image

Accede a bootcamps ilimitados y a más de 650 cursos

50
%OFF
Article image
Thiago Kusal
Thiago Kusal08/09/2023 23:56
Compartir

Cibersegurança: Conhecendo o Ethical Hacking

  • #Segurança da informação

Introdução

Em um mundo cada vez mais conectado, a cibersegurança se tornou uma das maiores preocupações das organizações. Com o aumento exponencial de dispositivos conectados à internet e a crescente dependência de sistemas digitais, a exposição a ameaças cibernéticas nunca foi tão significativa. Nesse cenário de constantes desafios à integridade dos dados e à privacidade dos indivíduos, surgem os profissionais de cibersegurança e, dentre eles, o ethical hacker (white hat hacker).

O termo "hacker" frequentemente evoca imagens de indivíduos mal-intencionados que invadem sistemas e causam estragos. No entanto, existe uma contrapartida ética desse mundo subterrâneo, composta por especialistas altamente treinados cuja missão é proteger a segurança digital, identificando e corrigindo vulnerabilidades em sistemas computacionais antes que criminosos cibernéticos (black hat hacker) as explorem. Este é o universo do Ethical Hacking.

Neste artigo, faremos um overview do Ethical Hacking. Veremos um pouco de sua história, evolução e a importância crescente que desempenha em nossa sociedade cada vez mais digitalizada. Conheceremos as habilidades e qualificações necessárias para se tornar um ethical hacker, examinar as diferentes fases do processo de ethical hacking e conhecer algumas ferramentas e técnicas empregadas por esses profissionais. Além disso, abordaremos as complexidades éticas e legais que envolvem esse campo, destacando a necessidade de responsabilidade e integridade.

À medida que avançamos neste artigo, ficará claro que o ethical hacking não é apenas uma disciplina técnica, mas também um compromisso com valores éticos e uma contribuição vital para a cibersegurança global.

História do Ethical Hacking na Cibersegurança

O Ethical Hacking, também conhecido como "hacking ético", teve suas raízes nas primeiras décadas da computação. No entanto, sua formalização e reconhecimento como um campo legítimo da cibersegurança ocorreram muito mais tarde.

Podemos defini-lo como a prática de identificar e explorar vulnerabilidades em sistemas de computador e redes, com a permissão e com objetivos legítimos, a fim de avaliar e melhorar sua segurança. Os ethical hackers, também chamados de "white hat", empregam suas habilidades técnicas para encontrar brechas de segurança antes que hackers mal-intencionados (black hat) o façam.

Entre as décadas de 60 e 70, o termo "hacker" surgiu com entusiastas da computação que exploravam sistemas para entender seu funcionamento. Não havia distinção clara entre hackers éticos e não éticos nesta fase inicial. E a partir de 80, com o aumento de atividades ilegais de cibercriminosos, como a disseminação de vírus e invasões de sistemas, a necessidade de hackers éticos se tornou evidente. Empresas começaram a contratar especialistas para testar a segurança de seus sistemas.

No anos 2000 em diante ohacker ético ganhou reconhecimento oficial como uma disciplina importante na segurança cibernética. Organizações começaram a adotar padrões de teste de penetração e criaram códigos de ética. Certificações, como a C|EH (Certified Ethical Hacker), foram desenvolvidas para validar as habilidades dos profissionais.

Com o passar do tempo, foi tornando cada vez mais essencial na identificação e correção proativa de vulnerabilidades em sistemas e redes. A atuação dos hackers éticos se tornou fundamental para garantir a confidencialidade, integridade e disponibilidade dos recursos digitais a partir dos testes práticos.

Habilidades e Qualificações para Cibersegurança

image

Ser um hacker ético é uma profissão que pode ser desafiadora e exige conhecimentos avançados em diversas áreas. Vejamos alguns dos principais:

  • Liguagens de programação: são essenciais para entender e manipular o código-fonte de aplicações, sistemas e dispositivos. Um hacker ético deve dominar pelo menos uma linguagem de alto nível, como Python, Java ou C#, e uma de baixo nível, como Assembly ou C. Além disso, deve estar atualizado com as novas tendências e vulnerabilidades das linguagens mais usadas. (SEITZ, Justin. Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters, 2021)
  • Redes de computadores e protocolos: são a base da comunicação entre máquinas e servidores na internet. Um hacker ético deve conhecer os conceitos e as técnicas de redes, como endereçamento IP, roteamento, firewall, VPN, NAT, etc. Também deve saber como analisar e interceptar pacotes de dados usando ferramentas como Wireshark, Nmap ou Tcpdump. Além disso, deve entender os protocolos mais comuns, como TCP/IP, HTTP, FTP, SMTP, etc., e suas vulnerabilidades. (TANENBAUM, Andrew. Redes de Computadores, 2021)
  • Ferramentas e técnicas de hacking: são os recursos que um hacker ético utiliza para realizar testes de invasão, auditorias de segurança e análises forenses. Um hacker ético deve saber como usar ferramentas como Metasploit, Burp Suite, Kali Linux, etc., para explorar falhas em sistemas e aplicações. Também deve conhecer as técnicas de hacking mais comuns, como phishing, brute force, SQL injection, XSS, etc., e como se proteger delas. (FRAGA, Bruno. Técnicas de Invasão: Aprenda as técnicas usadas por hackers em invasões reais)
  • Conhecimento de sistemas operacionais: são os programas que gerenciam o funcionamento dos computadores e dispositivos. Um hacker ético deve ter familiaridade com os principais sistemas operacionais do mercado, como Windows, Linux e MacOS, e suas características, vantagens e desvantagens. Também deve saber como configurar e administrar esses sistemas e, principalmente, saber como identificar e suas vulnerabilidades. (TANENBAUM, Andrew. Sistemas Operacionais Modernos, 2015)
  • Pensamento crítico e criativo: são as habilidades que um hacker ético deve desenvolver para resolver problemas complexos e encontrar soluções inovadoras. Um hacker ético deve ter uma mente aberta e curiosa, que questiona tudo e busca aprender sempre mais. Também deve ter uma visão estratégica e analítica, que planeja e executa seus projetos com eficiência e segurança. Além disso, deve ter uma atitude ética e responsável, que respeita as leis e os direitos dos outros.
  • Banco de dados: são os sistemas que armazenam e organizam os dados em estruturas lógicas. Um hacker ético deve conhecer os conceitos e os tipos de banco de dados, como relacional, orientado a objetos ou NoSQL. Também deve saber como projetar e modelar um banco de dados usando ferramentas como SQL ou MongoDB. Além disso, deve saber como acessar e manipular os dados usando linguagens de consulta, como SQL ou MongoDB.
  • LGPD/GDPR: são as leis que regulam a proteção de dados pessoais na internet. Um hacker ético deve conhecer os princípios e as normas dessas leis, bem como as sanções aplicáveis em caso de violação. Também deve saber como implementar medidas de segurança adequadas para garantir a privacidade e a integridade dos dados dos usuários. Além disso, deve estar atento às mudanças e atualizações dessas leis no Brasil e no mundo.

Além disso, existem diversas certificações que podem auxiliar o profissional a se destacar no mercado de trabalho como hacker ético. Algumas delas são:

  • Certified Ethical Hacker (CEH): é uma certificação oferecida pelo EC-Council que aborda os conceitos e ferramentas básicas para realizar testes de intrusão em sistemas e redes. O candidato precisa passar por um exame de 125 questões de múltipla escolha em quatro horas. O CEH é uma das certificações mais antigas e populares na área de hacking ético. (https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/)
  • Offensive Security Certified Professional (OSCP): certificação oferecida pela Offensive Security que avalia as habilidades práticas do candidato em realizar ataques reais contra sistemas e redes vulneráveis. O candidato precisa realizar um exame prático de 24 horas, onde deve invadir vários alvos e enviar um relatório detalhado das suas ações e recomendações. O OSCP é uma das certificações mais respeitadas e desafiadoras na área de hacking ético. (https://www.offensive-security.com/pwk-oscp/)
  • CompTIA Security+: aborda os conceitos fundamentais de segurança da informação, como criptografia, controle de acesso, gestão de riscos, entre outros. O candidato precisa passar por um exame de 90 questões de múltipla escolha e baseadas em cenários em 90 minutos. O Security+ é uma certificação básica que serve como pré-requisito para outras certificações mais avançadas na área de segurança da informação. (https://www.comptia.org/certifications/security)
  • Certified Information Systems Security Professional (CISSP): é oferecida pelo (ISC)² que aborda os domínios do Common Body of Knowledge (CBK) da segurança da informação, como arquitetura e engenharia de segurança, gestão de identidade e acesso, segurança de software, entre outros. O candidato precisa passar por um exame adaptativo de 100 a 150 questões em três horas e ter pelo menos cinco anos de experiência profissional na área. É bastante reconhecida e valorizada na área de ciberseguranca. (https://www.isc2.org/Certifications/CISSP)
  • Certified Information Systems Auditor (CISA): oferecida pelo ISACA que aborda os processos e práticas de auditoria de sistemas de informação, como planejamento e execução de auditorias, governança e gestão de TI, proteção de ativos de informação, entre outros. O candidato precisa passar por um exame de 150 questões de múltipla escolha em quatro horas e ter pelo menos cinco anos de experiência profissional na área. O CISA é uma das certificações mais requisitadas para os profissionais que atuam como auditores ou consultores de segurança da informação. (https://www.isaca.org/credentialing/cisa)

Fases do Ethical Hacking

image

O processo de Ethical Hacking é meticuloso e segue uma série de fases bem definidas e acordadas para garantir uma avaliação completa da segurança de um sistema ou rede. Cada fase desempenha um papel fundamental na identificação de vulnerabilidades. Abaixo, detalharemos cada uma dessas fases:

  1. Fase de Reconhecimento: também conhecida como “recon”, o ethical hacker busca identificar o alvo e coletar informações básicas sobre ele, como endereço IP, domínio, sistemas, serviços etc. O objetivo é obter uma visão geral do ambiente e planejar os próximos passos. Isso é feito principalmente por meio de técnicas passivas, como pesquisa na web, redes sociais, varredura de DNS e consulta a registros públicos ou técnicas como varredura de portas e análise de metadados de documentos obtidos pela internet.
  2. Fase de Escaneamento e Enumeração: No “scanning”, o hacker começa a realizar testes ativos no alvo utilizando ferramentas e técnicas de escaneamento de portas e serviços para identificar serviços em execução, encontrar portas abertas e determinar quais sistemas estão disponíveis para interação. A na "enumeração" é onde ele tenta obter informações detalhadas sobre os sistemas e serviços, como versões de software, configurações de segurança e nomes de usuários.
  3. Fase de Exploração: é a parte mais crítica do processo de Ethical Hacking, onde se tenta explorar as vulnerabilidades encontradas nas fases anteriores, utilizando ferramentas e técnicas para obter acesso não autorizado aos dados e recursos desejados. O objetivo é comprometer a segurança do alvo e demonstrar o impacto do ataque com a obtenção de credenciais de acesso, controle sobre sistemas ou até mesmo acesso total à rede. Nesta etapa podem ser usados exploits, que são códigos ou técnicas específicas projetadas para aproveitar falhas de segurança conhecidas.
  4. Fase de Manutenção de Acesso: Nesta etapa, o hacker já invadiu o sistema e busca manter o acesso não autorizado sem ser detectado. Isso envolve a criação de backdoors e rootkits, alterações sutis nos sistemas e monitoramento constante para evitar a detecção pelas defesas de segurança. O objetivo é garantir que o ethical hacker possa retornar ao alvo sempre que quiser.
  5. Fase de Relatório: Aqui é o final do processo, onde o profissional documenta todas as descobertas, vulnerabilidades exploradas, as ações realizadas durante o teste de penetração (pentest) e as evidências do ataque. Um relatório detalhado é criado para que a organização possa entender as ameaças à sua cibersegurança e tomar medidas corretivas para mitigar esses riscos. O relatório deve ser claro e conciso para que o cliente alvo possa tomar as medidas necessárias para mitigar essas falhas.

Técnicas e Ferramentas

image

Existem diversas ferramentas que são utilizados pelos hackers éticos. Mas, sem sombras de dúvidas, o sistema operacional que ele usa para executar os testes pode ajudá-lo muito. Existem sistemas operacionais específicos para pentest, como o Kali Linux e o Parrot, que já vêm com centenas de ferramentas pré-instaladas e configuradas para facilitar o trabalho do pentester. Existem também sistemas focados na privacidade, como o Tails. Esses sistemas podem ser usados tanto em máquinas virtuais quanto em dispositivos portáteis, como pendrives ou cartões SD e através deles podem ser executadas diversas técnicas. Algumas dessas técnicas e ferramentas são:

  • Varredura de Rede: Ferramentas como o Nmap são usadas para identificar quais hosts estão ativos na rede, quais portas estão abertas e quais serviços estão rodando em cada host.
  • image
  • Exploração: Ferramentas como o Metasploit que permite explorar vulnerabilidades em sistemas e aplicações, usando módulos de exploração, payloads, encoders e shells reversas.
  • image
  • Análise de Tráfego: O Wireshark que permite capturar e examinar o tráfego de rede, podendo identificar protocolos, hosts, portas, dados e possíveis anomalias.
  • image
  • Teste de Aplicativos Web: Ferramentas como o Burp Suite são usadas para testar a segurança de aplicações web, que permite interceptar, modificar e enviar requisições HTTP, além de realizar análises automáticas e manuais de vulnerabilidades.
  • image
  • Teste de Senhas: Ferramentas como o John the Ripper podem ser usadas para quebrar senhas, que usa diferentes métodos de ataque, como força bruta, dicionário e rainbow tables.
  • image
  • Quebra de Criptografia: Ferramentas como o Hashcat podem quebrar hashes de senhas e criptografia.
  • image
  • Engenharia Reversa: Ferramentas como o IDA Pro são usadas para analisar malware e aplicativos para encontrar vulnerabilidades.

Ética e Responsabilidade

É importante termos em mente que o que difere um hacker white hat e de um black hat é algo puramente conceitual: a ética. Embora os ethical hackers utilizem suas habilidades para explorar vulnerabilidades, é vital que sigam princípios e diretrizes éticas, como:

  1. Consentimento: O hacker ético deve obter permissão explícita do alvo para realizar testes de penetração em sistemas, redes ou aplicativos. Qualquer teste sem permissão é considerado ilegal.
  2. Transparência: É importante que o hacker revele claramente suas intenções e a extensão de suas atividades durante o teste. Isso evita mal-entendidos e preocupações legais.
  3. Confidencialidade: devem manter a confidencialidade das informações que obtêm durante os testes. Isso inclui dados sensíveis e detalhes sobre vulnerabilidades.
  4. Integridade: Eles não devem modificar ou danificar sistemas ou dados durante os testes, a menos que seja necessário para demonstrar uma vulnerabilidade e esteja em comum acordo.
  5. Responsabilidade Legal: Eles devem cumprir todas as leis e regulamentos relacionados à cibersegurança em suas jurisdições.

Tendências da Cibersegurança

Os profissionais de segurança, incluindo os hackers éticos, desempenham um papel vital na sociedade moderna. Eles ajudam a garantir a integridade da infraestrutura global, protegendo sistemas, redes e informações contra ameaças cibernéticas, garantindo os direitos e interesses dos cidadãos, das organizações e do Estado. Além disso, educam organizações e indivíduos sobre as melhores práticas de segurança cibernética, promovendo uma cultura de segurança.

Este campo de ethical hacking da cibersegurança está em constante evolução e enfrenta novos desafios e oportunidades com os avanços tecnológicos que afetam a sociedade. Algumas das tendências que podem impactar o trabalho do hacker são, por exemplo, o crescimento da internet das coisas (IoT), que conecta cada vez mais dispositivos inteligentes à rede, como carros, geladeiras, relógios, etc, ampliando a superfície de ataque e cria novas vulnerabilidades para os sistemas e o desenvolvimento da inteligência artificial (IA), que pode ser uma aliada ou uma inimiga da cibersegurança.

Por um lado, a IA pode ajudar o hacker éticos a detectar e corrigir falhas de segurança de forma mais rápida e eficiente, usando técnicas como machine learning, análise de dados ou reconhecendo padrões. Por outro lado, a IA também pode ser usada por hackers maliciosos para criar ataques mais sofisticados e adaptativos, usando técnicas como deep learning, desenvolvimento de malwares sofisticados e adaptativos para burlar detecções, e até na engenharia social.

Conclusão

Nesta constante evolução da cibersegurança, o papel do hacker ético é vital. O hacking, baseado em princípios éticos e responsabilidade, desempenha um papel crítico na proteção de sistemas, redes e aplicativos contra ameaças cibernéticas em constante mutação.

A ética e a responsabilidade são o que diferem um hacker ético de um criminoso, garantindo que todas as atividades sejam realizadas dentro dos limites legais e de acordo com diretrizes éticas e acordadas com o alvo.

Olhando para o futuro, a cibersegurança enfrenta desafios crescentes, incluindo o uso da inteligência artificial na criação de malwares. A IA pode ser uma ferramenta poderosa tanto para defensores quanto para atacantes, tornando a batalha pela segurança cibernética mais complexa e dinâmica.

Em última análise, os ethical hackers desempenham um papel crucial na defesa da nossa infraestrutura digital global. Eles estão na linha de frente da luta contra ameaças cibernéticas e continuam a se adaptar e evoluir para enfrentar os desafios do mundo digital em constante mudança. À medida que a tecnologia avança, a ética e a responsabilidade permanecem como os alicerces que sustentam a cibersegurança e garantem um futuro digital mais seguro para todos.

Referências Bibliográficas

  • SILVA, César Felipe Gonçalves da. Técnicas de invasão de sistemas pentest: práticas detalhadas de hacker ético para os novos profissionais do mercado. São Paulo: Editora Dialética, 2020.
  • ERICKSON, Jon. Hacking: A Arte de Invadir. Rio de Janeiro: Alta Books, 2006.
  • MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking Exposed 7: Network Security Secrets and Solutions. 7. ed. Nova York: McGraw-Hill, 2012.
  • EC-Council (2020). Certified Ethical Hacker (CEH) v11 - Official Courseware. EC-Council Press.
  • Hadnagy, C., & Wilson, J. (2018). The art of invisibility: the world's most famous hacker teaches you how to be safe in the age of Big Brother and big data. Little, Brown and Company.
  • Harris, S. (2016). CISSP all-in-one exam guide. McGraw-Hill Education.
  • Tipton, H., & Krause, M. (2006). Information security management handbook. CRC Press.
Compartir
Comentarios (18)
LETICIA CASTRO
LETICIA CASTRO - 26/09/2023 17:14

Parabéns! Excelente artigo! Lendo esse artigo aumentou mais ainda a minha curiosidade sobre essa área de cibersegurança onde a tendência é o aumento da procura pelo curso e ferramentas!

Fernando Aguiar
Fernando Aguiar - 21/09/2023 16:39

Excelente artigo, parabéns!

JV

João Vitor - 15/09/2023 15:53

Muito interessante ter a visão e um guia de um especialista :)

Clemilda Batista
Clemilda Batista - 12/09/2023 22:11

Muito bom o artigo, parabéns!!

Thayla Lima
Thayla Lima - 12/09/2023 09:20

Artigo necessário, parabéns.

MS

Marcos Sousa - 19/09/2023 09:24

Muito bom!

Fernanda
Fernanda - 18/09/2023 09:11

Ótimo artigo, bem elaborado e explicativo. Obrigada.

FS

Felipe Sabbanelli - 18/09/2023 08:52

Muito interessante o artigo abrange várias dúvidas que o pessoal tem no começo na área da segurança da informação

keila cruz
keila cruz - 11/09/2023 16:38

muito interessante seu ,amei!

WV

Wallace Valadares - 10/09/2023 11:47

Muito legal, abrangente e cheio de informações, é um dos grandes ramos da área de TI. Vale a pena estudar mais afundo.

Gabriel Silva
Gabriel Silva - 09/09/2023 11:46

artigo muito bom!

Gabriela Tuler
Gabriela Tuler - 09/09/2023 11:34

Adooorei o artigo! Sou iniciante na área de tecnologia, tentando transição de carreira, e não conhecia este segmento. Preciso estudar muito ainda!!

Thiago Kusal
Thiago Kusal - 09/09/2023 10:43

@Lucas Bernardes

Curto bastante a área de segurança também. Inclusive, pretendo surfar a onda do DevSecOps em breve.

Estou pensando até em escrever um artigo sobre isso também.

Vi no seu perfil que você estudou um pouco de Python. No artigo indiquei um livro específico de Python para pentest.

Nunca joguei esse System Shock, mas jogos com essa temática são sempre estereotipados mesmo haha. Os jogos com essa temática que eu conheço são: Hacker Simulator, Hacknet, Uplink e Grey Hack. Todos tem na Steam.


@Cleverton

Gosto bastante do Parrot, mas não adianta, o dragãozinho do Kali é sempre mais sedutor hahaha. O BlackArch bastante interessante também. Mas pra quem não quer deixar rastros, não adianta... com certeza montará sua própria distro baseada em outras com ênfase em privacidade, como Tails, por exemplo.

RM

Ricardo Mathias - 09/09/2023 09:51

Artigo bem completo. Muito top Thiago

GS

Gleiceanne Silva - 09/09/2023 06:42

Artigo bem completo, é um assunto que gosto muito. Parabéns!

Lucas Bernardes
Lucas Bernardes - 09/09/2023 06:18

Muito bom, confesso que sempre gostei de Cyber Segurança, porém nunca fui atrás pra ver um conteúdo didático de fato... Vou aproveitar suas referências bibliográficas ai pra correr atrás de aprender mais. Acho que meu contato com o assunto pela primeira vez foi jogando System Shock, que, na intro do jogo, você já hackeia uma Corp maligna, mas daquele jeito esteriotipado que a gente conhece dos hackers, de código verde na tela, e teclas aleatórias no teclado kkkk

Cleverton Junior
Cleverton Junior - 09/09/2023 03:57

Esse artigo despertou a vontade de estudar novamente ethical hacking e cyber security, utilizei muito o Parrot OS há alguns anos, nostalgia.

DF

Douglas Ferreira - 08/09/2023 23:58

Top