O clássico exemplo de Kevin Mitnick, ex-hacker que tornou-se uma espécie de guru em segurança mostra que nem todos podem ter este destino
Quantos hackers ex-condenados cometem novos crimes? “Isso realmente
depende da pessoa”, opina Painter. “Às vezes, as pessoas que foram
condenadas uma vez nunca mais são condenadas novamente, mas também
existem reincidentes”.
Reunindo ex-vilões
Se as companhias contratarem hackers que já foram condenados, Purser
recomenda colocar ao lado deles um profissional de segurança que possa
identificar sinais de atividades ilícitas. Além disso, qualquer código
que eles escrevam deverá ser cuidadosamente verificado para validar sua
segurança, e as análises de código-fonte deverão ser atribuídas a um
profissional externo terceirizado.
É claro que isso não é tão diferente da atitude que as companhias
deveriam tomar em relação a todos os profissionais de TI e talentos na
área de programação, esclarece Robb Boyd, editor administrativo da
Cisco Interaction Network. ?À medida que as companhias se esforçam para
decidir ?Será que eu devo contratar um hacker?? ?, talvez porque eles
tenham de enfrentar essa questão ?, minha pergunta seria: quantos
hackers você tem em sua equipe e o que eles estão fazendo??. E a
pergunta seguinte: você pode comprovar isso?
Quando os bons funcionários causam problemas
No setor corporativo, existe uma tênue linha entre o que constitui
invasão versus as atividades legítimas. Sendo assim, as companhias
devem fornecer a todos os funcionários um quadro nítido daquilo que é
permitido, ou não, e garantir que todos permaneçam dentro dos limites
pré-estabelecidos, analisa Ossario.
Por exemplo: ?freqüentemente, fazemos auditorias sobre nosso próprio
trabalho, para verificar se não ultrapassamos nossos limites?. Tão
importante também: ?gastamos muito tempo treinando jovens engenheiros
para que eles entendam que só porque eles ?podem? fazer algo, não
significa que eles devam fazer, ou mesmo que eles tenham permissão para
isso?.
Conseqüentemente, ele tem pouca tolerância se alguém ultrapassa os
limites. Por exemplo, durante o lançamento de um portal de e-business,
um membro de sua equipe “começou a instalar código, sensores e
monitores que não estavam explicitamente documentados nem no plano
corporativo nem nos mapas de arquitetura técnica”. Depois de falar com
o engenheiro por um longo período e de proibir toda essa atividade ?
embora “intrigante”, estava tudo inegavelmente fora do objetivo do
projeto ?, Ossario também resolveu fazer auditoria do acesso do
engenheiro ao sistema.
Infelizmente, uma semana depois, uma auditoria de acompanhamento
revelou que o engenheiro não havia modificado suas atitudes. “Depois de
falar com ele por outra hora, ficou claro que ele não havia tomado
consciência do seu erro'”, conta Ossario. “Sem mais nenhum aviso, fui
até onde ele estava, fechei seu laptop e disse a ele para pegar o
próximo vôo para casa. Notifiquei o setor de Recursos Humanos; ele foi
realocado e, novamente, teve problemas, e então, foi desligado
imediatamente”.
Como isso demonstra, a atividade de invasão não envolve apenas habilidades, mas também, capacidade de julgamento.
Mesmo assim, Ossario disse que ainda poderá contratar algum ex-hacker.
“Eu ficaria feliz em pagar a um hacker ?reabilitado? para treinar nosso
pessoal nas técnicas de invasão simples e também nas que são
complicadas. Não vejo nenhum problema nisso”, considerando que ele
regularmente contrata especialistas externos para treinar seus
consultores. “Quero que meus funcionários aprendam com os melhores, e
alguns deles são muito bons”.
