A falácia do herói da internet: vamos falar sobre invadir sem autorização?
É só um invasor com uma bela história para contar.
Imagina chegar em casa e encontrar um estranho sentado no seu sofá. Ele te diz, sorrindo:
“Boa noite! Me chamo Cleber. Trabalho como chaveiro e, ao passar na frente da sua casa, observei de longe que a sua fechadura parecia fraca. Tomei a liberdade de me aproximar para testar e, de fato, tive êxito em arrombar a fechadura! Entrei na sua casa, mas foi querendo ajudar! Por acaso você tem algum e-mail onde eu possa reportar essa falha e obter alguma recompensa?”
A sua reação imediata não seria gratidão. Seria raiva, medo, violação. Você o expulsaria. Chamaria a polícia. É o instinto mais básico: defender seu espaço.
Agora, por que no mundo digital essa simples lógica se perde?
É porque criamos uma fantasia; uma mentira confortável que nos permite vestir o ego com as roupas do altruísmo. Fingimos que invadir um sistema alheio “para ajudar” é um ato nobre, quando na verdade é a busca por um “obrigado” que valide nossa habilidade. Por um “crédito” na comunidade. Por uma história para contar.
Eu sei como é. Já pensei assim. Acreditava que cada falha reportada, mesmo que descoberta ao violar um limite, era um tijolo a mais na construção de uma internet mais segura. Até me fazer uma pergunta desconfortável:
“E se eu nunca pudesse contar esse feito para ninguém?”.
Sem email de agradecimento. Sem post censurado no Twitter. Sem comentário sutil no fórum. Nada. Apenas o ato solitário de “ajudar”, sem qualquer rastro de reconhecimento. Ainda assim eu faria? Para a maioria esmagadora, a resposta honesta é não.
Essa necessidade de palco é o motor. É o mesmo impulso que leva alguém a doar e postar no Instagram. Se ninguém visse, a doação aconteceria? Para muitos, não. A recompensa não está apenas no ato, mas na exibição dele.
Além da questão já comentada, de invadir por pura questão de ego, eu já vi, ao longo da minha presença online em comunidades de cibersegurança, diversas outras justificativas que as pessoas usam para invadir o site alheio:
“Ah, mas eu preciso treinar em um ambiente real! Não tenho como aprender de outra forma!”
Esta foi uma verdade… há dez anos. Hoje é a desculpa mais cansada da segurança da informação.
Para os que estão iniciando e não querem cair nessa desculpa, indico:
- Fazer os laboratórios gratuitos da PortSwigger
- Ler o livro The Web Application Hacker’s Handbook
- Criar uma conta no Hack The Box e no TryHackMe, para fazer esses laboratórios na nuvem ou em máquinas virtuais (Como o vulnhub)
- Treinar suas habilidades em apps vulneráveis feitos para isso, como o DVWA, que é uma aplicação disponível em um repositório no Github.
Já para aqueles que possuem um pouco mais de experiência na área, indico aprimorar suas habilidades com bug bounty, uma vez que você terá o desafio de encontrar falhas de segurança nas mais diversas tecnologias e integrações e principalmente: estará competindo com outros profissionais de cibersegurança que estão procurando por vulnerabilidades na mesma aplicação que você. Isso gera uma competição saudável que fará você estudar as nuances da cibersegurança.
O bug bounty obrigará você a se diferenciar e a criar uma metodologia única na descoberta e exploração de vulnerabilidades. Além do mais, você será recompensado monetariamente por tudo isso e o principal: você estará agindo eticamente e encontrando vulnerabilidades em empresas que autorizaram seus testes e que possuem procedimentos claros sobre como vão atuar na correção dos apontamentos das vulnerabilidades que você irá enviar em seu relatório.
O que eu quero passar aqui para você é que o ecossistema para aprender de forma ética e autorizada pode ser vasto, acessível e poderoso se você entender em que nível você está e, com base nisso, também souber onde pesquisar (e até a quem perguntar!) Quem diz o contrário está escolhendo o oposto de tudo isso e buscando seguir o caminho mais fácil: o de invadir o sistema alheio sem autorização.
Eu espero que você tome a decisão correta e não viva escondido atrás de mais essa desculpa, pois no momento em que você viola um sistema sem permissão a sua intenção de ajudar deixa de importar. Você não é um colaborador externo preocupado com a cibersegurança da empresa. Nesse contexto, normalmente você será visto como o responsável por um incidente de segurança; será apenas um ticket no sistema de alguém e uma dor de cabeça para um profissional já sobrecarregado.
A ética na segurança não é um sentimento. É um protocolo. E o protocolo número zero é: AUTORIZAÇÃO. Sem um “sim” claro, tudo o que vem depois é violação.
Agora, vamos retornar ao Cleber, o chaveiro da nossa analogia: Ele não é um vilão caricato. Ele acredita piamente que está fazendo um bem. Ele vê a fechadura simples, acha que “qualquer um poderia abrir”, e decide testar. Entra, senta no sofá e fica satisfeito consigo mesmo.
A reação natural tende a ser a expulsão. Porque o ato primordial – invadir sua casa – anula qualquer boa intenção que ele possa ter tido.
No digital, o “herói” dos fóruns é o Cleber. Ele invade, explora, às vezes até extrai dados “como prova”. Depois, manda um e-mail elegante e fica esperando o agradecimento. Quando não vem, vai ao fórum reclamar:
“A empresa não tem maturidade! Fiz um responsible disclosure e me ignoraram!”
Isso não é ‘disclosure’. É uma cobrança de gratidão por uma agressão.
O que ele chama de “maturação da empresa” é, na prática, a expectativa de que a vítima ignore o susto, a violação, o trabalho extra gerado e se ajoelhe em gratidão. É um nível absurdo de presunção.
Pense no analista de SOC, no engenheiro de segurança e no advogado. A sua “ajuda”, na visão deles, soa como um alerta vermelho. Gera reuniões de emergência, análises forenses, pressão jurídica, noites mal dormidas. Você não está aliviando o estresse deles. Você É o estresse deles.
Segurança se constrói com confiança e processos, não com sustos e ultimatums.
A emoção de encontrar uma brecha, o rush de explorar um sistema, a satisfação de resolver um quebra-cabeça complexo – tudo isso é real e viciante. Mas essa adrenalina não justifica a violação.
Ela tem um endereço certo: a competição legítima e poderia ser obtida através de horas afinco resolvendo aquele desafio complexo de um CTF qualquer, ou alguma máquina difícil no Hack The Box, ou até tentando encontrar vulnerabilidades em programas de Bug Bounty de alta maturidade. A emoção é a mesma, mas a vitória é limpa e merecida.
Se invasão não é o caminho, qual é? Como usuários preocupados, como pressionar por mais segurança?
- Para o Achado Acidental: Se, usando o serviço normalmente, você encontrar uma falha (um token no JS, um painel exposto), reporte pelo canal oficial. Se não houver resposta, a frustrante verdade é que você para por aí. A responsabilidade final é da empresa. A pressão por maturidade vem de leis (LGPD/GDPR), do mercado e de ataques reais – não de vigilantes.
- Para a Vontade de Contribuir: Participe de Bug Bounty. É o caminho profissional, pago, autorizado e respeitoso. Você é bem-vindo e recompensado.
- Para o Desejo de um Legado: Ensine. Crie write-ups, desenvolva ferramentas open-source, mentorize iniciantes. Eleve a comunidade. Esse reconhecimento é mais profundo e duradouro que qualquer “obrigado” forçado.
Com isso, a próxima vez que você ver alguma pessoa usando qualquer uma das desculpas descritas aqui, mande o link para este artigo. Às vezes tudo o que precisamos para nos alinharmos com nossos objetivos e ideais é somente nos depararmos com a pergunta certa:
“E se eu nunca pudesse contar esse feito para ninguém?”.
A adrenalina, a aprovação, o ego, o senso de pertencimento, todas essas são emoções intensas que, se mal utilizadas, podem moldar seu caráter para algo muito imoral.
É clichê, mas aquele ditado do Tio Ben cabe bem aqui: “com grandes poderes vem grandes responsabilidades”. Seja responsável cara, você muitas vezes vai encarar dados da vida de outras pessoas. Talvez até dados de pessoas da sua família.
Ah, e nunca compre esse papo de “sou gray hat”. A galera quer ser descolada falando que tem um pé na blackhatagem, mas, como vimos, não existe ser “meio ético”! Assim como não existe ser meio bandido. Fim da história.
Hack the Planet, mas só se você tiver permissão.
By Zeroc00i