Por Rogério Bordini

Livro aborda casos reais a partir da narrativa de Kevin Mitnick, ex-cibercriminoso e consultor de segurança. Destaca a dualidade dos hackers, técnicas de invasão e a importância da conscientização em segurança cibernética.

Imagine um belo dia em que você se senta à frente do computador para trabalhar e, ao abrir suas pastas, nota algo incomum: seus documentos, fotos e arquivos pessoais desapareceram. Pior: todas as senhas foram alteradas e sua conta bancária zerada. Casos reais como este são retratados no livro A arte de invadir: as verdadeiras histórias por trás das ações de hackers, intrusos e criminosos eletrônicos (2005) de Kevin Mitnick e William Simon.

A trajetória de Mitnick, programador estadunidense falecido em 2023 aos 59 anos, foi ao mesmo tempo polêmica e instigante. De hacker mais procurado dos Estados Unidos a consultor de segurança, ele deixou um legado significativo no que diz respeito à proteção de dados na internet e como hackers exploram técnicas e estratégias para invadir sistemas. A retrospectiva de sua vida, por si só, é envolta em controvérsias.

Embora haja diversas definições, “hacker” é alguém com conhecimentos avançados em tecnologia, especialmente em sistemas de computadores e redes, que explora vulnerabilidades de informação para diversos fins. O termo hack foi utilizado pela primeira vez em 1955 no MIT, referindo-se a modificações inusitadas feitas por membros do Clube de Ferromodelismo Técnico em seus modelos – o que chamaríamos de “gambiarra elegante” em bom português. Com o boom dos computadores nos anos seguintes, o termo passou a ser associado a truques de computação e a programadores.

Essas pessoas são, muitas vezes, erroneamente retratadas como ameaças à sociedade – aquela típica figura sombria com capuz preto, digitando códigos intermináveis em um monitor. Há sim os que “invadem, danificam, alteram e furtam informações em benefício próprio” – os chamados crackers, conforme explicação de Mitnick e Simon no livro. Mas também há aqueles que, de forma ética, “exploram problemas de segurança, descobrem falhas em sistemas e as divulgam abertamente para que sejam corrigidas”.

Crackers invadem sistemas usando uma variedade de técnicas: exploração de  brechas em software (redes, sistemas operacionais e aplicativos), quebras de senha, injeção de códigos via formulários desprotegidos, uso de programas maliciosos (malware) e envio de mensagens para induzir pessoas a compartilhar dados pessoais, financeiros ou corporativos (phishing) via links suspeitos. O impacto de tais invasões tem sido explorado em contextos diversos, como em guerras, ataques a usinas nucleares e na política.

Esse também foi o caso de muitas das façanhas cibernéticas de Mitnick na década de 1990 retratadas no livro, antes de mudar de lado. O ex-cracker invadiu sistemas de universidades, bancos, corporações (o caso do McDonalds é seu preferido) e interceptou comunicações eletrônicas. Também usou táticas de engenharia social para tirar proveito da ingenuidade de pessoas e burlar protocolos de segurança para acesso a sistemas inteiros – como também abordado em seu primeiro livro A arte de enganar.

Apesar de ter conseguido driblar as autoridades por anos, Mitnick foi detido em 1995 pelo FBI, após a coleta de provas suficientes de seus crimes. Ele foi condenado a cinco anos de prisão, resultado de uma operação coordenada entre agências policiais para rastreá-lo. Suas atividades ilegais e subsequente prisão representaram um marco, destacando a importância da segurança cibernética – discussão ainda emergente na época. Além disso, o caso gerou debates sobre os limites éticos do hacking e as consequências legais dos crimes cibernéticos.

Hackeando para o bem

Não só de causos ciber-fraudulentos trata A arte de invadir. O livro também serve como um guia de dicas sobre como as vítimas dos ciberataques narrados poderiam ter se prevenido melhor – informação sempre atual e importante. Somente no Brasil, por exemplo, foram mais de 100 bilhões em 2023.

Após a prisão, Mitnick passou a educar pessoas sobre segurança cibernética, compartilhando suas experiências para alertar sobre os riscos e consequências dos crimes na rede. Ele também contribuiu para orientação de práticas online mais seguras por meio de aulas, palestras, consultorias corporativas, governamentais e publicação de livros.

Um exemplo icônico narrado pelo autor (capítulo 8) é o de um tipo de crime que poucos se recordam: roubo de propriedade intelectual. Dois jovens dedicaram dois anos para furtar o código-fonte de um aplicativo para usarem e distribuírem gratuitamente. Esse caso exemplifica a persistência e paciência de invasores – traços comuns na comunidade hacker – e que colocam administradores de sistemas e redes em desvantagem, por estarem frequentemente sobrecarregados e disporem de pouco tempo para vigiar e fortalecer as defesas de sua organização. 

Já o capítulo 10 apresenta o caso de um consultor de segurança que utilizou engenharia social para explorar o ponto fraco de qualquer sistema: o ser humano. O consultor, contratado para realizar auditorias em cassinos de Las Vegas, conseguiu acessar sistemas ultrasseguros devido à baixa guarda dos vigias. Além de conseguir entrar em locais restritos sem ser contestado, o especialista também instalou um ponto de acesso sem fio nas redes, permitindo realizar hacking remoto e acesso não autorizado a informações confidenciais.

Em muitas de suas recomendações a empresas, Mitnick também sugere orientações baseadas no uso de role-playing (cenários faz-de-conta) como estratégia para demonstrar a suscetibilidade à engenharia social e ajudar funcionários a desenvolver habilidades de resistência. Essa abordagem prática, baseada na simulação de situações reais, pode aprimorar a conscientização sobre potenciais táticas manipulativas utilizadas por invasores. Estudos de caso reais de engenharia social para ilustrar como indivíduos podem ser alvos fáceis também são recomendados.

Esses conhecimentos e precauções podem incentivar pessoas a permanecerem alertas e proativas na proteção contra ameaças cibernéticas. Ao compreender a mentalidade dos hackers e a lógica por trás dos ataques, também é possível promover maior adesão e comprometimento com práticas seguras nas redes. Por fim, a promoção da cibersegurança foi a atividade que perdurou até o resto da curta e intensa vida de Mitnick. Fortalezas digitais que um dia destruiu, e que dedicou seus anos finais ajudando a reergue-las.         

Rogério Bordini é doutor em artes visuais (Unicamp) e em interação humano-máquina (Helmut Schmidt University). Também é mestre em educação e graduado em educação musical (UFSCar). Atualmente cursa especialização em jornalismo científico no Labjor/Unicamp.