O texto é uma tradução do artigo “Cyber-psychopathy: what goes on in a hacker’s head” escrito pelo jornalista Steve Gold, ex-hacker, especialista em TI e segurança da informação.

Apesar do seu título, o artigo não tem como escopo analisar de forma minuciosa a mente de um “hacker psicopata”, tema que envolveria conhecimento especializado em áreas como a psicologia e psiquiatria. Nem remotamente o autor tem essa pretensão. O assunto exigiria muitas linhas e uma abordagem especializada. Todavia, apesar de inapropriado o título, o artigo indica alguns fatos históricos, faz apontamentos sobre comportamentos típicos de um hacker e indica como as organizações poderiam lidar com esse tipo de indivíduo nos seus quadros. Até certo ponto, discordo da sua posição em transformar hackers com problemas comportamentais em hackers éticos, usando técnicas de PNL. Primeiro, por que alguns problemas de ordem mental, como a psicopatia, são incorrigíveis. O máximo que podemos fazer é exercer alguma forma de controle. Segundo, eu sou cético em relação à efetividade dessas técnicas de PNL.

Cyber-psychopathy: what goes on in a hacker’s head

O que acontece na mente dos hackers? Como seus processos de pensamentos são moldados pela mudança social e tecnológica? Poderiam as técnicas, como a de Programação Neurolingüística, ajudar a transformar talentosas pessoas da área de TI a se afastarem de uma carreira de Black Hat?

Hackers fazem parte de um grupo de indivíduos peculiares, geralmente muito talentosos. Herdeiros dos “phreakers”, que surgiram nos anos 1970 e 1980, eles tendem a se dividir em dois grupos comportamentais: “White Hats” (Chapéus Brancos)- autointitulados de guardiões da justiça e defensores dos usuários de tecnologia, buscando falhas nos sistemas de tecnologia da informação e software, ajudando a corrigi-las para o bem comum; e “Black Hats” (Chapéus Negros) – possivelmente possuidores de perfis de personalidade obsessivo/compulsivo que escolheram desde o princípio esse modo de vida em sua carreira tecnológica.

Uma terceira categoria – o “Grey Hat” (Chapéu Cinza), o “cracker” ou o hacker ético – está começando a emergir com mais destaque à medida que as organizações buscam formas adicionais de testar suas linhas de segurança.

Embora os White Hats tendam a se enquadrar na mesma categoria dos agentes da lei – geralmente trabalhando para o bem comum – as características comportamentais dos Black Hats tendem a apontar para uma parte diferente do espectro psicológico, em que condições como transtorno obsessivo-compulsivo estão presentes. Esses distúrbios, geralmente, vêm com um manifesto “vício” à pura emoção do hacking, originário da descoberta dos meios para contornar a suposta ingenuidade das “invulneráveis” defesas de segurança cibernética.

Pela natureza das suas ações, a maioria dos Black Hats tem o seu próprio código de ética, seguindo suas próprias regras, geralmente formuladas a partir de uma mentalidade “nós e eles”. Os Black Hats podem, de fato, ser perigosos. A menos que suas habilidades sejam canalizadas na direção certa, eles hackearão os sistemas como quiserem até que sejam detectados, localizados e capturados, ou se mudarão para trabalhar para gangues e operações de crimes cibernéticos localizados ao redor do mundo, momento que terão abandonado o radar convencional de profissionais de TI.

Muito tem sido escrito sobre ex-hackers Black Hat e o fato de que geralmente parecerem estar fora do alcance da lei. É importante lembrar que o fato de terem sido – e continuarem a ser – capturados e, na maioria dos casos, processados ​​de alguma forma, pode sinalizar que eles não são tão proficientes quanto a categoria mais perigosa de hackers Black Hat. Eles costumam trabalhar para criminosos, mesmo que possam se iludir por estarem trabalhando pelo “bem comum”. Os recursos à nossa disposição para rastrear esses cibercriminosos também são melhores do que os de anos atrás.

Além de tenderem a ser obsessivos/compulsivos, os hackers Black Hat parecem estar sujeitos a uma forma de “vício” tecnológico – a repetição contínua de um comportamento “apesar das consequências adversas, ou de uma deficiência neurológica que leva a esses comportamentos”.

Indiscutivelmente o mais notório hacker com esses traços compulsivos de personalidade foi Kevin Mitnick, que começou como um phreaker de telefone (phreaking é a atividade de uma cultura de pessoas que estudam, experimentam ou exploram sistemas de telecomunicações – incluindo equipamentos,  sistemas conectados de redes telefônicas públicas) e foi condenado várias vezes.

Mitnick ganhou acesso não autorizado a uma rede de computadores quando, em 1979, aos 16 anos, um amigo lhe deu o número de telefone do sistema em rede usado pelo fabricante de sistemas de computação DEC (Digital Equipment Corporation). Ele, então, copiou o software da DEC – ilegalmente, é claro – um crime que ele acabou sendo acusado e condenado em 1988. Recebeu 12 meses de prisão seguidos por três anos de liberdade supervisionada.

Próximo de terminar o período de livramento condicional, Mitnick invadiu os computadores de correio de voz da Pacific Bell, sendo obrigado a ficar foragido por dois anos e meio, período durante o qual invadiu várias redes de computadores, usando celulares analógicos clonados para esconder sua localização. Quando foi pego em fevereiro de 1995, possuía vários telefones celulares clonados, mais de 100 códigos de celular e várias identidades falsas. Capturado, passou um longo período na prisão. Vale a pena notar que em 1988 o juiz no julgamento relacionado à fraude de computador aceitou a defesa de Mitnik com base nos transtornos de personalidade, ordenando que Mitnick fizesse terapia para tratar a sua condição mental.

Hoje em dia, Mitnick é chamado no circuito principal de “ex-hacker” e também ganha a vida como consultor de segurança. Em um discurso na conferência IP Expo em Londres, em outubro de 2013, ele se lembrou de sua vida anterior como hacker. Nos anos 70, ele disse, o hacking era significativamente diferente.

Atualmente, os cibercriminosos usam uma combinação híbrida de engenharia social e explorações de computadores do lado do cliente para chegar aos sistemas de ICT das organizações. É, ele acrescentou, muito mais fácil atacar qualquer sistema de TI do que defendê-lo – e não importa qual software de segurança você tenha instalado, porque basta que uma pessoa na organização visada tome uma decisão de negócios ruim, e “acabou o jogo”.

Mitnick acrescentou: “A segurança cibernética é sobre pessoas, processos e tecnologia, e as organizações precisam reforçar o elo mais fraco – que, invariavelmente, é o elemento humano”.

Enquanto aparições públicas de Mitnick e da sua turma podem fascinar (ele certamente não é considerado como um dos “bandidos” pelos admiradores que buscam seu autógrafo), o fato de que tais eventos são uma espécie de circo da mídia pode obscurecer análises mais sérias sobre seus traços de personalidade e perfil psicológico. O que acontece quando alguém como o jovem Mitnick se candidata a um emprego em uma empresa convencional? Onde está sua motivação e o que os empregadores podem fazer se suspeitarem que colocaram um hacker na folha de pagamento?

Engenheiros sociais = desajustes sociais?

O que faz um hacker funcionar? Quais princípios (se existe algum) são suas molas psicológicas, por assim dizer, ao seu redor? Algumas dicas iniciais podem ser encontradas em “Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker” (Em português: Fantasma No Sistema. Minhas Aventuras Como O Hacker Mais Procurado Do Mundo), um livro de 2011 em que Mitnick é coautor com o cofundador da Apple Computer, Steve Wozniak.

O livro conta uma história fascinante – em grande parte porque os segmentos mais interessantes têm mais a ver com a psicologia do hacking do que com o “mau uso” da tecnologia. Mitnick chegou agora a reconhecer – e até mesmo entender – que suas ações estavam centradas mais na obscura ciência da engenharia social (ou ‘hackear o humano’) do que o uso indevido da tecnologia de computador – mesmo que o elemento ‘mau uso’ tenha claramente desempenhado um papel importante na execução de suas explorações de hackers e atividades relacionadas.

Mitnick classifica a engenharia social como a arte de convencer as pessoas a desistirem das informações que mantêm quando claramente não deveriam fazê-lo. Se, no entanto, você explorar a emoção humana de pessoas que querem ajudar seus semelhantes, quando você ligar para a sede de uma grande empresa, dê um nome a algumas pessoas-chave dentro da organização e “converse com a outra pessoa”, torna-se relativamente fácil extrair pedaços de informações que podem ser usadas como isca para persuadir outras pessoas a revelar informações adicionais.

A partir daí, por exemplo, as pessoas acreditarão em você quando disser que está “no campo” e precisará acessar uma senha que esteja em sua mesa no escritório. Mitnick, é claro, refinou suas ações constantemente: isso permitiu obter acesso a tudo, desde certidões de nascimento até código-fonte ultrassecreto para os telefones celulares dos anos 80 e 90.

De muitas maneiras Mitnick estava no auge de suas habilidades na década de 1980, uma década em que a tecnologia de segurança e treinamento para bloquear golpes de engenharia social – como os realizados por Mitnick – eram imaturos. A geração hacker das décadas de 1970 e 1980 sugere comportamentos que parecem ser impulsionados por uma mistura de arrogância e incapacidade de distinguir facilmente o certo do errado do bom e do ruim, possivelmente coexistindo com um grau de transtorno do espectro do autismo (ASD).

Gary McKinnon, conhecido como ‘hacker UFO’, era um administrador de TI escocês, acusado em 2002 de perpetrar o hackeamento do “maior computador militar de todos os tempos”, sempre sustentou que estava procurando evidências de supressão de energia livre e o encobrimento de atividades UFO e outras tecnologias que poderiam ser potencialmente úteis para o público. Seja lá o que ele estivesse procurando, sua capacidade de invadir quase 100 sistemas de computadores militares e da Nasa, excluindo arquivos operacionais críticos e inutilizando sistemas de armas, demonstra notável perspicácia tecnológica.

Posteriormente, o governo dos EUA acusou-o de causar prejuízos na ordem de US$ 800.000. Se ele fosse condenado nos EUA, McKinnon – que teria sido diagnosticado como tendo um ASD conhecido como síndrome de Asperger – poderia ter sido condenado a 60 anos de prisão. Em outubro de 2012 – cerca de uma década depois de sua prisão original – McKinnon, com 40 anos, ficou aliviado ao ouvir a secretária do Reino Unido, Theresa May, anunciar que o governo estava bloqueando o pedido de extradição dos Estados Unidos fundamentando a decisão no seu autismo, levando em consideração a compaixão, os direitos humanos, além do bom senso.

Hacktivismo e e história social

Comparar e contrastar Mitnick e McKinnon podem revelar diferenças psicológicas entre os dois homens. Enquanto Mitnick era – e sem dúvida ainda é – o ator arquetípico tímido que se tornou extrovertido no palco, McKinnon parece permanecer relativamente distante – o que não surpreende quando se considera a pressão que ele sofreu durante uma década. Mas, embora os dois hackers – separados por décadas em suas façanhas – tenham psiques distintas, é importante, ao tentar entender melhor a motivação dos hackers, observar as mudanças sociais pelas quais passaram.

Nos anos 1970 e 1980, o hacking era visto pelas autoridades como uma espécie de passeio eletrônico – algo que se refletia na cobertura midiática na época de Mitinick, “Robin Hood” – enquanto as façanhas dos hackers modernos são vistas como reais e como crimes contra a sociedade com alto grau de reprovabilidade. O fato de qualquer um agora poder ser vítima de vírus e ter suas contas bancárias invadidas por hackers foi um divisor de águas.

Essa mudança na visão da sociedade sobre as diferentes gerações de hackers não é por coincidência, e é a evolução deliberada da visão de hacking orquestrada – em parte pela mídia – por sucessivos governos e suas agências nos dois lados do Atlântico.

Isso também demonstra, até certo ponto, a “orientação psicológica” que os governos têm sobre a mídia e, através da imprensa, refletem para o público. No entanto, o aumento no nível geral de compreensão sobre hacking de computador entre a população – particularmente no Reino Unido – foi acompanhado pelo desejo de “expor” o governo por suas atividades aparentemente encobertas; atividades que, para alguns, são contrárias à cultura de abertura e transparência que caracteriza o governo democrático moderno.

Essa tendência também deu origem à mentalidade “nós e eles”, com a mídia pegando carona, resultando em alegações de alguns hackers sobre as boas intenções das suas atividades. Esse sentimento gerou o “hacktivista”, como o Anonymous e outros grupos. Suas habilidades se tornaram mais efetivas com o uso de poderosos softwares utilitários como o aplicativo LOIC (Low Orbit Ion Cannon), que permite que um hacker novato ative um ataque sofisticado de negação de serviço (DoS) em um alvo escolhido por uma liderança hacktivista.

Evidências sugerem que os governos estão bem cientes das ações de grupos hacktivistas, culminando com a colocação de agentes infiltrados em tais organizações no Reino Unido, nos EUA e na Europa. Esses “agentes cibernéticos” disfarçados – cuja psicologia provavelmente é altamente complexa, para dizer o mínimo – parecem ter sido instrumentais na prisão e julgamento de hacktivistas em processos judiciais recentes.

Observações subjetivas

Em mais de 25 anos de rastreamento de problemas de hackers, esse escritor observou subjetivamente tendências comportamentais relativas ao ASD entre muitos dos indivíduos envolvidos.

Pessoas com síndrome de Asperger podem achar situações sociais difíceis. Eles podem não saber o que dizer ou como iniciar uma simples conversa, embora também possam ter uma propensão a abordar alguém e começar a falar sobre algo pontual que tenham lido – ou estejam interessados ​​- sem qualquer introdução ou considerações iniciais. Este é um fenômeno curioso, talvez mais perceptível em eventos como as conferências Black Hat em Amsterdã e Las Vegas, bem como nas reuniões anuais do Chaos Computer Club na Alemanha.

Isso não significa que todos os hackers tenham um grau de síndrome de Asperger, ou que pessoas com essa condição tenham predileção para o cibercrime. A observação é feita baseada na observação de que, tipicamente, o hacker tem algumas características em comum com o padrão de sintomas da síndrome de Asperger.

Embora muitos profissionais de TI experientes, com tempo e esforço suficientes, possam invadir o sistema de uma empresa concorrente, eles implicitamente entendem que isso está errado. Mesmo os amorais sabem que tais atos resultariam em penalidades potencialmente severas, que vão desde danos irrecuperáveis ​​à carreira até processos criminais.

Os incidentes envolvendo profissionais de TI “trapaceiros” não devem ser comparados aos relatórios periódicos da indústria que revelam que alguns membros de equipes de TI admitem “espionagem de dados” em redes corporativas: esse tipo de conduta não profissional é mais comum do que o desejo de se reunir para causar danos ou para furtar dados que possam ser revendidos.

Hacking no local de trabalho

Um dos maiores problemas potenciais para os gerentes de linha e para os recursos humanos (RH) encarregados de monitorar seus colegas de TI é sobre como lidar com o comportamento precoce – ou claramente – do tipo hacker no local de trabalho. Os hackers habilidosos não são criados da noite para o dia – eles desenvolvem sua mentalidade de hackers e habilidades técnicas progressivamente, muitas vezes se colocando em desafios de hackers que considerados mais difíceis do que o anteriores.

À luz dessas observações, e em um mundo onde as forças da segurança cibernética e do cibercrime estão em atrito diariamente, surge a pergunta: como as organizações – e outros interessados – podem controlar, e até impedir, o comportamento semelhante ao de um hacker entre os indivíduos da sua organização, especialmente entre as fileiras crescentes da equipe de TI? Além disso, é possível detectar qualquer sinal do que pode ser visto como uma tendência “ciberpsicótica” em seu estágio inicial – e até mesmo convertê-lo em comportamentos mais positivos que poderiam realmente beneficiar a organização?

Estas são perguntas especulativas, mas que, indiscutivelmente, as organizações esclarecidas já deveriam levar em consideração de forma concreta. Desde que as tendências semelhantes a de hackers sejam tratadas em seu estágio inicial, não é ilusório acreditar que sua bússola moral e o consequente comportamento negativo possam ser canalizados para uma direção mais saudável.

Tornar-se-á cada vez mais importante não distinguir indivíduos que foram pegos agindo de forma semelhante a hackers, como tentar quebrar senhas para acessar dados protegidos, ou copiar ou excluir arquivos para os quais não estão autorizados, apenas por causa do perfil hacker difundido.

Qualquer pessoa pega fazendo cópias inapropriadas de documentos em papel, por exemplo, provavelmente não será submetida à mesma ação disciplinar que suas contrapartes de mentalidade digital. Outra potencialidade emergente é que, sempre que possível, sejam feitas tentativas para reabilitar hackers em potencial, em vez de descartá-los.

Isso pode soar bastante nocivo, dado o clima geral de ofensiva total contra o cibercrime; mas se a perda da direção moral correta for a causa raiz de traços comportamentais daninhos, mas que também exporão aptidões possivelmente úteis para um empregador – instrutores de TI têm listas de espera para seus cursos sobre hacker ético – por que não explorar outra maneira de fazer uso positivo deles?

Na prática, este objetivo será melhor alcançado usando o velho processo de mentorização no local de trabalho, onde os gerentes técnicos mais experientes e qualificados  têm interesse no bem-estar do funcionário iniciante.

Cuidando de hackers em potencial

Longas horas gastas em frente a um computador pessoal fora do horário de trabalho nem sempre é o melhor para um funcionário, especialmente quando ele tem a mesma experiência no escritório. Enquanto alguns especialistas em RH afirmam que atividades não realizadas durante o horário de trabalho não têm nada a ver com o empregador, é preciso ver isso com cautela, especialmente nas profissões de TI e engenharia.

Orientar o funcionário e afastá-lo de ações relacionadas aos tempos passados ​​de hackers, quando fora do local de trabalho – além de garantir que as mentes estejam ocupadas com tarefas positivas relacionadas à segurança de TI no trabalho – pode ajudar o indivíduo a amadurecer. Isso pode parecer uma tarefa árdua, dado que as empresas enxutas e mesquinhas nos dias de hoje já estão sobrecarregadas de recursos; mas, existe um escopo para que as habilidades éticas de hackers se tornem parte de um programa de aprendizagem estendido. Com o tempo, isso promoveria a promoção de responsabilidades de governança de cibersegurança.

Outro ponto a favor dessa estratégia é o fato de que a necessidade de uma equipe de TI inteligente em termos de segurança não é provável que diminua tão cedo devido a escassez de candidatos adequadamente qualificados. A disponibilidade de habilidades complementares de TI na frente de segurança é bem-vinda.

Atenção, obviamente, precisa ser tomada para garantir uma estreita ligação com os respectivos representantes dos recursos humanos a este respeito, pois o funcionário não deve sentir que está sendo escolhido para “tratamento especial”, por razões óbvias, ou que quaisquer compromissos que venha com amarras ou estão, de fato, em desacordo com os termos e condições acordados em seu contrato de trabalho.

Há uma abordagem à mudança comportamental que abrange elementos da ciência psicológica definida e à disciplina relativamente nova das melhores práticas empresariais. Discutida em outras partes deste recurso, a Programação Neurolingüística (PNL) centra-se na técnica de usar a linguagem para atingir um determinado objetivo.

Steve Gold é um jornalista especializado em segurança de TI e tecnologia de saúde. Como editor, trabalhou em IT Security Pro, Infosecurity e SC Magazine.

Fonte original

ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.