Quando a revista Forbes, uma das mais conceituadas da atualidade, lançou uma reportagem sobre as

profissões do futuro (leia aqui) muitos se surpreenderam quando viram “hacker ético” como uma
das principais carreiras citadas. Epidemiologista, químico de alimentos… mas hacker?
Para compreender o quão estranho para alguns pareceu a reportagem, relembremos como a mídia
utilizou durante muito tempo (e ainda utiliza) a palavra “hacker” como uma espécie de sinônimo de
criminoso cibernético. Se um adolescente invade o sistema da escola para mudar suas notas, é
hacker. Se um terrorista invade um sistema governamental e o compromete, também é um hacker.
Alguém que rouba dinheiro de contas de banco na Internet? Hacker. Essa “uniformidade negativa”
do termo fez com que muitos leigos, e até algumas pessoas da própria área de TI, associassem um
hacker como uma espécie de ladrão digital. Na realidade, o termo hacking, quando utilizado de
forma pura, significa basicamente “resolver um problema de forma não-convencional”, de modo
que a terminologia também é aplicada a àreas que não são de TI (como o “car hacking”, ou “life
hacking”).
Apesar de normalmente não ser citado pela mídia geral, existem terminologias mais adequadas para
separar os criminosos dos profissionais. Um “whitehat” é o profissional que utiliza seus
conhecimentos de invasão de sistemas para melhorar a segurança das empresas. Já o “blackhat”(ou
cracker) é visto como o criminoso da história. Existe ainda o “grayhat”, que é aquele que sempre
está na linha tênue entre o profissionalismo e o crime. Mesmo que os whitehats já atuavam
há décadas ajudando instituições a se tornarem mais seguras, essa atividade não foi vista como uma
verdadeira “carreira” até meados dos anos 2000. O panorama mudou quando surgiu a certificação
CEH (Certified Ethical Hacking), que abriu os olhos de parte da indústria de TI para a necessidade
deste profissional. Foi nesse momento que cunhou-se o termo “Hacker Ético” ou “pentester”
(aquele que faz “penetration test”- teste de invasão).
Hoje, mais de uma década depois, existe quase uma dezena de certificações na área (EXIN Ethical
Hacking Foundation, CEH, LPT, GPEN, GWAPT, OSCP, OSCE, etc) e cada vez mais as empresas
têm buscado pentesters com conhecimento de invasões de sistemas. A premissa para todo esse
crescimento é simples: as instituições entenderam que um penetration test é vital para a segurança
do ambiente. É como um teste de stress feito em automóveis, para verificar o quanto impacto os
carros aguentariam “no mundo real”.
Especialmente no ambiente Web, muitas entidades realizam testes de invasão com frequência para
descobrirem as vulnerabilidades antes que um “ataque de verdade” aconteça. Com a maior
seriedade e profissionalização do processo de hacking, começaram a surgir padrões de segurança
que exigem os testes de análise de vulnerabilidades em uma empresa. Um exemplo é o PCI-DSS,
criado através de uma parceria das empresas Visa e Mastecard, que determina regras a serem
seguidas por instituições que armazenam dados de cartão de crédito dos clientes na Internet.
Apesar de ainda não ser comum alguém no Brasil com a carteira “formalmente” assinada como
Ethical Hacker, houve um crescimento muito grande de empresas terceirizadas que prestam o
serviço de teste de invasão, ou mesmo freelancers que o realizam como pessoa física. O mercado
internacional já está mais maduro e costuma puxar muitos bons profissionais de hacking para outros
países, como EUA, Inglaterra, Polônia, entre outros.
Um dos sinais da maturidade do Ethical Hacking é a quantidade de instituições que passaram a
oferecer disciplinas com conteúdo de pentesting em níveis de graduação ou mesmo pós-graduação e
mestrado. E isso estamos falando no Brasil, no exterior nem se fala. Com mais de dez anos de
experiência na área eu também ministro uma disciplina em um curso de especialização (pós)
chamada de “Análise de Vulnerabilidades e Teste de invasão”.