A televisão e o cinema ajudam a moldar a forma fantasiosa como vemos os hackers: homens de capuz, num quarto escuro, a escrever muito rápido no teclado e a quebrar as barreiras do mundo digital.
Para tirar essa imagem das nossas cabeças, é importante começar por esclarecer o que é um hacker: um indivíduo com conhecimentos aprofundados sobre tecnologia que manipula e circunda sistemas de computador com um objetivo em mente. Apesar de ter uma conotação negativa, existem muitos hackers que usam os seus conhecimentos para o bem.
Os termos Black, White e Gray Hats advêm dos filmes western, onde a cor do chapéu do cowboy denunciava as suas intenções. Afinal, o que representam as cores?
Black Hats – os vilões da cybersecurity
Esta é talvez a definição clássica de hacker: aquele que usa os seus conhecimentos para vandalizar sistemas e roubar informações. Um comportamento motivado pela ânsia do poder ou vingança, mas também pelos avultados pagamentos. São conhecidos por crimes como roubo de identidade, vandalismo de sistemas, criação de programas destrutivos e ataques DDOS que danificam redes de computador. Assim, os Black Hats estão dispostos a quebrar a lei para descobrir, criar e fazer uso de falhas de segurança com objetivos maliciosos.
White Hats – hackers éticos e/ou ativistas
O que os diferencia são as suas intenções, visto que usam as suas competências para identificar vulnerabilidades no hardware, software e redes, respeitando as regras e leis. São muitas vezes contratados como apoio às grandes empresas, comunicando as falhas e ajudando na implementação das soluções. Ou seja, também eles são motivados por uma elevada compensação monetária. Usam técnicas como o teste de penetração – recolher informação sobre o target do teste, identificar os possíveis pontos de entrada, tentar entrar por esses pontos e reportar os resultados –, ou social engineering – que tira partido do comportamento humano para tentar levar as pessoas a quebrar procedimentos de segurança ou a fornecer informação sensível.
Gray Hats – os indecisos
Os Gray Hats estão ainda em conflito sobre em que lado preferem ficar, mas por norma nunca chegam ao patamar de Black Hat. Generalizando, são pessoas com competências técnicas intermédias, e que são mais flexíveis no cumprimento das regras. Por exemplo, podem estar mais dispostos a aceder a um sistema sem permissão dos donos (em comparação com um White Hat), mas não tentariam causar danos (como os Black Hats). Além disso, não é tão motivado pelos ganhos financeiros, e as suas ações dependem da forma como perceciona os valores da organização ou entidade que está a hackear.
Após uma visão mais esclarecida sobre o que as cores representam, resta a dúvida sobre as questões legais relacionadas com os hackers. Nesse campo, não sobram dúvidas em relação aos Black Hats, já que não têm permissão para aceder aos sistemas.
Porém, como tanto os Black como os White Hats usam os mesmos métodos e técnicas isso pode causar complicações legais. Por exemplo, para testar os sistemas, um White Hat tenta ganhar acesso ao sistema da empresa diretamente e também através dos parceiros de negócio, o que pode levantar questões caso não tenham autorização dos parceiros.
E caso um White Hat tenha acesso a informação sensível, o seu dever é reportar à empresa responsável pela mesma. Contudo, isso não invalida o facto de que o hacker viu esta informação, e também não garante que a fonte da informação tenha conhecimento que esta foi comprometida.
Nesse sentido, a legalidade dos White Hats ainda está a ser discutida entre especialistas de segurança, porém, a criação de regras deve ser rápida para acompanhar o aumento do número destes profissionais.