Pesquisadores são hackers. Na terminologia da cor do chapéu, existem hackers Blackhat, Whitehat e vários tons de Greyhat. Hoje, o delineamento entre as diferentes tonalidades está ficando mais claro. Os pesquisadores, por exemplo, seriam um subconjunto dos Whitehats.
A distinção, no entanto, nem sempre foi clara e ainda pode ser confusa. É agravado pela capacidade dos hackers de trocar de chapéu. Considere, por exemplo, o caso de Marcus Hutchins (MalwareTech). Ele se descreve no Twitter como “Hacker, criador de conteúdo, analista de inteligência de ameaças…” Ele poderia, mas não incluiu, ‘pesquisador’. O FBI não acredita que esse sempre tenha sido o caso.
Em maio de 2017, ele se tornou o herói mundial por encontrar um ‘interruptor’ capaz de impedir a disseminação do WannaCry. Mas menos de três meses depois, ele foi preso pelo FBI depois de participar da Def Con em Las Vegas devido a uma conexão anterior com o malware Kronos.
No julgamento que se seguiu, o juiz reconheceu que Hutchins havia “virado a esquina” entre hacking imoral e moral. Ele foi condenado ao tempo de serviço com o comentário do juiz: “Vai levar indivíduos como você, que têm o conjunto de habilidades, mesmo na tenra idade de 24 ou 25 anos, para encontrar soluções”.
Para nós, isso não é sobre Hutchins – é sobre aquela fronteira borrada entre diferentes tons de chapéu. Para ter uma ideia, conversamos com Cris Thomas (anteriormente e ainda conhecido como Space Rogue). Thomas agora é líder de estratégia global X-Force Red da IBM. Na década de 1990, no entanto, ele foi membro fundador do coletivo de hackers Lopht Heavy Industries.
Thomas não se considera um pesquisador – ele diz que sempre foi um hacker (embora nunca da variedade Blackhat). Não havia pesquisadores quando ele começou em Lopht, cerca de 25 a 30 anos atrás.
“Os pesquisadores fazem anotações, mantêm diários e trabalham nas coisas”, disse ele. “As coisas que eu estava fazendo, anos atrás – e o que um hacker faria hoje – é apenas hackear coisas, mexer e brincar com as coisas para ver o que quebra e o que ainda funciona.
“O pesquisador”, continuou ele, “é um pouco mais formalizado, embora o resultado final entre hacker e pesquisador possa ser o mesmo, como a descoberta de uma vulnerabilidade ou um resultado inesperado de informações inesperadas”. É o processo que é diferente. Se estiver bem documentado e seguir um plano, então é pesquisa. Mas um hacker tem uma abordagem menos formal do processo.
“Mas eu acho”, continuou ele, “em ambos os casos, excluindo Blackhats, você descobrirá que a pessoa que conduz o trabalho, seja um hacker ou um pesquisador, está muito preocupada com o resultado final, com o usuário, com o produto que eles estão olhando e, basicamente, tentando tornar o mundo um lugar melhor.”
Tanto os hackers de Whitehat quanto os pesquisadores de Whitehat são vistos de forma positiva hoje – mas nem sempre foi assim. A história do LophtCrack é um bom exemplo.
O LophtCrack é um aplicativo de auditoria e recuperação de senha desenvolvido pela Lopht Heavy Industries em 1997. Foi comercializado como uma ferramenta de auditoria – mas atingiu seu objetivo mostrando aos administradores de sistema como era fácil quebrar senhas individuais.
Por volta de 2000, um boletim informativo que avisava os assinantes sobre seus problemas de segurança aconselhava o uso do LophtCrack para recuperar uma senha perdida. Em poucas horas, o editor do boletim informativo recebeu um telefonema do Chefe da Polícia da Escócia reclamando que o conselho estava ajudando hackers Blackhat. Após uma discussão mais aprofundada, o chefe da polícia admitiu que a polícia usou o LophtCrack para ajudar a obter acesso aos computadores confiscados, mas isso não significa que outras pessoas deveriam ter permissão para usá-lo.
Thomas admite que o LophtCrack era – e ainda é (porque agora é) – uma ferramenta de dupla finalidade. “Um martelo é uma ferramenta de dupla finalidade”, disse ele. “A maioria das pessoas usa um martelo para martelar pregos, mas alguns ladrões podem usá-lo para quebrar uma janela.” Isso é motivo para proibir os martelos?
“Nós, é claro”, continuou ele, decidimos que é muito mais importante que os administradores sejam capazes de forçar seus usuários a escolher senhas boas do que que pessoas ruins possam usá-las para quebrar senhas. Alguns criminosos usaram LophtCrack para invadir sistemas? Tenho certeza que sim. Havia muitos, muitos outros sistemas protegidos por causa do LophtCrack? Absolutamente.”
Mas a história do LophtCrack lança mais luz sobre a relação hacker/pesquisador com a indústria. O LophtCrack foi lançado ao público porque a Microsoft negou um problema com o NT. Esse problema de negação do fornecedor continua até hoje.
Lopht encontrou um problema em Lanman. “Muitas vezes, um pesquisador ou um hacker encontra uma vulnerabilidade e tenta convencer um fornecedor de que essa vulnerabilidade existe e que eles precisam lançar um patch”, explicou. “Mas muitas vezes o fornecedor diz, tipo, ‘não podemos duplicar sua pesquisa – não acreditamos que isso seja um problema’.”
Isso foi o que aconteceu antes de Lopht lançar o LophtCrack. “Fomos à Microsoft e dissemos, ei, você tem alguns problemas no NT. Não fomos só nós – muitas pessoas contaram à Microsoft na época. Houve alguns problemas no Windows NT com sua implementação de senha; você realmente precisa abotoar isso.
“Mas eles nos disseram que isso não é um problema real para a maioria das pessoas, então elas não precisam fazer nada a respeito. Eles disseram que era um problema ‘teórico’. Dissemos que não. Dissemos que mostramos nossa prova de conceito e mostramos nossa pesquisa. Não é teórico e você precisa corrigi-lo. A Microsoft ainda tomou a atitude ‘não, não, não’. Então, fizemos a divulgação completa e dissemos: ‘Sim, isso é um problema; essa é a ferramenta e agora todo mundo vai usar’.”
Este é um dos primeiros exemplos do problema de divulgação completa que ainda existe hoje. Se um fornecedor ignora a pesquisa, o pesquisador ou hacker é forçado a ir a público. Como o problema foi ignorado, geralmente é desenvolvida uma exploração de prova de conceito. Como resultado, um pesquisador bem-intencionado pode ser forçado a criar uma exploração de dia zero simplesmente para forçar o fornecedor a corrigi-la – e o chapéu branco do pesquisador começa a ficar um pouco descolorido.
Uma resposta negativa de empresas que você está genuinamente tentando ajudar pode ajudar a empurrar hackers/pesquisadores neutros mais para o lado negro. Isso não aconteceu com Thomas. “Hoje”, disse ele, “quero melhorar a experiência do usuário, para tornar o mundo um lugar melhor. No começo, provavelmente era simples curiosidade – o que acontece se eu fizer isso?”
Essa curiosidade, quase inocente, continua até hoje. Mas ele acredita que a motivação dos hackers Blackhat é simplesmente dinheiro. Blackhat hacking é um trabalho com salário. Ele coloca os atores estatais na mesma categoria (mesmo que tenham a motivação adicional do patriotismo). Para si mesmo, ele diz: “Eu sento aqui em casa e estou hackeando coisas no meu tempo livre. Ninguém está me pagando para fazer isso e provavelmente não há outro jogo para isso além da minha própria satisfação pessoal.”
Alguns pesquisadores têm a sorte de serem pagos por empresas legítimas para realizar pesquisas legítimas, portanto há um valor monetário e um salário em seu trabalho. “Mas”, acrescenta Thomas, “acho que a principal motivação dos hackers e pesquisadores do Whitehat é mais consertar coisas, melhorar a vida do usuário e tornar o mundo um lugar mais seguro”. Ele chega a compará-lo com a aplicação da lei – proteger e servir. “Acho que a motivação individual de cada pessoa é, obviamente, um pouco diferente, mas acho que a maioria das pessoas provavelmente se enquadra em algum lugar nessa área, pelo menos no lado da pesquisa ou do hacker, em oposição ao lado criminoso.”
Uma questão interessante é o papel da educação no desenvolvimento de hackers Whitehat e Blackhat. Nesta série falámos com investigadores que afirmaram que a educação formal era irrelevante para o seu trabalho, e outros que alegaram que o seu diploma universitário os ajudou.
Está a tornar-se cada vez mais difícil conseguir um emprego legítimo na área da segurança cibernética sem primeiro obter um diploma universitário. “Definitivamente ajuda”, disse Thomas. “É necessário? Você não precisa de um por si só, mas terá dificuldade em encontrar alguém que o contrate sem um diploma. A menos que você tenha experiência, mas é difícil conseguir experiência sem o diploma.”
No Reino Unido, pode piorar. O governo está planejando estabelecer um corpo profissional de segurança cibernética. O documento de consulta afirma: “Como parte disto, sabemos que se tem considerado o valor de um Registo de Praticantes, semelhante ao que existe nas profissões médicas e jurídicas. Isto definiria os profissionais que cumpriram os requisitos de elegibilidade para serem reconhecidos como profissionais sénior devidamente qualificados e éticos ao abrigo de um título designado.”
Se considerarmos as profissões médicas e jurídicas, são os órgãos profissionais que decidem se um indivíduo pode trabalhar nessa profissão. Os motivos de exclusão são estabelecidos pelo órgão profissional e podem incluir qualificações acadêmicas insuficientes ou comportamento desagradável ao órgão. Portanto, embora hoje um diploma universitário seja quase um requisito para começar na segurança cibernética, em breve poderá se tornar uma necessidade absoluta.
A relevância desta discussão é simples – o que acontece às pessoas talentosas que não conseguem obter uma educação formal, ou cuja ética moral já está no limite? É cada vez mais reconhecido que um número estatisticamente elevado de hackers são neurodiversos, e é provável que um número ainda maior de hackers Blackhat sejam semelhantes.
“O campo da alta tecnologia parece atrair pessoas neurodiversas”, comenta Thomas. “Há um número esmagador? Não sei. É maior que a população natural? Eu vou dizer que sim, mas não tenho nenhum número para confirmar isso. Isso é apenas baseado na minha experiência pessoal. Alguém no Lopht seria considerado neurodiverso? Talvez, mas não acho que nenhum de nós fosse realmente super, extremamente neurodiverso.”
Condições neurodiversas incluem TDAH e o que costumava ser chamado de síndrome de Asperger. Pessoas com essas condições acham muito difícil – se não impossível – obter uma educação formal; ainda são freqüentemente altamente talentosos em alta tecnologia. Para onde vão se não conseguem encontrar um emprego legítimo, embora sejam mais qualificados do que muitos empregados? Vale a pena perguntar se o desejo dos governos de controlar as coisas criará mais hackers Blackhat.
Cris Thomas, também conhecido como Space Rogue, foi membro fundador do coletivo de hackers Lopht Heavy Industries. A sua abordagem informal às investigações (ou seja, “apenas hackear coisas”) significa que ele se descreve como um hacker e não como um investigador – que ele acredita ter uma abordagem mais formal e bem documentada às investigações.
Ele nunca foi um Blackhat. Sua carreira mostra que os hackers Whitehat podem ter sucesso no ambiente de negócios convencional – ele agora é líder de estratégia global da X-Force Red na IBM. Outros membros do Lopht fizeram o mesmo. Peiter Zatko, ex-Mudge na Lopht, é no momento em que escreve o chefe de segurança do Twitter. Chris Wysopal (Weld Pond em Lopht), que trabalhou no Netcat para Windows e no LophtCrack, foi cofundador da Veracode, onde é CTO. Christien Rioux (o primeiro funcionário da Lopht Heavy Industries) foi cofundador da Veracode com a Wysopal e agora é um engenheiro ilustre na Lacework.
Mas, apesar do sucesso subsequente dos ex-alunos da Lopht, vale a pena lembrar que muitos dos seus produtos anteriores foram desaprovados pelo sistema.