Se escrever "Ethical Hacker", "Black Hat" ou "White Hat" num motor de busca, não encontrará apenas resultados sobre as últimas ofertas de chapéus. Estes termos estão profundamente ligados à segurança da informação e ao hacking de sistemas informáticos. Mas o que é que os chapéus têm a ver com a pirataria informática? E o que é um hacker ético? É a estas perguntas que vamos responder no seguinte artigo do blogue.
Ethical hacker: antes de mais, o que é exatamente a pirataria informática?
Provavelmente já leu artigos sobre os "10 melhores hacks para acampar", que explicam como fazer pipocas numa fogueira, ou já ouviu falar de "life hacks", que podem facilitar a vida quotidiana de uma forma criativa. Os "hackers" são, portanto, por definição, pessoas que utilizam os seus conhecimentos e criatividade, muitas vezes relacionados com a tecnologia, para compreender, melhorar e alterar os sistemas existentes. No entanto, desde a década de 1980, o termo sofreu uma transformação negativa e reduziu-se ao domínio da segurança informática. Atualmente, na linguagem corrente, alguém que penetra nos sistemas informáticos de outras pessoas é designado por hacker.
Black hat, white hat e ethical hacker: qual é a diferença?
Os piratas informáticos são quase exclusivamente as pessoas duvidosas, de capuz, a bater nos teclados numa sala escura em frente a vários ecrãs. Isto também é evidente nos meios de comunicação social, tanto nos noticiários como nos filmes. Aí torna-se claro: a palavra "hacker" tem geralmente conotações negativas. Talvez seja por isso que são necessárias outras descrições para distinguir os hackers: fala-se cada vez mais em hackers de chapéu preto e hackers de chapéu branco. Mas em que é que eles diferem?
Os termos têm a sua origem em antigos filmes de faroeste. Aí, as personagens boas com chapéus brancos distinguiam-se das suas contrapartes más que usavam chapéus pretos. E é precisamente neste sentido que voltamos a encontrar os "chapéus pretos" e os "chapéus brancos" no mundo do hacking. Para distinguir entre o bem e o mal nos hackers, temos de olhar para dois factores em particular: a sua motivação e a legitimidade do seu trabalho.
Os "black hats" são motivados pelo próprio ganho financeiro, ciberespionagem, protestos ou pura emoção. Eles tentam roubar, criptografar ou destruir dados pessoais, informações financeiras ou credenciais de acesso, causando danos às suas vítimas. Agem sem o conhecimento das pessoas ou empresas visadas e, portanto, podem ser processados judicialmente.
Leia mais: Como é que os hackers são apanhados e expostos?
Os "White hats", por outro lado, utilizam as suas capacidades por uma boa causa. A sua abordagem é semelhante à dos hackers de chapéu preto, com a diferença de que não actuam ilegalmente. Trabalham para empresas ou organizações como especialistas em TI e ajudam a descobrir e a colmatar falhas de segurança através da pirataria informática. A sua motivação é melhorar e proteger os sistemas técnicos. Cada vez mais empresas estão a recorrer a estes serviços para evitar ciberataques maliciosos.
A distinção entre preto e branco, bem e mal, é frequentemente excessivamente simplista no mundo das TI. Assim, existe um terceiro grupo: os "chapéus cinzentos". Eles se situam entre os dois grupos mencionados anteriormente. Esses hackers detectam vulnerabilidades de segurança sem o consentimento ou conhecimento dos proprietários dos sistemas, mas comunicam os problemas às partes afetadas. Em seguida, solicitam uma recompensa financeira pelo seu trabalho e/ou concedem às empresas um prazo para resolver as questões antes de divulgarem publicamente as vulnerabilidades. Não perseguem seus objetivos com intenções maliciosas; sua motivação é aumentar a conscientização sobre o problema e se divertir com a pirataria informática. Esse tipo de pirataria está na fronteira da ilegalidade, uma vez que trabalham sem autorização dos proprietários dos sistemas e, muitas vezes, obtêm informações sobre dados sensíveis. O fato de que as fronteiras entre hackers de chapéu branco e chapéu preto estão se tornando cada vez mais tênues foi comprovado por um estudo de 2018 da Osterman Research.
Compreender o papel de um hacker ético
Os hackers de chapéu branco e cinza também são conhecidos como "hackers éticos". Esse termo descreve uma abordagem responsável em relação às habilidades e resultados de hacking. Existem cursos, conferências e certificações disponíveis para hackers éticos que desejam oferecer seus serviços de forma oficial. Além de uma atitude ética apropriada, os hackers éticos devem cumprir outros requisitos: elevada competência técnica, capacidade de se colocar no lugar dos atacantes e compreensão do valor dos dados e sistemas que devem proteger.
Neste contexto, talvez se lembrem de um caso que teve destaque nos meios de comunicação social em maio de 2021. A hacker Lilith Wittmann descobriu vulnerabilidades de segurança na aplicação da campanha eleitoral da CDU. Informou então o partido, o Gabinete Federal de Segurança da Informação e os comissários de proteção de dados de Berlim, oferecendo-lhes a oportunidade de resolver o problema. Só quando a aplicação estava offline é que publicou o seu trabalho. Esta abordagem é também designada por "divulgação responsável" e constitui um exemplo de hacking ético. No entanto, o caso também mostra como pode ser difícil avaliar este tipo de trabalho à luz da lei. Neste caso, a CDU apresentou uma queixa-crime contra Wittmann, o que não só aumentou o embaraço público para o partido, como também resultou na declaração oficial do Chaos Computer Club (CCC) de que deixariam de apontar vulnerabilidades de segurança ao partido no futuro. O caso foi arquivado porque os dados eram acessíveis ao público e a situação legal apenas criminaliza a espionagem ou interceção de dados de acesso protegido.
Este exemplo mostra mais uma vez que o trabalho dos hackers éticos é importante: sem eles, haveria mais falhas de segurança abertas, que por sua vez poderiam ser exploradas por hackers de chapéu preto.
A propósito, a paleta de cores dos hackers está a expandir-se. Por exemplo, também pode ler sobre os Chapéus Vermelhos, os Chapéus Azuis, os Chapéus Roxos e os Chapéus Verdes. No entanto, as definições destes são, por vezes, muito distantes, pelo que, de momento, vamos ficar por aqui.
Ler mais: Como travar os piratas informáticos no Facebook? Conselhos práticos
