O texto abaixo foi copiado, na íntegra, do post do Ewerson Guimaraes – profissional de segurança, domador de capivaras e gente boa pacas.

Ele é uma excelente explicação sobre  o que faz um Pentester, profissional de segurança responsável por encontrar vulnerabilidades  em sistemas, redes e empresas.

 

Qual sua profissão?

Bom, vou escrever aqui (não exaustivamente) sobre um erro comum das pessoas em relação a algumas profissões dentro da área de informática, especialmente Segurança da Informação.

Quando você perguntar a alguém com o que ele trabalha e a resposta for:

PENTEST – Não, ele não trabalha em um campo cheio de entulho onde as pessoas de aceram com bolinhas coloridas com tinta dentro, isso é PAINTBALL! Pentest é derivação regressiva de Penetration Test, traduzindo para o português, Teste de Penetração, sim, eu sei, submete a pensamentos sórdidos, mas este é o processo que permite melhorar a segurança contra ataques de pessoas mal intencionadas. Os PENTESTERS realizam analises em sistemas e computadores com intuito de minimizar ou anular grande parte do impacto causado por um ataque real. Digo grande parte, pois nenhum sistema é 100% seguro. Entendido?

Pesquisa/Pesquisador/Researcher – Não, ele não é um genérico de professor Pardal ou qualquer outro cientista maluco, e nem vai criar um exercito de robôs que tentará dominar o mundo em 2045(Eu acho). Este profissional tem como principal objetivo encontrar falhas em sistemas, não confunda com PENTESTER, os PENTESTERS na maioria das vezes usam as falhas encontradas pelos Researchers no processo de analise de algum sistema. Dúvidas?

Segurança da Informação (SI) – Não, ele não trabalha em boates, fazendo ronda em moto e nem em portaria de prédios e empresas, tão pouco é um profissional de segurança do trabalho, apesar de que, seria bom as vezes utilizar um abafador de som que é um EPI ( Equipamento de Proteção Individual ) para não escutar algumas abobrinhas.
Está é a área base, ou seja, engloba pentest, pesquisa, computação forense (que consiste, basicamente no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo), treinamentos, conscientização, processos, politicas e outras áreas, ou seja, este profissional normalmente não tem uma arma como instrumento de trabalho, mas também não quer dizer que ele não tenha uma.

Outro ponto muito importante a ser observado:
O HACKING está ligado diretamente a esta área, e ao contrario do que muitos pensam, devido a divulgação errônea da mídia, HACKERS não são criminosos, eles contribuem diretamente para evolução dos sistemas, tornando-os cada dia mais seguros.
Pronto agora você já tem uma ideia do que um profissional de segurança da informação faz.

Caso tenha algum dúvida sobre assunto basta me perguntar. Qualquer outra pergunta sobre Windows pirata, suporte e afins, será cobrada uma taxa de R$250,00 no seu cartão de crédito.
E não, isso não foi uma piada! (:

Eu sei, mais um texto longo, obrigado por ler até o final!

Referências:
http://pt.wikipedia.org/wiki/Computa%C3%A7%C3%A3o_forense
http://en.wikipedia.org/wiki/Penetration_test
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

Compartilhar:

Este post tem 14 comentários

  1. Jairo

    Por isso que eu digo, apesar de ser CEH, só falo que sou hacker mesmo quando meu nome tiver no kernel.org. 😛

  2. Edson Pereira Junior

    E eu que só um estudante de SI, nem me atrevo me chamar de hacker … aushauhsa

  3. Anchises

    É por essas e outras que, quando perguntam qual é a minha profissão, eu digo apenas que “trabalho com informática”.

  4. Breno Silva

    “Pesquisa/Pesquisador/Researcher ….
    Este profissional tem como principal objetivo encontrar falhas em sistemas … ”

    OMG… resumir um pesquisador a essa atividade principal é demais pra mim.

    Assim o Brasil não vai pra frente 🙂

  5. Renato Siqueira

    Ótimo artigo. Indicar sempre que alguém confundir os termos, hehe.

  6. Gustavo Lima

    Breno, deixo de concordar com vc, mas gostaria da sua opinião.

  7. Breno

    Gustavo,

    Alias ficar buscando vulnerabilidade em software é o que menos fazemos.
    Depois de uma olhada nas conferências voltadas a atividades de pesquisa de verdade na área. Não estou falando de BlackHat/Defcon e coisas do tipo.

    De uma olhada em:
    IEEE Security & Privacy
    ACM CCS
    NDSS
    EUROCrypt
    Entre algumas outras.

    Tem gente pensando em novos métodos/estratégias de defesa, novos algoritmos, novas tecnologias…. algo MUITO mas MUITO mais nobre que ficar descobrindo falhas em softwares.

    O problema é que quem aparece é quem faz o melhor marketing e não necessariamente quem realmente sabe.

    Vou te dar um exemplo. Conhece um cara chamado Rafael Dowsley ?

    Provavelmente ninguem do Brasil o conhece. Mas é um pesquisador de fato, que não perde tempo tentando descobrir o proximo SQL injection do Joomla

    Um dos seus trabalhos:
    cseweb.ucsd.edu/~rdowsley/pdf/DGMN12.pdf

    Por isso que volto a dizer, sinceramente o que menos estamos preocupados é em achar a nova vulnerabilidade no WordPress.

    Abs

    Breno

  8. chinaski

    Boa, Breno!

    Aqui no Barzil é assim!

  9. Crash

    Breno,
    Bom, foi por isso que coloquei no inicio do meu post que o assunto não seria exaustivo em suas ramificações.

    Concordo plenamente com algumas das suas ideias, mas eu não escrevi este post para pessoas que estão na área, e sim para situar quem não faz a minima ideia com oque um profissional de segurança e afins trabalha. Não adianta nada eu escrever sobre IEEE Security & Privacy – ACM CCS – NDSS – EUROCrypt sendo que confundem Pentest com Paintball.

    Um outro ponto, acho que não fui bem claro, ou você não entendeu, sobre a pesquisa, eu quis dizer exclusivamente em relação falhas de segurança. Em relação a ser nobre ou não é um ponto de vista seu. Independente se foi um SQL Injection no Joomla/WordPress, stack Overffow em produtos da IBM que afetam milhões de pessoas/clientes ou mesmo que seja como você disse “Tem gente pensando em novos métodos/estratégias de defesa, novos algoritmos, novas tecnologias”, pra mim qualquer pesquisa que venha agregar é NOBRE, portando, acho equivocado que você faça “pouco caso” de pesquisadores como por exemplo os que fazem com que seu sistema operacional seja seguro e te permita trabalhar sem problemas em suas pesquisas mais nobres.

    “O problema é que quem aparece é quem faz o melhor marketing e não necessariamente quem realmente sabe” .

    Isso eu concordo plenamente com você, não temos nem oque discutir, além disso, temos a infinita guerra de egos no Brasil, que não é fato novo pra ninguém.

    (:

  10. Breno

    Crash,

    Pra mim essa atividade de “pesquisa” vinculada a atividade ficar tentando encontrar buffer overflow em produtos da IBM como você mesmo disse é puramente marketing, algo criado por uma industria onde as empresas inventam de tudo e tentam vender de tudo, aparecer a qualquer custo para ter algum tipo de competitividade. No final das contas não agrega praticamente nada.

    Se agregasse alguma coisa teríamos uma situação muito diferente hoje porque há pelo menos há 25 anos se fala de buffer overflow e coisas do tipo. O problema já foi exposto, e ficar solitando CVE pra vulnerabilidades não vai mudar muita coisa… quem mudou alguma coisa foram as pessoas que buscaram abordagens diferentes.

    Falando desse área especifica que você mencionou, teve gente que ao invés de ficar dando murro em ponta de faca, foi lá e pensou em tornar parte dos bits de um virtual address da stack aleatório, entre várias outras técnicas.
    Perceba a diferença de abordagem sobre um mesmo problema.

    E eu acho que é essa a idéia que precisamos passar para as pessoas, não só em nossa área mas em várias outras.

    O Brasil precisa passar a ser gerador, criador de tecnologia e não utilizador.

    Parabens para as pessoas que descobriram há 30 anos atrás como tirar proveito de um buffer overflow e coisas do tipo. O problema foi exposto e pessoas buscaram e ainda buscam soluções mais eficientes. Isso sim agrega, não ficar pedindo CVE pra isso ou para aquilo.

    E o que nós brasileiros descobrimos ? Eu praticamente só vi traduções do “smashing stack for fun and profit”. E isso nos faz utilizadores e não criadores.

    Bom.. essa é uma questão de ponto de vista muito pessoal minha. Não quero convencer ninguém.
    Mas acho que vale expor pontos de vista diferentes.

    Abs

  11. Crash

    Então Breno,

    Posso ter dado vacilo em resumir pesquisadores somente a caçadores de bugs, evidente, sabemos que não é apenas isso como você expôs, mas eu não teria como explicar a situação pra uma publico leigo no assunto. Agora que a conversa mudou de figura, concordo plenamente com você. Falta força de vontade, incentivos e outros N problemas, infelizmente essa é a cultura do Brasil e cada dia eu vejo que está mais complicado tirar essa preguiça da cabeça das pessoas.

    “O Brasil precisa passar a ser gerador, criador de tecnologia e não utilizador.” Exatamente isso! É triste saber que países bem menores que o Brasil tem áreas de pesquisa muito mais evoluídas.

    Mas no final das contas, vamos fazendo nossa parte e tentar reverter esse quadro. (:

  12. Lucas Dias

    Acredito que pra mudar o Brasil, a mudança deve iniciar no brasileiro.

    Gostei do que foi dito pelo Crash e também não tiro o mérito do que foi dito pelo Breno.

    No Brasil, aquele carinha que tá na função de “Auxiliar de Informática”, é o cara que tá fazendo BI pra empresa, aumentando a rentabilidade da mesma, e mesmo assim, ele continua sendo o “Auxiliar de Informática”.

    Complicado… enquanto no Brasil, as atitudes de qualquer parte, tanto mercado como os próprios profissionais forem medíocres, Não conseguiremos produzir nossa tecnologia. Sem falar que o Governo que deveria fomentar isso, fica naquela de inventar a roda. Um exemplo disso, na minha humilde opinião é o GINGA e o Padrão Brasileiro de HDTV. Só funciona no Brasil. Como é que vai exportar???

    Educação precisa melhorar, inovar para tentar ter melhores resultados… enquanto isso, vamos esperar a Copa e as Olimpíadas… Vai dar o que falar =/

  13. José A. Furquim

    Achei o texto longo mas muito bem explicado, gostei. Curto quando pessoas colocam bom humor e transmitem conhecimento de maneira leve. Parabéns brother.

  14. Duarte

    Gostei muito acho que não tinha como explicar melhor, tendo em vista o alvo ao qual se propunha o post, conseguio
    atingir o objetivo,
    parabéns

Deixe uma resposta