EX-HACKERS — CONTRATÁ-LOS OU NÃO?



Alguém que um dia foi um hacker criminoso deve ser
estigmatizado para sempre ou poderá merecer uma chance
de andar na linha? Está lançada a questão.

Cada um de nós quase certamente conhece alguma história de um ex-hacker do Mal que, após ter sido capturado, passou um tempo na geladeira e depois foi contratado, muitas vezes a peso de ouro, como consultor de segurança de alguma grande corporação.

Bem, se falo em hacker, permita-me fazer uma necessária ressalva. Antigamente, o termo hacker tinha um sentido positivo — alguém que era fera em alguma tecnologia e dominava o assunto, descobrindo maneiras de usar de maneira mais inteligente um recurso eletrônico ou digital para chegar a um objetivo. Com o tempo, todavia, começaram a aparecer os hackers malignos, que usavam seus conhecimentos para prejudicar sistemas ou seus administradores e usuários. Como sabemos, esses celerados receberam o nome de crackers. Só que, infelizmente, o nome que pegou para os crackers foi mesmo... sim, você já sabe. Hackers. Portanto, para não ficar parecendo com um amigão meu que não diz “site” e sim “sítio”, muito embora tenha sido a primeira forma que vingou. Assim sendo, adoto aqui a acepção que caiu na boca do povo, ou seja, hacker fica valendo por cracker, certo? Assim, conversados que estamos, voltemos ao tema.

A questão que de vez em quando ressurge quando se menciona essa coisa de contratar ex-hackers é a seguinte. Será que é mesmo uma boa inserir esses camaradas em posição de tanta evidência num mercado tão fundamental e potencialmente perigoso?

Um artigo de M. E. Kabay, da “Network World”, dá conta de que o governo britânico entrou numa de recrutar “jovens inteligentes” para lutar domesticamente e no estrangeiro contra cibercriminosos. Por “jovens inteligentes”, obviamente, leia-se hackers.

O povão inglês meio que ignorou as intenções do governo e, na verdade, nem atinou muito bem para as implicações da proposta. Mas os especialistas em segurança digital chutaram o teto de tão furiosos que ficaram. Alguns chegaram a declarar publicamente que tinham dúvida se aquele anúncio não seria uma grande piada. De mau gosto.



Suponha que esse robô tenha sido programado para destruir
e matar. Será que ele poderia ser integralmente reprogramado
para defender uma cidade, suas casas e seus moradores? Ou
ficaria sempre em seus bancos de memória um fiapo de vontade
de voltar às origens ou, pelo menos, dar uma pequena
destruidinha aqui e ali de vez em quando?

O argumento mais contundente dos que se opunham à medida era o de que um criminoso regenerado estaria trabalhando para defender a segurança nacional da Grã-Bretanha. Ou seja, um indivíduo que detinha conhecimentos técnicos altamente sensíveis e potencialmente perigosos, estaria trabalhando no cerne do complexo de defesa digital do país, deixando a população sob o risco de, a qualquer recaída moral do ex-malfeitor, sucumbir aos seus atos malévolos.

“Afinal de contas”, diziam esses mais loquazes, “gosto que meus criminosos fiquem presos numa cela, e não defendendo o país”.

Fora isso, há também o aspecto técnico da questão. Até vá lá que um hacker tenha aptidão suficiente para penetrar em brechas de sistemas governamentais, mas apenas isso não lhe confere proficiência suficiente para atuar na defesa desses mesmos sistemas contra insidiosas ameaças externas. O plantel de uma instituição de cibersegurança deve ser composto por profissionais possuidores de um passado de pesquisas, intercâmbios e experiências legítimas, lidando com ameaças reais. Só assim se mostrarão capazes de reagir em tempo hábil e da maneira certa aos ataques que continuamente são desferidos a sistemas de importância vital para os governos.

O risco de colocar ex-hackers nessas posições de alta responsabilidade, segundo os que combateram a iniciativa inglesa, é a possibilidade desses amadores causarem estragos catastróficos, até mesmo, quem sabe?, a Terceira Guerra Mundial, ao lidar com protocolos internacionais e clusters de sistemas que controlam fluxos de dados globalizados que, se mal gerenciados, podem colocar em cheque todo o equilíbrio digital de um país e até do planeta.

Em resposta a essa razoável argumentação, porém, há o antológico caso de Kevin Mitnick, um dos hackers mais conhecidos da história, senão o mais. Pois bem, depois de pagar por seus crimes perante a sociedade e a Lei, voltou ao cenário, não mais como um contraventor, mas sim como palestrante, consultor e, porque não dizer?, estrela. Só que, a bem da verdade, Mitnick, dono de um amargo passado criminoso, aparentemente se regenerou mesmo e hoje em dia pode-se dizer que ele fez mais pelo avanço do mundo da segurança computacional do que milhares de profissionais convencionais da área.



Existem três tipos de hackers: (1) o realmente fera, que nunca
será pego e, se tiver mau caráter continuará cometendo seus
crimes; (2) o que é pego, processado e condenado, mas que nunca
se regenerará; e (3) o parecido com o do item anterior, só que
amadurece, cai na real e resolve construir algo sólido e positivo
em sua vida.

Outros defensores da contratação de ex-hackers ponderam que a comunidade de segurança pode estar perdendo uma das mais valiosas oportunidades de crescimento do setor se não abraçar elementos que já fizeram parte da cultura hacker. No lugar de fechar as portas a esses ex-cafumangos que ganhavam o pão de cada dia hackeando sistemas, dirigentes de áreas de segurança mais argutos poderiam aproveitar o talento dessas criaturas, redirecionando-o para realizações positivas através da inclusão dessas cabeças pensantes nas discussões de novos métodos de defesa.

Vale lembrar que, no campo da psicologia, os melhores terapeutas de viciados são justamente os ex-viciados, pelo fato de já terem vivenciado e sofrido na carne as agruras dessa verdadeira moléstia física e moral.

Kabay nos faz lembrar também de Frank Abagnale, que foi interpretado por Leonardo Di Caprio no filme “Prenda-me Se For Capaz”. Depois de se mostrar um mestre em falsificação, foi capturado pelas autoridades, cumpriu pena, e hoje trabalha para o FBI justamente perseguindo e investigando criminosos atuando na mesma área do Mal em que ele batalhava.

Deve-se considerar também que, se alguns hackers se entregavam às práticas do Lado Escuro da Força visando a obter fama e prestígio, então essa mesma energia exibicionista pode ser redirecionada para o Bem, permitindo que hackers regenerados se vangloriem de ter contribuído para neutralizar os que ainda não se regeneraram.



O Oriente tem sido celeiro para grandes valores na cena hacker,
produzindo uma nova geração de técnicos altamente capacitados
nas artes da penetração, exploração e comprometimento de
sistemas e bancos de dados. Ataques contra sistemas governamentais
do Ocidente já se tornaram antológicos. E os culpados nunca
foram identificados, que dirá presos.

Se pararmos para pensar, a lentidão corporativa das grandes empresas é um dos maiores empecilhos a respostas rápidas a ataques hackers nas companhias de maior estatura. A agilidade e o expediente das mentes dos ex-hackers, porém, costumam introduzir linhas de ação criativas e inesperadas, que em geral levam a tempos de resposta mais curtos.

Ninguém duvida que a grande maioria dos incidentes de crimes digitais permanece desconhecida das autoridades e do público por medo das vítimas ante as consequências da possível divulgação do detalhes e da mancha na reputação corporativa das empresas afetadas. No entanto, dentre os casos reportados, os poucos ex-hackers que se tornaram agentes do Bem são alguns dos poucos especialistas que apresentaram resultados mensuráveis e positivos.

Há também a questão das muitas organizações que teimam em aplicar diagnósticos de saúde mental que estigmatizam potenciais novos funcionários na área de sistemas. Classificações como esquizofrênico ou portador de comportamento criminoso acabam causando nos elementos altas taxas de recaída no crime, especialmente se esses diagnósticos são declarados sem provas suficientes.

É preciso lembrar que motivações mudam. O que antes motivava um ex-hacker pode não mais encher seus olhos hoje. Além disso, o espírito audacioso e insistente de um ex-hacker talentoso pode ser bastante útil na missão de tentar prever a cadeia de pensamento de um hacker ainda maligno em ação.

Contudo, os que são contra o reaproveitamento desses ex-hackers contra-atacam com dois fortes argumentos. O primeiro deles é o de que, se o hacker tivesse sido realmente capaz, então jamais teria sido pego pelo braço da Lei.



Existe uma categoria de ex-hacker que, essa sim, não tem mais
jeito. É o tipo maluco. Se o camarada é doidão, então dificilmente
dará para alguma que preste. Esse, se capturado, é melhor deixá-lo
atrás das grades por um bom tempo. Quando solto, deverá
ser monitorado ininterruptamente pois, se bobear, ele terá uma
recaída. E, como quase todo mundo não para de aprender,
ficará cada vez mais difícil capturá-lo na próxima vez.
Olho nesse camarada!

Já o segundo argumento, esse sim, é ainda mais duro de lascar: O que pensarão os jovens e adolescentes que nesse exato momento estão se iniciando nas atividades de hackers do Mal ao perceberem que sua carreira poderá no futuro ser uma realidade de fama e fortuna? Se eles hoje já encaram o hackerismo como algo atraente pelo simples fato de fazer parte de uma contracultura, imagine o que aconteceria na cabecinha (ainda) fraca deles (como é fraca a cuca-experiência de qualquer adolescente) quando ele ouvir um coroa ex-hacker garganteando que já andou pelo Lado Negro da Força mas que hoje trabalha contratado pelo “sistema”.

Certamente, os mais jovens se motivariam ainda mais a se aprofundar nas artes do Mal. E isso seria um problemão, pode acreditar.

Kabay arremata suas ideias com inquestionável coerência, quando imagina qual seria a ruidosa reação dos militares em um país democrático que contratasse assassinos como soldados. Onde estariam a honra, o respeito à hierarquia, a palavra, a moral e a verdade? Como aceitar que esses valores sejam respeitados por pessoas que antes só sabiam mentir, roubar, enganar e praticar crimes? Pessoas assim não estão aptas a servir seu país em forças militares. Afinal de contas, os fins não justificam os meios. Ficar endeusando criminosos seria mais um golpe duro contra a decência e a moralidade.

Segundo Kabay, não precisamos de criminosos hackers. A segurança de sistemas pode ser conduzida por pessoas talentosas e honestas de berço. Crianças que gostam de computação precisam ser encorajadas a se aprofundar nessa arte-ciência. Os mais e os menos capacitados precisam poder dispor de um sistema educacional que os permita alçar voos em céus brilhantes.



É meio cruel estigmatizar para sempre alguém que escorregou
e caiu. Se a criatura é de má índole, então não tem jeito. Mas às
vezes o sujeito só precisa de uma chance para mudar de vida e
se dedicar a realizações benéficas, tanto para si mesmo quanto
para os que o cercam.

Particularmente acho o Kabay radical demais. Se o processo de seleção do ex-hacker for cuidadoso, profissional e levando cuidadosamente em conta a análise psicológica do candidato, então vale a pena dar uma chance ao novo funcionário na área de sistemas.

No início dos anos 80 eu adorava hackear o mainframe da universidade onde estudava. Até que um dia, depois de escapar várias vezes dos administradores do sistema, fui pego e enquadrado. Bastou a notícia circular e, em menos de um mês, recebi minha primeira oferta de trabalho como programador. Ou seja, o início da minha carreira foi impulsionado pela minha fama de fuxiqueiro de máquina. Mas quem já hackeou sabe — é tão fascinante que não dá para largar por completo. Só que, com o tempo, a gente direciona essa aptidão para objetivos construtivos. No fundo, é apenas uma questão de caráter.

Qual a sua opinião? Um ex-hacker criminoso deve ou não receber uma nova chance depois de ter sofrido a punição imposta pela sociedade? Pau que nasce torto morre torto? Ou um dia se endireita?

Questãozinha dura, essa!
Penso que, como no direito criminal, cada caso é um caso. Não dá pra generalizar. Mas, em princípio, creio que, apesar de todos terem o direito de se regenerar e de ter nova oportunidade no lado claro da força, não se deve alimentar a tentação em pessoas que já se deixaram seduzir pelo mal. Hackers do bem, assim entendendo aqueles que fuxicaram mas não trouxeram prejuízo a ninguém deveriam ser aproveitados para desenvolver sua arte nesse mesmo caminho: do bem. Mas quem já mostrou que não tem caráter deve ser banido desses programas. Como você disse, é uma questão de caráter. Um amigo meu contou-me uma história que ouviu de um carcereiro que é bastante reveladora. Um sujeito estava saindo da prisão após cumprir um bom número de anos. Então o carcereiro lhe disse: Agora vê se toma juízo e cuida da tua vida! E ele respondeu: Meu irmão, eu não nasci pra comer pão com ovo. Ou seja, há paus tortos que nunca se endireitarão, que reincidirão sempre nos seus crimes. Então, pelo sim e pelo não, melhor não dar a eles a chance de serem mais letais.

Parabéns CAT pela excelente coluna.

É uma situação complicada a julgar pela sociedade em que vivemos. Acerte 10 vezes e não erre nenhuma, este é o modelo.

QUando citado no texto, o exemplo dos militares, realmente podemos até pensar no quanto isso pode ser controverso.

Mas a julgar pelo caso do Mitnick (tenho o livro A Arte de Enganar dele), é possível que esse estereótipo e paradígma da sociedade, caia abaixo.

Eu acho que não, basta saber onde bater para ele se endireitar No seu caso foi fácil, bastou um pedaço de papel. Já outros podem precisar de um trabalho mais cuidadoso, nada que anos embaixo do sol quente fazendo trabalho forçado não resolva. Minha opinião.

Conhecimento se adquire, ética não.

Ter um ex-hacker como testador ou no máximo consultor distante pode até ser, mas nunca colocaria um com qualquer tipo de posição privilegiada.

Iria não apenas desestimular profissionais da própria empresa que gostariam da chance como serviria de mal exemplo para os demais.

Eu não contrataria um ex-terrorista palestino pra ser chefe do meu esquadrão anti-bombas.

Do mesmo jeito que não chamaria uma quadrilha de bandidos para fazer reféns só pra testar minha nova equipe anti-sequestro.

Conhecimento é uma das poucas coisas que qualquer pessoa pode ter, basta ter oportunidade, ética, caráter, e até mesmo cultura é de berço, é da pessoa.

Claro que uma coisa são invasões de adolecentes e brincadeiras, outra coisa é cyber crime.

Será que "ser do mal" não é como um alcóolatra?
Ele pode evitar enquanto não der o primeiro gole.
Mas restiria após o gole?

Reflito muito nesse assunto quando assisto na TV a ostensiva campanha do CNJ incentivando empresas a contratarem ex-presidiários:
http://www.cnj.jus.br/index.php?option= ... Itemid=740

O exemplos do colega Hugo Queiroz podem parecer hostis, mas me identifico com o ponto de vista dele.

Grande CAT, enquadrado pela equipe do RDC ? Deu mole ?

Fico feliz de saber que compartilho com um respeitado colunista a mesma graduação do curso de informática mais antigo do Brasil (o P15, da PUC-Rio - a minha foi a última turma deste curso).

Concordo 100% com as suas últimas palavras: Eu e alguns amigos começamos aos 12 anos, programando em Basic, para hackear alguns joguinhos de PC, só pelo prazer de colocar o próprio nome no lugar dos personagens, ou alterar o raio de explosão das bananas de dinamite no Gorilla.bas.


Captura do jogo Gorillas, que vinha no QBasic do DOS 5.0

Essa mesma turma (eu incluso) hackeava servidores Novell do colégio, nos tempos de rede feitas com cabos coaxiais e DOS 4.0/5.0 para conseguir espaço em disco (2 megas era muito pouco) na rede.

Nesta época nossas senhas tinham 32 caracteres, para evitar que alguém olhasse e descobrisse.

Hoje um deles programa kernel do Windows na Microsoft (o orgulho da turma), outro fez projetos open-source para programação em Lua disponível no sourceforge.net, outro trabalha com TV Digital Interativa, um com sistemas embarcados e programação de simcards e smartcards. Todos são profissionais respeitados em suas áreas, que cresceram e foram direcionados para bons objetivos.

Tudo depende do caráter e da avaliação psicológica, como você disse. Nenhum jamais fez mal a outra pessoa, mesmo quando hackeava contas de BBS para trocar mensagens com outros usuários.

Acho que nossa sociedade é muito puritana e, em grande parte, hipócrita. Costuma-se olhar para o "hacker" como aquele "excluído/isolado", socialmente "incompatível", que não recebeu educação de seus pais, provavelmente um largado. Traça-se todo um perfil social em virtude de uma (ou algumas) ações cometidas por este, sem nem saber de todo o resto das ações que ele já tenha tido em sua vida.

Como disse um colega acima, "Acerte 10 vezes e não erre nenhuma, este é o modelo".

Agora coloco a pergunta.

Quantas pessoas formadas, com família constituída, bem empregadas, em cargos de alta responsabilidade e reconhecidas socialmente não cometem crimes absurdos? Quanto "alto executivos" não causam a miséria para muitos, visando o lucro de suas empresas (e consequentemente seu próprio lucro)?

Acho que cada caso é um caso e que, como bem colocado pelo C@T, deve-se fazer uma análise das situações. Generalizações são muito complicadas e devem, ao máximo, serem evitadas.

Façamos uma estatística de quantos dos que criminalizam os "hackers" não usam um programa pirata em seus computadores. Quantos não deixaram de pagar algum imposto. Quanto não compraram um produto "genérico" ou sem nota fiscal.

Não estou dizendo que um erro justifica o outro, mas acho que a esteriotipação (existe essa palavra? rs) não se justifica.

Tanto para o caso dos Hackers quanto para "ex-presidiário" (é só pensar em todos os possíveis crimes que podem levar à prisão para ver que existem casos e casos).

Um Hacker é preso por roubar centavos das contas de milhões de pessoas, passa 5 anos na cadeia pagando por seus crimes. Me desculpe, mas mesmo assim eu não contrataria para ser chefe de segurança digital do meu Banco.

Mas nada impede de contratar para help desk, consultor, palestrante, suporte, desenvolvedor ou qualquer outro cargo. Ele até pode conseguir uma posição de destaque, apenas não colocaria na parte de segurança. O conhecimento adquirido para realizar uma ação prejudicial não é necessariamente o mesmo usado para prevenção.

Do mesmo jeito que não contrataria um assassino para ser um guarda-costa, só por que ele sabe matar não quer dizer que ele saiba proteger. Não estou dizendo que não contrataria um Hacker, ou qualquer outro ex-presidiário, apenas não contraria para ocupar um cargo relacionado com o crime que ele cometeu.

Ou você contrataria um ex-assaltante pra ser segurança de uma agência bancária ou casa lotérica?

Você não coloca o gato pra tomar conta do rato. A oportunidade faz o ladrão. Chame de preconceito ou prevenção, mas pra mim é simples assim.

Na minha opinião é a velha estória de por a raposa cuidando do galinheiro. A tentação sempre será grande...