Por Rodrigo Fragola é CEO da Aker N-Stalker
No final de fevereiro foi veiculada nos Estados Unidos a notícia da condenação a três anos de prisão de Tom Huddlestone (26), por conta da criação e venda de um trojan de acesso remoto. O jovem natural de Hot Springs, Arkansas (EUA) admitiu ao tribunal que, ao criar o software, imaginava que este poderia ser utilizado por cibercriminosos para quebrar a lei pelo atrativo que o programa apresentava para obter lucro. Apesar de a motivação inicial para o desenvolvimento do NanoCore, no final de 2012, era oferecer um software de gerenciamento remoto de baixo orçamento para escolas, empresas conscientes de TI e pais que desejavam monitorar as atividades de seus filhos na web, este software chegou a mãos erradas.
Este caso traz à tona uma discussão: o que exatamente é ilegal na atividade hacker? Se Huddlestone tivesse prosseguido com seus planos, e não comercializasse o NanoCore no submundo da internet por US$25, ele ainda seria considerado um criminoso? Ou seja, quem fabrica uma arma é um criminoso ou o transgressor que puxa o gatilho para tirar uma vida o é?
O fato é que a terminologia Hacker está bastante desgastada e carrega um preconceito que não se justifica, uma vez que, há hackers “do bem” e aqueles “do mal” (nomenclaturas que eu particularmente abomino), assim como há bons e maus profissionais em todas as áreas de atuação. A atividade hacker, por definição, visa quebrar paradigmas. Na prática, estes especialistas buscam vulnerabilidades nos mais diversos níveis e nas mais variadas áreas.
Há uma linha tênue entre a atividade criminosa e a científica nestes casos. A busca por falhas e vulnerabilidades é um dos pilares para que as empresas estejam cada vez mais seguras. Evidentemente, saber que há pessoas com a capacidade de invadir seu sistema e ter acesso aos dados bancários, contábeis, de clientes, entre outros, causa um certo temor, mas é importante separar o joio do trigo.
Via de regra, a origem do dinheiro é o que difere um hacker mal-intencionado de um hacker que visa apenas a descoberta de vulnerabilidades. Quem compra o produto pode dizer muito sobre ele, e a forma que o produto é usado pode dizer muito sobre o produto. Voltando ao caso de Huddlestone, se a origem de sua renda fosse de escolas e/ou empresas de TI, quem poderia chamá-lo de criminoso? Entretanto, houve um desvio do seu plano original e ele fez negócios com o submundo da Internet, tornando-se uma ameaça que a justiça dos Estados Unidos está julgando.
O principal cuidado e a principal dificuldade neste tipo de processo é estabelecer este vínculo proposital entre o hacker e a ação criminosa. Este também é um grande problema em outras áreas de pesquisa como a nuclear e a biológica. O artefato em si não é e nem pode ser considerado como única evidência, pois se o fosse, colocaria toda a comunidade Hacker e Cientifica em xeque.
Hackers são fundamentalmente profissionais extremamente qualificados, sem os quais, o mundo moderno sucumbiria a ataques como WannaCry e diversas outras atividades do ciberterrorismo. Está aí Kevin Mitnick, o hacker mais famoso do mundo durantes os anos 80 e 90 e que, hoje, é um consultor de segurança, que não nega a relevância da atividade dos hackers como ciência.