http://www.ibm.com/developerworks/blogs/page/ctaurion?entry=um_papo_cabe%C3%A7a_com_um author Software, Open Source, SOA, Innovation, Open Standards, Trends

Pensando Software. Um blog para debater ideias, inovacoes e tendencias da industria de software.



Tuesday October 16, 2007

Um papo cabeça com um hacker

Outro dia estava conversando com um colega, Rodrigo Branco, sobre o assunto hacking...Aliás, Rodrigo está de partida para trabalhar nos Emirados Árabes...Com certeza será uma experiência profissional e tanto...

Bem, da conversa surgiu a idéia de simular uma entrevista. Afinal, as vezes o blogueiro representa o papel de um jornalista amador. E desta “entrevista” saiu um material muito legal, que gostaria de compartilhar com vocês.

Rodrigo, primeiramente, gostaria de saber um pouco sobre voce, o que faz e como chegou aqui...

R: Meu nome é Rodrigo Rubira Branco, mais conhecido como BSDaemon e trabalho no LTC (Linux Technology Center) da IBM, um laboratório voltado exclusivamente ao desenvolvimento do Linux em um time chamado ALRT (Advanced Linux Response Team). Posso dizer que minha carreira toda foi voltada ao mundo de comunidades que prezam a liberdade e o fluxo de informações abertas, ou seja, a comunidade open-source (sou usuário de Linux desde os 10 anos de idade) e a comunidade do hacking (trabalho diretamente com seguranca desde os 14).

A principal caracteristica destas comunidades está na troca de informações. O grande diferencial é que hoje quando voce trabalha varios anos em uma empresa e decide que é hora de buscar novas oportunidades, ao ir ao mercado como prova seu potencial? Seu conhecimento? Tudo que voce desenvolveu é de propriedade da empresa, pouco se pode saber realmente sobre a qualidade do seu trabalho… com software de codigo livre isto é diferente, tudo que fez esta lá, disponivel… isto me permitiu ganhar uma oportunidade em meio a pessoas extremamente brilhantes do LTC, em geral formadas em universidades mais reconhecidas que eu.

E o que voce ja desenvolveu neste periodo?

R: Participei ativamente do desenvolvimento de diversos projetos open-source e pesquisas sobre seguranca, podendo destacar o software StMichael, que é um modelo para proteção da integridade de sistemas operacionais, originalmente desenvolvido pelo Timothy Lawless e hoje mantido e extendido por mim (fiz apresentações sobre o software em conferencias em Dubai, Vietnam, China e Malasia), o software SCMorphism (criado por mim) que enfoca testes de detectores de intrusao, mudando automaticamente os codigos de ataques para evitarem que sejam detectados por tais sensores e diversas falhas de seguranca, reportadas em conjunto com um grupo de amigos da Rise Security (www.risesecurity.org).

Qual o papel do hacker na sociedade, em sua opiniao?

R: Primeiramente cabe salientar que o termo hacker vem sendo constantemente mal utilizado. Ser ou não ser um hacker está ligado ao comportamento investigativo e aos conhecimentos tecnicos desenvolvidos devidos a este comportamento por uma pessoa e não a prática ou não de crimes via computador ou sequer relacionado a segurança da informação. Temos diversos hackers que não trabalham e nem sequer se interessam por segurança da informação, a citar Linus Torvalds (Criador do Linux) e Richard Stallman (criador do projeto GNU).

Quando vejo a midia chamando um criminoso de hacker fico revoltado, principalmente por pensar que o sistema utilizado para transmitir aquela informação (seja via satelite, televisão comum ou internet) provavelmente foi desenvolvido por um hacker.

Os hackers desenvolveram e ainda desenvolvem a maioria das tecnologias que conhecemos, dos grandes mainframes da IBM, ao sistema operacional Linux (que por sinal roda nestes mainframes), até os pequenos telefones celulares e os softwares de

desktop, sem dizer o sistema operacional Microsoft Windows…

Infelizmente cada vez mais relacionamos hackers a segurança da informação, erro que eu mesmo cometia tambem no passado, mas por favor, nunca relacionemos a criminosos.

E o que é o hacker ético que todos falam?

R: Em geral quando uma empresa vende um serviço de teste de intrusão para um cliente, ela chama tal servico de hacker ético. Basicamente seria um profissional com conhecimentos avançados em segurança da informação (por isso da-se o nome de hacker etico, embora a maioria das empresas nao tenham verdadeiros hackers) e que possui as qualificacoes eticas e metodologicas necessarias para desempenhar este tipo de servico.

Por que disse que a maioria das empresas não tem verdadeiros hackers?

R: O comportamento de um hacker é muito atipico, principalmente pela agitação e ansiedade voltadas a busca de conhecimentos (talvez isto tenha feito com que fossem associados a crimes, dado que muitos faziam de tudo pela informacao). Isto torna dificil de te-los e controla-los... tambem temos que cada vez mais os computadores são ferramentas de facil uso, criando uma ponte entre os tecnicos extremamente especializados e os usuarios comuns cada vez maior, diminuindo o numero de pessoas que conhecem baixo nivel em computação (hardware, sistemas operacionais, compiladores, etc).

Isto quer dizer que os hackers estão sumindo? Em extinção?

R: Eu diria que estao mudando, talvez evoluindo, talvez involuindo... quem sabe?

Em que sentido?

R: Hoje vemos diversos ´especialistas´ em segurança, mas a pergunta basica que eu faria é, que falha voce publicou recentemente? Diga uma tecnica que voce desenvolveu. Invadir um sistema usando uma falha conhecida é muito facil, dificil é achar uma falha ainda desconhecida. ESte espirito de busca é o diferencial do verdadeiro hacker.

Temos tambem as necessidades das empresas. Diversas coisas estao erradas, muitos problemas e pouco dinheiro para resolve-los (elas precisam lucrar, claro). Isto faz com que os investimentos sejam encaminhados a prioridades de seguranca, que sao observadas por pessoas que tem maior visão de negocio, gerando um novo perfil dos profissionais de segurança, não tão tecnico, muito mais para procedimentos, auditoria e administração.



Categories : [   hacking  ]

Oct 16 2007, 12:00:00 AM BRT Permalink

Add a Comment
Trackback URL: http://www-128.ibm.com/developerworks/blogs/trackback/ctaurion/Weblog/um_papo_cabe%C3%A7a_com_um

Comments