Hackers: quem são e como se proteger adequadamente?

Hackers: o que são, como agem e como se proteger adequadamente?
Share on twitter
Share on facebook
Share on whatsapp
Share on email


Junto da difusão da internet, diversas profissões e especializações começaram a surgir em diversos âmbitos, conforme foram sendo aprimorados. Dentre eles, encontramos os hackers.

Existe uma alta associação errônea de hackers com pessoas que realizam ciberataques uma vez que o termo é muito aplicado nesse sentido.

  1. O que são hackers?
  2. Quais são os tipos de hackers existentes?
  3. Como agem os hackers éticos e não-éticos?
  4. Quais perigos um hacker oferece para empresas?
  5. Qual a relação dos ciberataques e a LGPD?
  6. Como deve ser feita a segurança de dados para evitar ataques cibernéticos?

O que são hackers?

Hackers são, de forma geral, pessoas que se dedicam bastante em alguma área específica da computação. Sendo assim, elas acabam descobrindo utilidades tanto em dispositivos quanto programas e redes de computador além das previstas originalmente.

O significado de hacker vem do inglês e, traduzido, quer dizer decifrador. Dados os conhecimentos que essa pessoa possui, podemos entender que ela é capaz de obter resoluções que vão além dos limites de funcionamento dos sistemas previstos pelos criadores.

Logo, ele é uma pessoa capaz de derrubar barreiras criadas em programas para impedir o controle de certos sistemas ou então o acesso de dados.

No entanto, independentemente de qual seja o estudo ou então a ação feita por essa pessoa, ele é, obrigatoriamente, um programador com alta habilidade.

É certo que nem sempre o uso destas habilidades são as melhores, sendo este o motivo pelo qual normalmente associamos hacker à alguém que realiza ataques e roubo de informações.

O que leva uma pessoa a se tornar um hacker?

Os motivos que fazem com que uma pessoa busque eventuais brechas, ou então pontos de sistemas normalmente inacessíveis, podem ser os mais variados.

Alguns desses motivos incluem, por exemplo:

  1. o crime em si;
  2. curiosidade;
  3. espírito competitivo;
  4. vaidade;
  5. ativismo;
  6. necessidade profissional.

Dentro do último ponto cabe ainda situações onde o profissional é contratado única e exclusivamente para descobrir eventuais falhas de sistemas de uma empresa.

Nesse caso, a intenção é analisar quais são os erros e como é possível corrigi-los para evitar furto de informações ou eventuais ataques.

Aqui vale tanto para programas oferecidos pela instituição como para o próprio sistema o qual a organização usa.

Quais são os tipos de hackers existentes?

O primeiro tipo de hacker que existiu no mundo foi por volta dos anos 60, e foi intitulado de phreak, uma junção de palavras para phone hacker.

Ou seja, eles eram pessoas que estudavam o sistema de telefone da época e, através das brechas descobertas, conseguiam realizar ligações sem pagar nada por isso.

Contudo, com o desenvolvimento das tecnologias nasceram novos meios que poderiam ser hackeados para diversos fins. Surgiram então cinco diferentes e novos tipos de hackers, que são classificados da seguinte maneira:

  • White Hat: o chamado hacker ético possui forte interesse sobre conceitos informáticos e os estudam com profundidade. Outrora, usam esse conhecimento para a resolução de alguma questão problemática relacionada, sempre respeitando a ética hacker;
  • Black Hat: ao contrário do anterior, este é um hacker mal-intencionado, também chamado de hacker de dados pessoais ou ainda cracker, que realizam a quebra (cracking) de um sistema de segurança de maneira ilícita, categorizando um crime.;
  • Script Kiddies ou Lammer: recebem esse nome por não saber o que estão fazendo. Estes apenas buscam ferramentas prontas automatizadas e as usam em servidores e sistemas vulneráveis;
  • Hacktivist: são hackers que trabalham em prol de causas de cunho social, político, ideológico, ou ainda que possuem envolvimento com ciberterrorismo;
  • Nation States Professionals: são hackers contratados diretamente pelo Estado/governo para defenderem ou buscarem os interesses de seus contratantes em guerras cibernéticas;

Como agem os hackers éticos e não-éticos?

Como os hackers agem?

Outro ponto que merece atenção é a maneira com que os hackers agem.

Esse tipo de conhecimento nos permite ter uma maior segurança contra os hackers online que, de forma geral, visam benefício próprio, principalmente através do roubo de dados.

A principal forma de ataque utilizada por esse tipo de hacker são os Ataques DDoS. A sigla quer dizer Disturbed Denial-of-Service ATTACK e é uma maneira simples de derrubar algum serviço.

Sua finalidade é deixar uma página ou processo inacessível e indisponível para o usuário. Para isso, o hacker precisa criar uma rede chamada de BotNet que é, basicamente, uma rede zumbi.

A BotNet possui uma grande quantidade de computadores infectados que são controlados por um computador principal. Uma vez definido o alvo, é enviado um IP para este principal que, por sua vez, irá distribuir os dados por toda a rede.

Além desse tipo de ataque, existem ainda os que são realizados por meio de malwares. A intenção na maioria das vezes é destruir o dispositivo alvo.

No caso dos hackers éticos, uma das principais técnicas que utilizam é o Port Scanning Attack. Através desta ação, eles conseguem encontrar vulnerabilidades ou falhas de segurança em algum servidor.

Contudo, este tipo de ataque ainda pode ser utilizado por hackers não éticos, que tem como finalidade fazer com que softwares maléficos encontrem brechas a serem exploradas.

Essa técnica funciona por meio do envio de uma mensagem de um programa hacker em um caminho específico. A resposta, por sua vez, indicará se é possível ou não invadir o sistema da forma a qual o hacker tentou.

Assim, caso a intenção seja positiva, é possível indicar à empresa, por exemplo, quais os problemas e como corrigi-los a fim de evitar ataques.

Quais perigos um hacker oferece para empresas?

Hackers oferecem riscos para dados pessoais

O principal perigo para as empresas em uma ação de um hacker não-ético são os ciberataques. Esse tipo de ataque tem como intenção principal o roubo de dados, danos econômicos, morais e de imagem.

Nos casos mais graves é possível que a empresa se depare com a venda indevida de seus dados, situações de extorsão e até mesmo de exposição.

Normalmente estes ataques são silenciosos, muito sofisticados e de difícil identificação. Vale pontuar que, sem a devida proteção, diversos tipos de organizações estão sujeitas a ciberataques, desde bancos até empresas que trabalham com dados.

No pior dos casos, os ataques podem gerar parada de serviços e, consequentemente, falência da empresa.

Está indo atrás da certificação para aumentar a segurança de dados de sua empresa? Dê uma olhada nos cursos da Certifiquei e esteja preparado para os principais exames da área.

Os hackers e os dados pessoais

Como já vimos, hackers roubam dados pessoais, e claro, falamos aqui dos não-éticos. Por isso, é preciso que tanto empresas como internautas possuam cuidado, principalmente com os dados pessoais sensíveis.

No caso dos internautas, os prejuízos podem ser vários, inclusive financeiros. Tudo depende de quais dados estão sendo furtados por parte dos criminosos, uma vez que existe uma alta gama de informações as quais eles podem coletar.

É comum que os ataques visem acessar os sistemas de bancos e até cartões de crédito para copiar dados e utilizá-los em falsificações, ou até mesmo roubar o dinheiro da pessoa. A principal forma a qual normalmente é utilizada pelos criminosos é a caixa de spam e lixo virtual do e-mail.

Qual a relação dos ciberataques e a LGPD?

Tendo em mente então quem são os hackers e o que eles fazem, iremos analisar a relação entre os ciberataques a Lei Geral de Proteção de Dados (LGPD).

A LGPD entrou em vigor visando a privacidade e proteção dos dados pessoais utilizados por empresas de direito público e privado. Para isso, a Lei traz diretrizes que regulam a forma como são tratados esses dados pelas empresas.

Um dos pontos abordados pela legislação é justamente a obrigação das empresas em proteger esses dados de possíveis incidentes, conforme lemos a seguir:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” 

Segundo a Lei, em caso de vazamentos de dados, a empresa poderá estar sujeita à penalidades, conforme trata o sétimo parágrafo do artigo 52:

“§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.” 

Desse modo, vemos que, perante a LGPD, o controlador dos dados, isto é, a empresa que os detém, possui responsabilidades para com os mesmos, podendo responder por eles em caso de algum ciberataque.

Essa situação traz a necessidade de que as empresas estejam cada vez mais preocupadas com a segurança cibernética em geral, evitando, assim, possíveis multas e sanções pela Lei.

Evite os golpes reforçando a segurança!

Fora esse fator, existe um ponto o qual tem gerado grande repercussão desde a implementação da GDPR na Europa e que aponta para a urgente necessidade que as empresas reforcem seus processos de segurança.

Isso porque, hackers passaram a realizar ataques em sites de empresas que não cumprem o padrão da Lei. Uma vez feito isso, os criminosos resgatam os dados e os oferecem à empresa por um preço menor em comparação à multa que deveria ser paga caso a violação se tornasse pública.

Uma vez que as penalidades da Lei Geral de Proteção de Dados podem chegar a valores verdadeiramente altos, a empresa pode até mesmo cogitar a ideia de negociar com os hackers para evitar que os dados sejam vazados.

Sendo assim, deve-se tomar os cuidados e estar em vigilância constante sobre a segurança, a fim de evitar que ataques ocorram.

Ebook LGPD

EBOOK GRATUITO | 14 passos para adequar sua empresa à LGPD

Baixe o ebook gratuito e saiba como iniciar a adequação da sua empresa à LGPD!

Ebook LGPD

EBOOK GRATUITO | 14 passos para adequar sua empresa à LGPD

Como deve ser feita a segurança de dados para evitar ataques cibernéticos?

A melhor forma de evitar os ataques cibernéticos é antecipá-los. Para isso, o mais recomendado é adotar medidas de segurança contra possíveis eventuais ações de invasores.

Uma possibilidade aqui é justamente contratar o serviço de um hacker ético para a análise de possíveis brechas na segurança.

Após a tentativa de acessar o sistema, ele dará um relatório para a empresa com o que precisa ser melhorado e como, oferecendo então maior segurança.

Além disso, existe uma série de medidas as quais as pessoas podem adotar no dia a dia para evitar este tipo de ataque, como:

  1. não confie em e-mails (principalmente quando estão na caixa de spam), sites ou aplicativos;
  2. faça backups de seus dados com certa frequência;
  3. faça uso de um bom antivírus e o atualize sempre que possível;
  4. tenha cuidado ao abrir ou baixar anexos, principalmente quando vierem de um remetente desconhecido;
  5. crie senhas que sejam difíceis de roubar;
  6. cuidado ao utilizar redes de Internet públicas e o armazenamento na nuvem;
  7. evite acessar dados bancários em um computador que não seja o pessoal;
  8. tome cuidado ao realizar compras na internet.

Por fim, evite também responder e-mails que oferecem serviços ou então pedem cadastro quando a procedência é duvidosa.

Afinal, hackers podem estar por trás de tal ação e podem, através dos dados solicitados nestas mensagens, realizar o furto de informações do internauta, colocando sua proteção e segurança em risco.

Sidney Estrela
Sidney Estrela
Sidney Estrela é formado em Redes de computadores e MBA em gestão de TI pelo IBTA. Profissional com mais de 10 anos de atuação na área de Tecnologia da Informação, sendo os últimos sete anos dedicados à auditoria e compliance em Segurança da Informação. Atua como Especialista de Segurança da Informação e como consultor de Privacidade e Proteção de Dados, auxiliando os clientes nas adequações de empresas e seus processos e negócios à LGPD. Possui as certificações da trilha EXIN DPO e EXIN ISO - Information Security Officer, além de certificado como Auditor ISOIEC-27001.

relacionadas