Total Security - www.totalsecurity.com.br
Sua empresa contrataria um Hacker?
Diz a lenda, que tempos atrás pessoas com conhecimentos em invasões de redes eram contratadas para assumir a área de segurança da informação de uma empresa. Esse fato ocorria (ou ainda ocorre) em empresas do segmento Financeiro, Comércio, Serviços, Governo, Telecom, Indústria, etc.
Uma pesquisa divulgada recentemente por um psicólogo americano, revela que os profissionais de segurança que possuem conhecimentos práticos em técnicas de invasão, conseguem criar ambientes computacionais mais seguro. Leia o artigo completo, Hackers: O que eles estão pensando?
Vamos agora mergulhar no mundo corporativo. Atuei em diversas empresas na área de segurança (principalmente empresas da área financeira) e existe uma pergunta que nunca foi feita pela alta direção: Quantas tentativas de invasão sofremos por dia? Quantas são bem sucedidas?
É possível contar nos dedos o número de profissionais que são responsáveis pela área de segurança da sua empresa e que conseguem responder a este tipo de pergunta. Uma técnica constante na Internet (SQL Injection) é realizada por adolescentes (curiosos) em sites de grandes empresas. Essas empresas não conseguem detectar que está ocorrendo diariamente ataques bem sucedidos, até que alguém tenha a iniciativa de informar sobre o problema. Cuidado! O mundo corporativo não enxerga com bons olhos as pessoas que informam sobre um problema de segurança no ambiente computacional de uma empresa.
Alertando sobre uma falha na segurança
A segurança de qualquer empresa é colocada à prova todos os dias.
1. Alguém consegue realizar uma invasão bem sucedida.
2. O autor da invasão bem sucedida entra em contato com o administrador do sistema comprometido e alerta sobre o problema.
3. O administrador do sistema corrige o problema e na maioria das vezes não responde ao e-mail recebido alertando-o sobre a falha explorada.
4. Caso o autor da invasão descubra uma nova falha na segurança, a notificação não será realizada novamente.
5. O administrador do sistema fica torcendo para que não descubram novas falhas de segurança em seu sistema.
O caso descrito acima é o mais comum. Quando recebi um e-mail alertando sobre um bug no desenvolvimento de uma aplicação, verifiquei se o problema realmente existia e a pessoa responsável pelo desenvolvimento da aplicação enviou uma resposta agradecendo o alerta. No dia seguinte recebi uma resposta ao e-mail informando que essa era a primeira vez que alguém respondia aos alertas dele e que estava disposto a tirar qualquer dúvida relacionada ao problema.
A contratação
O mundo corporativo acredita que o Hacker é responsável por prejudicar de alguma forma o ambiente computacional das empresas. Na verdade, o Hacker é um profissional apaixonado pelo que faz e utiliza seu conhecimento para o lado positivo. O resultado final do trabalho de um Hacker são sistemas de segurança implementados de forma correta (firewall, IDS, antivírus, etc), aproveitamento da tecnologia disponível no próprio sistema operacional (Windows ou Linux, por exemplo) para manter o ambiente computacional seguro e correção de falhas no processo de desenvolvimento da aplicação interna.
Profissionais que já atuam na área de segurança e que não dominam as técnicas de invasão estão procurando cada vez mais conhecer na prática as técnicas de invasão. As técnicas hoje são apresentadas em cursos, palestras, revistas ou até mesmo em sites disponíveis em nossa língua portuguesa.
Talvez esse seja um sinal de que os Hackers atuam no mundo corporativo, porém, as empresas ainda não estão preparadas para assumir que “Nós contrataríamos um Hacker”.
Autor: Denny Roger
Fonte: Batori Software & Security
Uma pesquisa divulgada recentemente por um psicólogo americano, revela que os profissionais de segurança que possuem conhecimentos práticos em técnicas de invasão, conseguem criar ambientes computacionais mais seguro. Leia o artigo completo, Hackers: O que eles estão pensando?
Vamos agora mergulhar no mundo corporativo. Atuei em diversas empresas na área de segurança (principalmente empresas da área financeira) e existe uma pergunta que nunca foi feita pela alta direção: Quantas tentativas de invasão sofremos por dia? Quantas são bem sucedidas?
É possível contar nos dedos o número de profissionais que são responsáveis pela área de segurança da sua empresa e que conseguem responder a este tipo de pergunta. Uma técnica constante na Internet (SQL Injection) é realizada por adolescentes (curiosos) em sites de grandes empresas. Essas empresas não conseguem detectar que está ocorrendo diariamente ataques bem sucedidos, até que alguém tenha a iniciativa de informar sobre o problema. Cuidado! O mundo corporativo não enxerga com bons olhos as pessoas que informam sobre um problema de segurança no ambiente computacional de uma empresa.
Alertando sobre uma falha na segurança
A segurança de qualquer empresa é colocada à prova todos os dias.
1. Alguém consegue realizar uma invasão bem sucedida.
2. O autor da invasão bem sucedida entra em contato com o administrador do sistema comprometido e alerta sobre o problema.
3. O administrador do sistema corrige o problema e na maioria das vezes não responde ao e-mail recebido alertando-o sobre a falha explorada.
4. Caso o autor da invasão descubra uma nova falha na segurança, a notificação não será realizada novamente.
5. O administrador do sistema fica torcendo para que não descubram novas falhas de segurança em seu sistema.
O caso descrito acima é o mais comum. Quando recebi um e-mail alertando sobre um bug no desenvolvimento de uma aplicação, verifiquei se o problema realmente existia e a pessoa responsável pelo desenvolvimento da aplicação enviou uma resposta agradecendo o alerta. No dia seguinte recebi uma resposta ao e-mail informando que essa era a primeira vez que alguém respondia aos alertas dele e que estava disposto a tirar qualquer dúvida relacionada ao problema.
A contratação
O mundo corporativo acredita que o Hacker é responsável por prejudicar de alguma forma o ambiente computacional das empresas. Na verdade, o Hacker é um profissional apaixonado pelo que faz e utiliza seu conhecimento para o lado positivo. O resultado final do trabalho de um Hacker são sistemas de segurança implementados de forma correta (firewall, IDS, antivírus, etc), aproveitamento da tecnologia disponível no próprio sistema operacional (Windows ou Linux, por exemplo) para manter o ambiente computacional seguro e correção de falhas no processo de desenvolvimento da aplicação interna.
Profissionais que já atuam na área de segurança e que não dominam as técnicas de invasão estão procurando cada vez mais conhecer na prática as técnicas de invasão. As técnicas hoje são apresentadas em cursos, palestras, revistas ou até mesmo em sites disponíveis em nossa língua portuguesa.
Talvez esse seja um sinal de que os Hackers atuam no mundo corporativo, porém, as empresas ainda não estão preparadas para assumir que “Nós contrataríamos um Hacker”.
Autor: Denny Roger
Fonte: Batori Software & Security
URL Fonte: http://www.totalsecurity.com.br/noticia/697/visualizar/
Comentários