Se escrevermos Black Hat ou White Hat no motor de busca, não nos são apresentados apenas resultados sobre as últimas ofertas de chapéus. Estes termos estão também ligados à segurança da informação e à pirataria informática. Mas o que é que os chapéus têm a ver com a pirataria informática? E o que é um "hacker ético"? Estas são as perguntas a que vamos responder no seguinte artigo do blogue.
Antes de mais, o que é exatamente o hacking? Provavelmente já leu artigos sobre os "10 melhores hacks de campismo", que explicam como fazer pipocas numa fogueira, ou já ouviu falar de "life hacks", que podem facilitar a vida quotidiana de uma forma criativa. Os "hackers" são, portanto, por definição, pessoas que utilizam os seus conhecimentos e criatividade, muitas vezes relacionados com a tecnologia, para compreender, melhorar e alterar os sistemas existentes. No entanto, desde a década de 1980, o termo sofreu uma transformação negativa e reduziu-se ao domínio da segurança informática1. Hoje em dia, na linguagem corrente, alguém que penetra nos sistemas informáticos de outras pessoas é designado por hacker.
Os hackers são quase exclusivamente as pessoas duvidosas de capuz, que batem nos teclados numa sala escura em frente a vários ecrãs. Isto também é evidente nos meios de comunicação social, tanto nos noticiários como nos filmes. Aí torna-se claro: a palavra "hacker" tem geralmente conotações negativas. Talvez seja por isso que são necessárias outras descrições para distinguir os hackers: fala-se cada vez mais em hackers de chapéu preto e hackers de chapéu branco. Mas em que é que eles diferem?
Os termos têm a sua origem nos antigos filmes de faroeste. Aí, as personagens boas com chapéus brancos distinguiam-se das suas contrapartes más que usavam chapéus pretos. E é precisamente neste sentido que voltamos a encontrar os "chapéus pretos" e os "chapéus brancos" no mundo do hacking. Para distinguir entre o bem e o mal nos hackers, temos de olhar para dois factores em particular: a sua motivação e a legitimidade do seu trabalho.
Os "black hats" encontram motivação no seu próprio ganho financeiro, mas também na ciberespionagem, nos protestos ou na pura emoção. Tentam roubar, encriptar ou destruir dados pessoais, informações financeiras ou dados de acesso, causando assim danos a quem atacam. Actuam sem o conhecimento das pessoas ou empresas visadas e, por conseguinte, tornam-se passíveis de ação judicial.
Os "White hats", por outro lado, utilizam as suas capacidades por uma boa causa. A sua abordagem é semelhante à dos hackers de chapéu preto, com a diferença de que não actuam ilegalmente. Trabalham para empresas ou organizações como especialistas em TI e ajudam a descobrir e a colmatar falhas de segurança através da pirataria informática. A sua motivação é melhorar e proteger os sistemas técnicos. Cada vez mais empresas estão a recorrer a estes serviços para evitar ciberataques maliciosos.
A distinção entre o preto e o branco, o bem e o mal, é, como em todo o lado, demasiado míope no mundo das TI. Assim, existe um terceiro grupo: os "chapéus cinzentos". Estes situam-se entre os dois grupos acima referidos. Detectam vulnerabilidades de segurança sem o consentimento ou o conhecimento dos proprietários dos sistemas, mas comunicam os problemas às pessoas afectadas. Depois, pedem uma recompensa financeira pelo seu trabalho e/ou dão às empresas um prazo para resolver os problemas e, em seguida, divulgam publicamente as vulnerabilidades. Não perseguem os seus objectivos com intenções maliciosas. A sua motivação é sensibilizar para o problema e divertir-se com a pirataria informática. Este tipo de pirataria está na fronteira da ilegalidade, uma vez que trabalham sem a autorização dos proprietários dos sistemas e, muitas vezes, obtêm informações sobre dados sensíveis. O facto de as fronteiras entre hackers de chapéu branco e hackers de chapéu preto estarem a tornar-se cada vez mais ténues já foi comprovado num estudo de 2018 da Osterman Research.2
Os hackers de chapéu branco e cinzento são também designados por "hackers éticos". Este termo descreve uma abordagem responsável das próprias capacidades e resultados de hacking. Existem até cursos, conferências e certificados para os hackers éticos que queiram oferecer o seu trabalho oficialmente. Para além de uma atitude ética adequada, os hackers éticos devem também preencher outros requisitos: grande competência técnica, capacidade de se colocarem no lugar dos atacantes e compreensão do valor dos dados e dos sistemas que devemproteger3.
Neste contexto, talvez se lembrem de um caso que teve destaque nos meios de comunicação social em maio de 2021. A hacker Lilith Wittmann descobriu vulnerabilidades de segurança na aplicação da campanha eleitoral da CDU. Informou então o partido, o Gabinete Federal de Segurança da Informação e os comissários de proteção de dados de Berlim4, oferecendo-lhes a oportunidade de resolver o problema. Só quando a aplicação estava offline é que publicou o seu trabalho. Esta abordagem é também designada por "divulgação responsável" e constitui um exemplo de pirataria informática ética. No entanto, o caso também mostra como pode ser difícil avaliar este tipo de trabalho à luz da lei. Neste caso, a CDU apresentou uma queixa-crime contra Wittmann, o que não só aumentou o embaraço público para o partido, como também resultou na declaração oficial do Chaos Computer Club (CCC) de que deixariam de apontar vulnerabilidades de segurança ao partido no futuro. O caso foi arquivado porque os dados eram acessíveis ao público e a situação legal apenas criminaliza a espionagem ou interceção de dados de acesso protegido.5
Este exemplo mostra mais uma vez que o trabalho dos hackers éticos é importante: sem eles, haveria mais falhas de segurança abertas, que por sua vez poderiam ser exploradas por hackers de chapéu preto.
A propósito, a paleta de cores dos hackers está a expandir-se. Por exemplo, também pode ler sobre os Chapéus Vermelhos, os Chapéus Azuis, os Chapéus Roxos e os Chapéus Verdes. No entanto, as definições destes são, por vezes, muito distantes, pelo que, de momento, vamos ficar por aqui.
Também pode encontrar uma visão assustadora de algumas das abordagens utilizadas pelos cibercriminosos no nosso vídeo do YouTube: "Histórias Assustadoras dos Cibermonstros".
1 Sobre Hacking - Richard Stallman. (o. D.). Stallman. Abgerufen am 19. November 2021, von http://stallman.org/articles/on-hacking.html
2White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime. (2018). Osterman Research, Inc. https://www.malwarebytes.com/resources/files/2018/08/global-white-hat-black-hat-and-the-emergence-of-the-gray-hat-the-true-costs-of-cybercrime-1.pdf
3 Guia deCibersegurança . (2021, 20. Oktober). Como se tornar um Hacker Ético | Guia para 2021. Abgerufen am 19. November 2021, von https://cybersecurityguide.org/resources/ethical-hacker/
4CCC | CCC meldet keine Sicherheitslücken mehr an CDU. (2021, 4. abril). CCC. Abgerufen am 19. November 2021, von www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
5Reuter , M. (2021, 16. September). CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org. Abgerufen am 19. November 2021, von netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/