Guia Para Iniciantes Em Hacking De Computadores. Alan T. Norman
nos tópicos apropriados. Nenhuma destas definições é, de forma alguma, "oficial", mas representa um entendimento de seu uso comum.
Este capítulo também tenta esclarecer o que é hackear como atividade, o que não é e quem são hackers. Representações e discussões sobre hackers na cultura popular podem tender a pintar uma imagem excessivamente simplista dos hackers e da atividade de hacking como um todo. De fato, um entendimento preciso é perdido na tradução de chavões e conceitos populares .
Hackers e Hacking
A palavra hacking , normalmente, evoca imagens de um ciber-criminoso solitário, curvado sobre um computador e transferindo dinheiro à vontade de um banco desavisado, ou baixando, com facilidade, documentos confidenciais de um banco de dados do governo. No inglês moderno, o termo hacking pode assumir vários significados diferentes, dependendo do contexto. Como uma questão de uso geral, a palavra normalmente se refere ao ato de explorar vulnerabilidades de segurança de computadores para obter acesso não autorizado a um sistema. No entanto, com o surgimento da ciber-segurança como uma grande indústria, o hacking por computador não é mais uma atividade exclusivamente criminosa e, geralmente, é realizado por profissionais certificados que foram especificamente solicitados a avaliar as vulnerabilidades de um sistema de computador (consulte a próxima seção sobre "white hat", "black hat" e "gray hat" hacking) testando vários métodos de penetração. Além disso, o hacking para fins de segurança nacional também se tornou uma atividade sancionada (reconhecida ou não) por muitos estados-nação. Portanto, um entendimento mais amplo do termo deve reconhecer que o hacking, geralmente, é autorizado, mesmo que o invasor em questão esteja subvertendo o processo normal de acesso ao sistema.
Um uso ainda mais amplo da palavra hacking envolve a modificação, o uso não convencional ou o acesso subversivo a qualquer objeto, processo ou parte da tecnologia – não apenas computadores ou redes. Por exemplo, nos primeiros dias da subcultura de hackers, era uma atividade popular "hackear" telefones públicos ou máquinas de venda automática, para ter acesso a eles sem o uso de dinheiro – e compartilhar as instruções de como fazê-lo com a comunidade de hackers em geral. O simples ato de colocar objetos domésticos normalmente descartados para usos novos e inovadores (usar latas de refrigerante vazias como porta-lápis etc.) é frequentemente chamado de hacking. Mesmo certos processos e atalhos úteis para a vida cotidiana, como usar listas de tarefas ou encontrar maneiras criativas de economizar dinheiro em produtos e serviços, são frequentemente chamados de hackings (geralmente chamados de "hackings de vida"). Também é comum encontrar o termo "hacker" em referência a qualquer pessoa que seja especialmente talentosa ou experiente no uso de computadores.
Este livro se concentrará no conceito de hacking que se preocupa, especificamente, com a atividade de obter acesso a software, sistemas de computadores ou redes por meios não intencionais. Isso inclui desde as formas mais simples de engenharia social usadas para determinar senhas até o uso de hardware e software sofisticados para penetração avançada. O termo hacker será usado para se referir a qualquer indivíduo, autorizado ou não, que esteja tentando acessar clandestinamente um sistema ou rede de computadores, sem levar em consideração suas intenções éticas. O termo cracker também é comumente usado no lugar de hacker – especificamente em referência àqueles que estão tentando quebrar senhas, ignorar restrições de software ou burlar a segurança do computador.
Os "Chapéus (Hats)" do Hacking
As cenas clássicas do velho oeste americano de Hollywood mostravam, geralmente, pistoleiros adversários de uma forma quase cartunesca – geralmente, um xerife ou federal contra um bandido covarde ou um bando de malfeitores. Era comum distinguir os "mocinhos" dos "bandidos" pela cor de seus chapéus de cowboy. O protagonista corajoso e puro usava, geralmente, um chapéu branco, enquanto o vilão usava um chapéu de cor escura ou preta. Estas imagens foram transferidas para outros aspectos da cultura ao longo dos anos e, eventualmente, chegaram ao jargão da segurança de computadores.
Chapéu Preto (Black Hat)
Um hacker (ou cracker) do tipo chapéu preto/black hat é aquele que tenta, sem ambiguidade, subverter a segurança de um sistema de computador (ou código de software de código fechado) ou rede de informações conscientemente, contra a vontade de seu dono. O objetivo do hacker black hat é obter acesso não autorizado ao sistema, para obter ou destruir informações, causar uma interrupção na operação, negar acesso a usuários legítimos ou assumir o controle do sistema para seus próprios fins. Alguns hackers tomarão ou ameaçarão controlar o sistema – ou impedir o acesso de outros – e chantagearão o proprietário a pagar um resgate antes de renunciar ao controle. Um hacker é considerado um chapéu preto, mesmo que tenha o que eles mesmos descreveriam como intenções nobres. Em outras palavras, mesmo os hackers que estão hackeando para fins sociais ou políticos são chapéus pretos, porque pretendem explorar as vulnerabilidades que descobrem. Da mesma forma, entidades de estados-nação adversários que estão hackeando para fins de guerra podem ser consideradas black hats, independentemente de suas justificativas ou do status internacional de sua nação.
Chapéu Branco (White Hat)
Como existem muitas maneiras criativas e imprevistas de acessar computadores e redes, geralmente, a única maneira de descobrir fraquezas exploráveis é tentar invadir o próprio sistema antes que alguém com intenções maliciosas o faça primeiro, causando danos irreparáveis. Um hacker white hat foi especificamente autorizado, pelo proprietário ou responsável por um sistema de destino, a descobrir e testar suas vulnerabilidades. Isto é conhecido como teste de penetração . O hacker de chapéu branco usa as mesmas ferramentas e procedimentos que um hacker de chapéu preto e, geralmente, possui conhecimentos e habilidades iguais. De fato, não é incomum que um ex-chapéu preto encontre emprego legítimo como um chapéu branco, porque os black hats, geralmente, têm uma grande experiência prática com penetração do sistema. Sabe-se que agências e corporações governamentais empregam criminosos de computador, anteriormente processados, para testar sistemas vitais.
Chapéu Cinza (Gray Hat)
Como o nome indica, o termo gray hat (geralmente escrito como "grey") é um pouco menos concreto na sua caracterização na ética hacker. Um hacker de chapéu cinza não tem, necessariamente, a permissão de um proprietário ou responsável pelo sistema e, portanto, pode ser considerado um comportamento anti-ético a sua tentativa de detectar vulnerabilidades de segurança. No entanto, um chapéu cinza não está executando estas ações com a intenção de explorar as vulnerabilidades ou ajudar outras pessoas a fazê-lo. Em vez disso, eles estão, essencialmente, conduzindo testes de penetração não autorizados, com o objetivo de alertar o proprietário sobre possíveis falhas. Freqüentemente, chapéus cinzas vão hackear com o propósito expresso de fortalecer um sistema que eles usam ou desfrutam, para impedir qualquer subversão futura por parte de atores com intenções mais maliciosas.
Consequências do Hacking
As consequências do acesso não autorizado a computadores variam dos menores custos e inconvenientes da segurança das informações cotidianas, a situações severamente perigosas e até mortais. Embora possa haver sérias penalidades criminais contra hackers, quando capturados e processados, a sociedade em geral arca com o peso dos custos financeiros e humanos dos hackings maliciosos. Devido à natureza interconectada do mundo moderno, um único indivíduo inteligente, sentado em um café com um laptop, pode causar enormes danos à vida e à propriedade. É importante entender as ramificações do hacking, de forma a saber onde concentrar os esforços para a prevenção de certos crimes relacionados ao computador.
Criminalidade
É claro que há consequências legais para hackers flagrados invadindo um sistema ou rede de computadores. Leis e penalidades específicas variam entre nações e entre estados e municípios. A aplicação das leis também varia entre as nações. Alguns governos simplesmente não priorizam a ação penal, especialmente quando as vítimas estão fora de seu próprio país. Isto permite que muitos hackers operem impunemente em certas partes do mundo.