É comum lembrarmos daquelas cenas de ataques cibernéticos vistas em séries como NCIS. Em um laboratório forense pouco iluminado, Abby Sciuto (Pauley Perrette) e Timothy McGee (Sean Murray) enfrentam cibercriminosos determinados a roubar dados de suas investigações.
Em meio a termos técnicos complexos e muitas vezes incompreensíveis (algo como “O firewall queimou! Isso é criptografia DOD Nível 9!”), a dupla tenta contra-atacar. No final, acabam digitando no mesmo teclado simultaneamente, o que, convenhamos, beira o ridículo.
Vamos falar sobre hacking de verdade
Essas cenas exemplificam a forma equivocada como o hacking é retratado na televisão e no cinema. As invasões a sistemas de computador parecem ocorrer em instantes, acompanhadas de textos verdes sem sentido e janelas pop-up aleatórias.
A realidade é bem diferente e menos dramática. Hackers e testadores de penetração profissionais dedicam tempo considerável para entender as redes e sistemas que pretendem atacar. Eles estudam as topologias de rede, o software utilizado e os dispositivos envolvidos, buscando brechas que possam ser exploradas.
Esqueça o contra-ataque em tempo real que vemos em NCIS. Não é assim que as coisas funcionam. As equipes de segurança focam na defesa, assegurando que todos os sistemas externos estejam protegidos e configurados corretamente. Se, por acaso, um hacker consegue ultrapassar as defesas, sistemas automatizados como IPS (Sistemas de Prevenção de Intrusão) e IDS (Sistemas de Detecção de Intrusão) entram em ação para mitigar os danos.
Essa automação é necessária porque muitos ataques não são direcionados a alvos específicos, mas sim oportunistas. Servidores são configurados para rastrear a internet em busca de vulnerabilidades exploráveis com scripts automatizados. Dada a grande quantidade desses ataques, é impossível combatê-los manualmente.
O trabalho humano concentra-se principalmente nas ações pós-ataque, como identificar o ponto de entrada, corrigi-lo para evitar reincidência, avaliar os danos causados e resolver possíveis problemas de conformidade regulatória.
Isso não é um bom material para o entretenimento. Quem gostaria de assistir alguém analisando manuais de equipamentos de TI corporativos ou configurando firewalls de servidores?
Capture a Bandeira (CTF)
Hackers eventualmente se enfrentam em tempo real, mas geralmente por competição e não por um objetivo estratégico.
Estamos falando de competições Capture a Bandeira (CTF), que ocorrem em eventos de segurança da informação, como os diversos eventos BSides. Nesses eventos, hackers competem entre si para concluir desafios dentro de um limite de tempo, ganhando pontos conforme avançam.
Existem dois tipos de CTF. Em eventos Red Team, hackers (ou equipes) tentam invadir sistemas sem defesas ativas, com uma proteção básica já instalada antes da competição.
Outro tipo de competição coloca Equipes Vermelhas contra Equipes Azuis, que são responsáveis pela defesa. As Equipes Vermelhas ganham pontos ao invadir os sistemas, enquanto as Equipes Azuis são avaliadas pela eficácia em defender esses ataques.
Os desafios variam entre eventos, mas são pensados para testar habilidades usadas diariamente por profissionais de segurança, como programação, exploração de vulnerabilidades conhecidas e engenharia reversa.
Embora os eventos CTF sejam competitivos, geralmente não há rivalidade. Hackers são naturalmente curiosos e tendem a compartilhar conhecimento. Não é incomum ver equipes ou espectadores compartilhando informações para ajudar um rival.
CTF à distância
Há uma reviravolta. Devido à pandemia de COVID-19, muitos eventos presenciais de segurança de 2020 foram cancelados ou adiados. No entanto, é possível participar de um CTF remotamente.
Sites como CTFTime reúnem informações sobre os próximos eventos CTF. Assim como nos eventos presenciais, muitos são competitivos. O CTFTime exibe uma tabela com as equipes de melhor desempenho.
Se preferir esperar a reabertura dos eventos presenciais, também é possível participar de desafios de hacking individualmente. O site Root-Me oferece diversos desafios que testam hackers ao máximo.
Outra opção, caso não tenha receio de criar um ambiente de hacking em seu computador pessoal, é o Damn Vulnerable Web Application (DVWA). Como o nome sugere, esse aplicativo web é intencionalmente cheio de falhas de segurança, permitindo que potenciais hackers testem suas habilidades de forma segura e legal.
E lembre-se, nada de duas pessoas em um teclado!