Guia de Etiqueta para Falar Sobre Hackers
Motivação
O mundo digital contemporâneo, além de muitos prazeres e facilidades, oferece uma série de assuntos interessantes, constantes novidades e até mesmo alguns riscos. Dentre os vários desafios que encontramos neste cenário, um deles é o de como comunicar sobre os hackers, o hacking, a arte digital e as ameaças digitais (incluindo suas causas, sua natureza e seus autores). E um dos maiores objetivos deste guia é o de oferecer alternativas para que o termo hacker não seja empregado indevidamente, visto que temos como um de nossos objetivos promover perante a sociedade, a comunidade e o poder público, o esclarecimento e a conscientização sobre o que significa o termo hacker e o hacking.
Antes de qualquer coisa, um indivíduo simplesmente por ser hacker não é uma ameaça! Isto é o mesmo que afirmar que alguém por ser advogado, político, policial, enfermeiro ou cuidador de idosos apresenta um risco para a sociedade. Para saber como o Garoa Hacker Clube entende os hackers clique aqui.
O que segue abaixo é uma tentativa de oferecer algumas expressões politicamente corretas, já comuns em alguns cenários como por jornalistas especializados, da comunidade de segurança da informação e ciber-inteligência; estando estes cada vez mais populares.
Acima de tudo, entendemos que o principal objetivo é o de comunicar para o público e as massas, mensagens e notícias que sejam de fácil entendimento e de forma mais fidedigna. Isto também é uma de nossas preocupações, visto que hoje em dia há cenários e atores distintos, e quando se opta por generalizar todos eles usando o termo hacker, a informação fica imprecisa e acaba-se colocando no mesmo nível vários tipos de personagens modernos, como os ciber-espiões contratados por governos, ciber-criminosos, phreakers (que são especialistas em telecomunicações) e indivíduos do bem - como engenheiros talentosos, pesquisadores criativos, programadores geniais e especialistas em segurança fabulosos entre outros que são chamados de verdadeiros hackers.
Neste texto, adotamos como convenção utilizar os termos em itálico para representar os politicamente incorretos para o nosso contexto e usamos o negrito para indicar os termos mais apropriados.
Termos & Expressões
00) Estresse o prefixo ciber (ou cyber) ou o complemento eletrônica, até por ser uma tendência contemporânea empregar estes prefixos e complementos para se referir aos paralelos do mundo digital. Evite algumas armadilhas como expressões com a palavra virtual.
- Como exemplo de boas expressões temos "ciberguerra", "ciberespionagem", crimes eletrônicos, cibercrime, guerra eletrônica (mas tome cuidado pois guerra eletrônica não é a mesma coisa que ciber guerra!) e o tão popular "ciberataque".
- Exemplo de termos indevidos que podem ser verdadeiras armadilhas de comunicação: crime virtual, piratas virtuais, mundo virtual e ataque virtual. Mas use com moderação: coisas como "cibermuralha" e cilada eletrônica, por exemplo, soam estranhos. Evite criar termos novos, ainda mais se já existem expressões estabelecidas.
01) Se ocorreu um crime através da Internet, ele foi praticado por um ciber-criminoso, não afirme que foi praticado por um hacker. Via Internet banking é prática de bankers.
02) Se foi ataque a um governo ou algum serviço de utilidade pública notório, primeiro entenda o contexto. Mas possivelmente ou ele foi um ataque hacktivista ou ciber-terrorista. Evite chamar de ataque hacker.
- Se o ataque visa publicidade pode ter sido hacktivista, principalmente se ele foi usado para transmitir uma mensagem política ou ideológica.
- Se o ataque visava apenas a execução de um ato de vandalismo, foi um simples ataque para auto-promoção.
- O ataque pode ter sido um ciberterrorismo se visava causar algum tipo de destruição ou dano maior, em função de uma agenda política ou ideológica.
- O ataque é considerado um caso de ciber espionagem se visava extração de dados sensíveis de forma sileciosa ou visava obter dados estratégicos para ganhar vantagens competitivas.
- Se foram obtidos dados para aplicar golpes financeiros foi um cibercrime. Há outras possibilidades, mas estes são os casos mais comuns.
03) O que muitos chamam de Hacktivismo nem sempre é algo negativo. Entenda o contexto e, na dúvida, empregue o termo ciberativismo se este for mais apropriado. Obviamente, ele é praticado por ciberativistas, e não necessariamente por hackers.
- Note que ciberativismo e hackivismo são um pouco diferentes: o ciberativismo é o uso da Internet e meios de comunicação online para promover uma causa (ex: criar um site na web, blog ou fórum, ou usar uma página em uma rede social para promover uma manifestação). O hacktivismo envolve manipular as tecnologias existentes a favor de uma causa, como criando uma ferramenta para burlar a censura em um determinado país ou criar um tipo de ciber ataque para ser empregado como forma de protesto.
04) Se foi um ataque de extração de dados sensíveis que caracteriza ações de espionagem, possivelmente foi uma operação de ciberespionagem ou operação de espionagem cibernética e não um ataque hacker. Porém, muitas vezes estes são apenas ataques direcionados que ainda não foram finalizados. Normalmente há uma organização por trás destes ataques. Não os denomine de ataque hacker; apenas de ciberataques direcionados.
05) Se foi um ataque a serviços críticos, como sistemas SCADA de Usinas Hidrelétricas, Nucleares, Sistemas de Abastecimento de Água, este foi um ciberataque que pode ter sido ciberterrorismo ou uma ação de ciberguerrilha ou ciberespionagem. Não classifique de ataque de hackers! Lembre-se também que uma legítima guerra cibernética deve ser declarada. Por outro lado, a maior parte das ocorrências que tem sido atribuídas a incidentes provocados por hackers na realidade são acidentes causados pelos mais diversos motivos. Duvide sempre quando afirmarem que foi um ataque hacker. Porém, há casos de ciberataques do gênero que se trataram de provas de conceito realizados por especialistas em segurança SCADA e por governos, sendo esta uma categoria de ameaça real que tem sido muito estudada nos últimos anos.
06) Uma brincadeira que não tenha causado mal a ninguém, no qual um sistema foi pervertido por pura diversão, mas sem a intenção explícita de infringir leis, isto sim pode ter sido uma brincadeira de hackers. As vezes estas *brincadeiras* são inspiradas nos [IHTFP] (I Hate This Fucking Place) originárias de uma cultura (quase folclórica) com origem no MIT (Massachusetts Institute of Technology) ou simplesmente do espírito de brincar utilizando recursos computacionais. Acidentes acontecem, mas é extremamente raro a ocorrência de acidentes que tenha prejudicado pessoas em virtude de brincadeiras de hackers.
07) Evite utilizar o termo cracker, ele é muito demodê. E se for referente ao praticante de um crime, ele é um cibercriminoso, de atos terroristas é ciberterrorista, de atos ciberativistas ele é um ciberativista, se for hacktivismo um hacktivista. Pode ter sido um hacker, sim, claro! Mas entenda o contexto!
08) Crackers quebram sistemas, cibercriminosos praticam crimes, codebreakers descobrem formas de se quebrar algo, por exemplo encontrando vulnerabilidades e desenvolvendo métodos de explorá-las em sistemas ou em algorítimos criptograficos, hackers praticam o hacking; e você carrega contigo ou e é cercado de frutos de hackings por todos os lados que transformou e ainda transforma o mundo num lugar melhor para se viver! Não denigra os hackers, não ajude a desestimular futuros talentos a praticar o hacking que essencialmente e por conceito não é algo ruim e tem ajudado a construir um futuro melhor!
09) Não empregue a expressão piratas digitais, pirata virtual então é uma vergonha! Empregá-los certamente o tornará motivo de chacotas. Empregue uma das expressões dos ítens acima.
10) Vide o ítem 9, lembre-se que os crimes são reais se fosse crime virtual não haveria com o que preocupar-se e um bandido ou criminoso virtual também não seria uma ameaça. Os crimes no mundo digital são reais, assim como os constrangimentos, prejuízos, difamações, sabotagens e roubos são reais. Nada adianta utilizar toda a terminologia recomendada acima se estas gafes reais ocorrerem.
11) Hoje em dia o termo virus de computador' está em desuso, o termo malware é mais empregado, assim como pragas digitais, ciber-ameaças ou ameaças digitais e seus desenvolvedores podem até ser hackers (infelizmente) mas o termo mais utilizado para se referir a desenvolvedores de artefatos autômatos digitais maliciosos é VXer. Evite chamar seus autores de hackers e com a legislação brasileira atual desenvolvedores de ameaças digitais destinadas explicitamente para a prática do cibercrime, também são programadores ciber-criminosos. Aliás, a esmagadora maioria dos malwares contemporâneos fazem parte de cadeias de ameaças empregadas por quadrilhas de cibercriminosos.
12) Uma sensível e altamente destacada minoria de artefatos autômatos digitais maliciosos são empregados em operações de ciberespionagem, ciberterrorismo ou ciberguerrilha. Alguns chamam tais artefatos de goodware, não caia nesta tentação! O good aí é uma questão de perspectiva, porém é politicamente correto chamá-los de milwares. Malwares não é incorreto, é mais comum, pois ele foi desenvolvido para prejudicar alguém, alguma organização ou nação-estado. Mas evite afirmar que foram hackers que desenvolveram, principalmente quando é evidente que por trás destes há ciber-operações governamentais. Porém este já é um cenário mais cinzento e complexo.
13) Muitos tem empregado o termo APT (Advanced Persistent Threat) para diversos tipos de ataques direcionados de elite destinado a governos tendo como objetivos extração de dados sensíveis para espionagem. Evite chamar este tipo ação de ataques hackers, aliás evite empregar o termo APT visto que este foi um termo criado pelo comando de Ciber-Inteligência da USAF para designar ataques de ciberespionagem com origem da China. Se este não for o contexto, não empregue o termo APT. Os autores de ataques do gênero altamente elaborados, costumam empregar hackers em seus times, mas estes não agem sozinhos! Portanto evite chamar de ataques hackers pois estes costumam ser ataques de organizações paramilitares e de governos que empregam hackers. Este já é um assunto mais complexo, mas estas categorias de ataques direcionados vem ocorrendo com grande frequência a desde 1998, tem aumentando muito de 2007 para cá porém tem vindo mais a tona de 2010 para cá e muito tem sido questionado sobre como classificar estas ações, que nem sempre são sofisticadas quanto as técnicas empregadas mas sim quanto ao planejamento, organização, execução ficando claro haver uma estratégica de comandos de unidades de inteligência por trás dos mesmos.
14). Hoje em dia muitas indisponibilidades e sobrecarga de sistemas tem ocorrido por falha de planejamento e administração de infra-estrutura! E oportunistas pseudo-hacktivistas (tendendo a ciber-criminosos) tem assumido para si a autoria destas ações como seus feitos! Porém muitas vezes são acidentes de planejamento e não incidentes. Assim como há casos onde os ataques são reais mas as organizações não assumem o incidente. Estes são casos delicados, mas cuidado para não cair nestas armadilhas.
15). Muitos incidentes de ciber-segurança (também conhecidos como incidentes de segurança) não são invasões, podem ser frutos de ciberataques seja de DDoS, com malware, milware, 'spear phishing ou outro vetor de ataque e não é necessário ser hacker para causá-los! Podem ser ataques de cibecriminosos, ciberterroristas, ciberespiões talvez de hacktivistas mas não de ciberativistas ou de hackers.
16) Cuidado com pseudo-especialistas e com suas fontes, você pode estar dando voz a indivíduos que estão aproveitando oportunidades porque os verdadeiros especialistas e hackers estão muito ocupados trabalhando; se tua fonte se perde com os próprios termos acima, cuidado! Seu hacker pode ser uma fraude; senão coisa pior.
O hacker é um ator do mundo, se ele pratica o bem ou mal isto é algo que não é virtude ou desvio exclusivo deste. Da mesma forma que há médicos, advogados, contadores ou indivíduos de qualquer outra profissão que são éticos ou não.
Há muitos hackers pelo mundo, a maioria não pratica crimes e não tira do ar sistema de utilidade pública ou qualquer site, muito pelo contrário. Pratica o hacking por prazer e o mundo consome seus hackings sem consciência e ainda difamando os hackers o tempo inteiro.
Este guia é parcial, o cenário digital é muito mais amplo e o universo hacker vai muito além do contexto de ameaças digitais, afinal hacking é construção. Ficou com alguma dúvida ou tem alguma curiosidade? Entre em contato conosco! Saiba como clicando aqui
- Veja o nosso Glossário.