GABRILA65162183544miv_Superinteressante Created with Sketch.

Hackers S.A.

Bandidos não. Os hackers encontraram um nicho na economia legal: ajudam empresas e a polícia a combater o crime na Internet. E faturam com isso

Texto Paula Scarpin e Ivan Paganotti

Às 3 da manhã, a única luz acesa da casa é a do monitor. Os pais e a irmã de Rodrigo Rubira Branco já dormem há algumas horas. O computador é só dele agora. Na vida do rapaz, a máquina sempre teve um papel fundamental: ele escolheu o colégio técnico porque lá havia melhor conexão de internet e começou a trabalhar cedo – dando aulas num curso de informática, claro –, para ganhar dinheiro e investir em equipamento. Comprou seu primeiro computador aos 16 anos.

Como vários garotos, Rodrigo foi um hacker. E, antes que você torça o nariz para o garoto, vamos tentar desmistificar essa palavra. Hacker é aquele cara que manja muito de códigos de programação e sabe resolver qualquer problema que aparecer no computador. Tal conhecimento pode ser usado para o bem ou para o mal. O hacker que opta por servir o lado negro da força tem nome específico: cracker. Esse fulano invade sistemas, sabota e rouba dados. Não é o caso de Rodrigo, que se coloca no time dos hackers éticos: “É preciso seguir a lei, não importa o que você faça”.

Não só existem hackers benignos como eles têm uma grande importância para o aprimoramento da informática. “Eles desenvolveram e desenvolvem tecnologias e técnicas importantes, apontam falhas de segurança, erros de programação dos computadores”, afirma Adriano Cansian, coordenador do Laboratório de Pesquisas de Segurança da Unesp em Ribeirão Preto.

Profissão: hacker

Rodrigo acabou estudando sistemas de informação em uma faculdade pequena em Pederneiras, interior de São Paulo, mas sua aposta foi sempre os estudos paralelos. Ligado em congressos e discussões online, não demorou muito para ser descoberto. Aos 23 anos, ele trabalha em uma grande empresa multinacional – cujo nome nós não podemos mencionar aqui, mas que você com certeza conhece. Assim como ele, outros tantos hackers são os maiores especialistas em suas áreas. E as grandes empresas precisam deles.

Domingo Montanaro, que divide o apartamento com Rodrigo, sempre teve esse objetivo em mente. “Desde o começo eu era fascinado em trabalhar para o governo, grandes corporações – esse negócio de serviço secreto que aparece nos filmes”, diz. “Eu queria resolver os problemas. E também percebi que o mercado precisava dessa mão-de-obra, e que eu podia ganhar dinheiro com isso.” Ele começou fazendo uma série de trabalhos independentes, montando sites, criando portais, planejando a infra-estrutura de provedores. Um dia, fez um trabalho bem-feito de segurança para um grande banco (cujo nome – surpresa! – não podemos mencionar), e acabou contratado. Coordena uma equipe que apura fraudes, faz testes de intrusão, avalia a segurança de sistemas e faz todo tipo de investigação eletrônica.

A maioria, entretanto, não pensa tanto no futuro. Um dos hackers mais famosos do mundo, o americano Kevin Mitnick, começou do jeito mais inconseqüente possível. “Meu único objetivo, quando era um hacker, era ser o melhor hacker que existia”, conta. “Se eu roubei softwares, não foi porque eu queria vendê-los.” A gente entende, mas com a polícia não colou. Pego em 1995, Kevin passou 8 meses na solitária e ainda ficou proibido de usar qualquer computador por mais 3 anos.

Depois de cumprida a condicional, ele montou uma empresa de segurança, a Mitnick Security. Sem medo de ser feliz, Kevin não titubeou em pôr o próprio nome na empresa. “Os clientes conhecem meu passado e eles me procuram exatamente porque sabem que eu sou capaz de pensar como um hacker, porque eu já fui um.” Ele é consciente de que algumas empresas não aceitam comprar o seu serviço porque desaprovam os seus erros no passado, mas ele acha que o seu nome está mais ligado à especialização do que ao crime. “É óbvio que eu fiz coisas bem idiotas, mas agora atuo no outro lado – e não quero voltar para a cadeia”, afirma.

Mas será que dá pra confiar num ex-cracker? Adriano Cansian é cético. “Minha opinião particular é: não. Nós temos acesso a relatórios do FBI sobre perfis de criminosos, e esses estudos apontam que a reincidência de crimes eletrônicos é muito grande”, diz o pesquisador. “É o segundo maior índice de reincidência, só perde para pedofilia.” Ele faz o paralelo de contratar um profissional com antecedentes de roubo pra tomar conta de um cofre. O advogado criminalista Alvino Augusto de Sá discorda: “Acredito que é exatamente por não conseguir novos empregos que os criminosos podem voltar para o crime”.

Mitnick, acusam seus antagonistas, se promoveu em cima dos crimes que cometeu. A contratação de seu serviço funcionaria como uma espécie de recompensa por ter agido fora da lei. Para o advogado Renato Ópice Blum, um ex-cracker pode até ser contratado para funções educativas, mas não para lidar justamente com um setor que costumava prejudicar. “Não podemos prestigiar um sujeito que praticou um crime. O conhecimento dele foi obtido de forma ilícita, invadindo sistemas e a privacidade de pessoas, partindo para o lado antiético”, afirma. Mitnick, é claro, tem outra opinião. “Eu não estou faturando por causa do meu crime, estou faturando porque eu tenho muito conhecimento de segurança”, diz.

Se quiser ganhar dinheiro com um trabalho honesto, o cracker precisa ir além da obsessão por achar falhas no sistema alheio. “É importante estar preocupado em defender, não só em atacar, destruir”, explica Maurício Fiss, um dos coordenadores da ICTS, uma multinacional israelense de segurança de informação que presta serviços para várias grandes empresas (cujo nome não podemos revelar…). Há 10 anos no Brasil, a ICTS utiliza mão-de-obra hacker tanto local, do Brasil, quanto de Israel, fazendo testes de invasão.

Companhias industriais, de telecomunicações, bancos de investimentos, empresas de serviço e outras consultorias buscam a ICTS para testar a segurança de seus sistemas. “Fazemos testes de invasão até o limite seguro, para não interromper os trabalhos da empresa. Nós invadimos, encontramos as brechas, chegamos até a acessar informações, ver e-mails, mas não sabotamos”, diz Maurício. Eles então mostram ao cliente informações que só poderiam ser obtidas com o acesso ao sistema, para provar que há brechas na segurança – e se oferecem para eliminá-las. “Algumas vezes fazemos ataques durante uma palestra. Levamos hackers para mostrar como um ataque pode ser feito – e como pode ser fácil”, conta Maurício.

Hackers policiais

Bandidos também usam computadores – e deixam rastros digitais difíceis de ser recuperados por leigos. Assim, a ajuda de um especialista ­– como Rodrigo Branco, o rapaz que estudou para ser hacker – é bem-vinda na polícia. Ele já usou os conhecimentos de informática para dar cabo de um seqüestro. Com uma autorização judicial em mãos, examinou os e-mails trocados em um computador achado num cativeiro na região de Bauru. Neles, encontrou informações a respeito de um outro cativeiro, em que uma moça ainda estava presa. “Vários países estão investindo muito dinheiro na investigação de falhas de segurança, mas o Brasil tem pouco disso. A PF [Polícia Federal] e a Abin [Agência Brasileira de Inteligência] têm equipes de hackers, mas é pouco”, lamenta.

Por aqui, o detetive hacker que ganhou maior notoriedade foi Wanderley de Abreu Jr., que trabalhou com o Ministério Público do Rio de Janeiro para desmontar uma rede de pedofilia. Centenas de pessoas foram presas. Ainda assim, a pedofilia não é o maior campo de trabalho em investigações digitais. Segundo o advogado Renato Ópice Blum, há incidência ainda maior de crimes contra a honra – calúnia, injúria e difamação – e de fraudes. “Também ocorrem crimes de concorrência desleal, como roubo de segredos empresariais, e ameaças de extorsão: alguém invade e se apropria de dados e só os devolve mediante pagamento”, diz o advogado. Domingo Montanaro já investigou vários tipos de delitos eletrônicos, tanto em empresas privadas como em repartições públicas. Ele entrega o jogo: “Nos 3 anos em que eu trabalhei nessa área, vi tráfico de drogas, espionagem industrial e até marido que traía a mulher em sala de bate-papo”.

É muito difícil treinar uma equipe do zero para cuidar da segurança de sistemas. A mão-de-obra hacker, interessada e especializada, alia a juventude à experiência. É difícil competir. Contra os hackers, conta muitos pontos o preconceito. “Há um risco em divulgar que esse tipo de profissional é contratado para um banco, por exemplo. Os clientes podem perder a confiança”, lembra o pesquisador Marcelo Lau, da Escola Politécnica da USP. Assim fica fácil de entender por que não podemos divulgar onde trabalham Rodrigo e Domingo, ou para que empresas a ICTS presta serviço.

Grande parte dessa confusão se deve ao fato de não estar muito claro na cabeça das pessoas o conceito de crime virtual, qual é o limite do aceitável. Uma saída para essa falta de clareza é investir na formação de jovens hackers, para que sejam melhor estabelecidos os limites éticos da atividade. O professor Adriano Cansian cita a iniciativa do projeto HackerTeen (www.hackerteen.com.br), de São Paulo. Além de promover cursos para jovens de 12 a 17 anos, o projeto tenta informar melhor os pais sobre as possibilidades profissionais de quem é vidrado em informática.

Enquanto a formação dos hackers é feita na base da experimentação, o negócio é ter cuidado – mas não só com eles. “Qualquer pessoa pode cometer um crime”, diz Marcelo. Para proteger seus sistemas de informação, as empresas devem manter os olhos abertos e seguir o conselho do pesquisador da Poli: “Quando bits e bytes representam dinheiro, isso pode ser uma tentação para alguém com má índole”.

O currículo de um hacker

Formação:

Faculdade e cursos de informática não contam tantos pontos na hora da contratação se o hacker já tiver experiência nos teclados, mas depois de empregado as empresas cobram que ele continue os estudos em cursos mais formais.

Experiências anteriores:

Além das noites em claro fuçando em programas, são muito valorizados os hackers que abrem as próprias empresas ainda jovens. Publicar estudos sobre programas na internet e participar de conferências dá bastante visibilidade. Colaborar com investigações policiais sobre crimes virtuais também abre portas.

Oportunidades de emprego:

Existem vagas para avaliação de segurança (os testes de invasão simulada que mos­tram as fragilidades dos sistemas para as empresas), investigação de fraudes virtuais, além de pesquisa e desenvol­vimento de novas táticas para barrar as invasões. Hackers com mais tempo de carreira já podem coordenar equipes.

Empresas:

Os futuros patrões estão no setor de informática (principalmente as empresas terceirizadas, que oferecem serviços de segurança de informação e testes de invasão às grandes companhias), nas empresas de telecomunicações e nos bancos.

Salário:

Nas companhias que valorizam esse profissional, um analista júnior, em começo de carreira, ganha entre R$ 2 500 e R$ 3 mil. Hackers com grande experiência podem chegar ao patamar de R$ 8 500 em poucos anos.

Dicionário hacker

White hat:

O hacker de “chapéu branco” é o hacker ético, que só procura as falhas nos sistemas sem infringir a lei, seja por curiosidade, seja contratado por empresas para testar a segurança dos bloqueios contra invasores.

Gray hat:

O “chapéu cinza” vive numa fronteira nebulosa. Apesar de ter boas intenções, às vezes pode invadir sistemas sem autorização, o que é ilegal. Para eles, desde que um crime “de verdade” não ocorra (como vandalismo, roubo ou fraude), tudo é válido.

Black hat:

O chapéu negro que oculta o “cracker”, o hacker que usa seus conhecimentos para invadir, destruir e roubar. Não estão preocupados com limites legais nem com a pesquisa sobre programação: o importante é invadir, não importa como.

Newbie:

Novato, inexperiente, o jovem aprendiz de hacker.

Script kiddie:

O “garoto dos scripts” é um cracker inexperiente que não possui grandes conhecimentos de informática e, por isso, depende de programas alheios para encontrar brechas nas suas invasões. De modo geral, tem pouco interesse em tecnologia e está mais preocupado em ganhos materiais (roubo, fraude) ou fama (vandalismo).

Phreaker:

Hacker especialista em telecomunicações.