesso e criptografia;
- Integrity – Refere-se a originalidade da informação, garantindo que ela esteja correta e de acordo com o seu formato original. Significa que os dados que o receptor acesse sejam os dados que o criador tenha enviado;
- Availability – Manter as informações e recursos disponíveis para aqueles que precisem usa-las.
Além da tríade CIA, temos dois termos importantes que complementam:
- Non-repudiation é o conceito de que uma vez que uma ação é realizada por uma parte, não pode ser negada por essa parte. Por exemplo, usando técnicas tais como assinaturas digitais, é possível dizer definitivamente que uma mensagem foi enviada sem alteração e sem qualquer possibilidade de negação de que eles eram da origem da mensagem.
- Authenticity é a capacidade de afirmar que um objeto, como um pedaço de dados ou mensagem veio de uma fonte legítima e identificável. Esta é uma propriedade importante para um item porque ele afirma que a fonte de uma ação é válida e conhecida. Como o remetente assinou digitalmente com a sua chave privada, a posterior verificação da assinatura usando sua chave pública comprova a identidade do remetente e, assim, autentica o remetente e a origem da mensagem.
Por outro lado, precisamos saber o que pode ferir a tríade CIA. Veja os itens abaixo:
- Disclosure é uma revelação de forma inadvertida, acidental ou maliciosa de informações ou recursos para uma parte externa. Se você não está autorizado a ter acesso a um objeto, você nunca deve ter acesso a ele, muito menos divulgá-lo;
- Alteration é o contador de integridade; trata da modificação não autorizada de informações. Esta modificação pode ser causada pela corrupção, um acesso acidental que leva a modificação ou modificações que são maliciosas por natureza;
- Disruption (ou loss) significa que o acesso autorizado a informações ou recursos foi perdida. A informação é inútil se ele não estiver lá quando ela é necessária. Embora informações ou outros recursos nunca possam ser 100 por cento disponíveis, algumas organizações gastam o tempo e dinheiro para garantir 99,999 por cento de uptime dos sistemas críticos, que atinge cerca de seis minutos de tempo de inatividade por ano.
Referência: Certified Ethical Hacker version 9: Study Guide. Sybex. 2016.
Mapa mental sobre Ethical Hacking
Mapa Mental Ethical Hacker
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.