Em qualquer mercado há empresas ou indivíduos que tentam se aproveitar da falta de conhecimento de quem precisa dos produtos ou serviços e "vender gato por lebre". No caso da segurança, casos de picaretagem como do hacker nº 1 acontecem porque a área é muito complexa e abrangente. Por esse motivo, muitas pessoas, devido ao medo, acabam se impressionando.
A principal manifestação da picaretagem acontece em cursos que se autointitulam "cursos de hacker". "Eles usam a estratégia do medo: "eu sou hacker e posso invadir seu computador". Com isto conseguem convencer uma série de pessoas a pagar pequenas taxas por um curso que não ensina nada além de técnicas e ferramentas básicas e, na grande maioria, também antigas e ineficazes", explica o consultor em segurança Wagner Elias.
Copiando " ou tendo inspiração pesada " de tutoriais gratuitamente disponíveis na internet, os organizadores desse tipo de curso conseguem ganhar dinheiro sem oferecer nenhum conteúdo ou técnica nova, ao mesmo tempo em que vendem a ideia como revolucionária ou exclusiva. Mentem sobre suas qualificações, dizendo que possuem certificações que na verdade não possuem, e promovem seus conhecimentos básicos como as mais avançadas técnicas de proteção e invasão.
No campo da criptografia, qualquer solução falsa ou ineficaz recebe o nome de "snake oil" ou "óleo de cobra". "Snake oil" era um medicamento ineficaz usado como panaceia nos Estados Unidos, por isso a analogia.
"Como ser hacker" é assunto do livro de Gregory Evans, acusado de picaretagem. Segundo especialistas, ele é básico e superficial. Há também suspeitas de plágio. (Foto: Divulgação)
Existe curso para ser hacker?
"O termo hacker é legal. Ã algo a ser perseguido. O problema é que pouca gente sabe o que é hacker", explica Wagner Elias, que ministra um curso sobre técnicas de invasão que ele se recusa a chamar de "curso de hacking ético". "Eu vou ensinar algumas técnicas e dar um caminho, introdução... mas só a pessoa pode buscar a cultura hacking", afirma. "Eu não vou formar hackers e ética não se ensina".
Para Anchises de Moraes, um curso hacker de verdade teria que abordar assuntos técnicos, humanos (éticos, psicológicos) e até culturais, tornando-o inviável. "Um curso de "hacker" de verdade deveria abordar tanta coisa, das entranhas dos sistemas operacionais, do desenvolvimento de código, aos aspectos psicológicos como a engenharia social, e por aí vai", especifica. Segundo ele, a maioria dos cursos apenas ensina técnicas de invasão. "Há sim como ensinar técnicas de invasão, mesmo porque existem várias técnicas distintas e muito material disponível sobre elas. Então, sim, é possível criar um curso sobre técnicas de invasão", diz. Mas adverte: "De cara, isso leva a um questionamento grande sobre a ética do curso e de quem quer fazer um curso desses".
"A palavra [hacker] é usada de forma a passar uma ideia maior do que o curso promete ser e, portanto, para vender o curso, de forma marketeira", resume Moraes. "As pessoas usam o termo para ganhar "Ibope". Ser hacker é cool, é só procurar no Google e no Orkut", concorda Elias.
Um grupo de hackers brasileiros, conhecidos como "Project Mayhem", buscou invadir os sites e sistemas pertencentes a profissionais que eles consideravam "picaretas". Quando alguns profissionais respeitados do ramo se pronunciaram contra os ataques, eles também viraram alvos do Project Mayhem.
Mas confiar no julgamento e na "justiça" de justiceiros virtuais não é uma boa maneira de evitar a picaretagem. Wagner Elias criou uma lista de comportamentos comuns a alguns profissionais que valorizam mais a imagem e reputação de "hacker" do que o conhecimento técnico e efetivo. Ele sugere que empresas e usuários busquem referências e analisem o histórico de cada consultor ou instrutor de curso para não contratar apenas "um cara famoso e que eventualmente tenha alguma certificação".
O site Attrition.org possui uma lista que inclui profissionais, empresas e até jornalistas de segurança. Buscar semelhanças entre os exemplos e outros profissionais pode ajudar a identificar um charlatão.
Não acreditar em receitas mágicas e buscar resultados concretos é importante porque o objetivo de quem exagera suas habilidades é ganhar dinheiro com o pouco que sabem sem apresentar resultados. O delegado Emerson Wendt, da Polícia Civil gaúcha, lembra que a engenharia social " enganação " é uma das áreas de estudo e atuação da segurança. "Esse tipo de pessoa [o picareta] continua sendo um "engenheiro social", porém com outros objetivos e alvos", diz.
Talvez a primeira lição de um curso hacker teria de ser "como evitar um falso curso hacker".
OBS.: Notícia resumida. Para ver a notícia completa, acesse a fonte.
