outubro 15, 2015

[Segurança] Como medir o tamanho de um hacker?

Toda vez que aparece uma reportagem dizendo que "o maior hacker fez tal coisa", surge a pergunta inevitável: como medir o "tamanho" do hacker?
Nota: como já discuti aqui antes, geralmente, o título é dado porque ele foi preso ou fez algum tipo de fraude milhonária, pois aparentemente a imprensa só sabe associar a imagem do "hacker" ao "ciber criminoso".

Mas, enfim, como medir o conhecimento de um hacker? Será que isso é possível?

Algumas áreas, bem ou mal, já descobriram como medir o conhecimento ou a eficiência de um profissional:
  • Os RHs das empresas de TI gostam de utilizar os diplomas e as certificações como forma de medir o conhecimento técnico. O diploma de graduação, pós e MBA comprova um nível básico ou geral de formação, enquanto as certificações profissionais comprovam o possível conhecimento do candidato em tecnologias e produtos específicos. Neste caso, quanto mais "medalhas" você tiver, mais conhecimento tem;
  • As Universidades, há muito tempo, utilizam a "produção acadêmica" para medir a competência de um pesquisador. Quanto mais artigos forem publicados em revistas de qualidade e renome na área e quanto mais orientações de teses de alunos o pesquisador tiver, mais conhecimento e competência ele tem;
  • Nos times de pesquisa de diversas empresas, uma métrica muito valorizada é a quantidade de patentes que o funcionário tem em seu nome, indicando que ele/ela produziu novos conhecimentos que podem ser aproveitados em novas tecnologias e produtos;
  • Nos times de vendas, a competência do vendedor é medida pela sua rede de contato e pelos seus resultados financeiros. Se conhece muita gente e bate meta de venda, o cara é bom.

Cabe uma nota de que nenhum dos sistemas acima é livre de falhas. Certamente todos conhecemos pessoas que tem certificados profissionais pois tem facilidade de responder provas, ou que tem muito conhecimento teórico e pouca prática. Ou professores universitários com milhares de títulos e pouca, ou nenhuma, didática.

Mas, e na área de segurança? Já presenciei muitíssimas vezes discussões aonde o título de "hacker" é atrelado a coisas como...
  • O número de CVEs descobertos (isto é, vulnerabilidades encontradas pelo profissional)
  • O ranking em sites de defacement
  • Número de artigos e apresentações em eventos
  • Número de projetos open source que contribui
A lista acima está, intencionalmente, colocada na ordem do argumento mais frequente (CVEs) para os mais raros (projetos Open Source).

Na "cultura hacker", vale o princípio da meritocracia, aonde as pessoas são reconhecidas naturalmente pelo que fazem e, em muitos casos, pelo que contribuem com a comunidade. É o conhecido princípio do...
"talk is cheap; show me the code"
O primeiro problema nesta história toda, na minha opinião, é que qualquer forma de conhecimento é difícil de ser medida.

Além disso, o principal aspecto é que o conceito de "hacker" é muito amplo, portanto, não é possível criar uma única forma de medir algo que é tão diversificado. Uma pessoa pode ser um "hacker" expecialista em hardware hacking, criando diversos equipamentos e ferramentas, sem nunca ter descoberto uma vulnerabilidade que virou CVE. Ou pode ser um desenvolvedor - e mesmo assim ser hacker.

Afinal, "ser hacker" é mais do que um título. Ser hacker é um comportamento, é uma cultura, é uma forma de vida. É ter interesse em aprender constantemente (e, preferencialmente, compartilhar o conhecimento), testando incansavelmente os limites e buscando criar coisas novas.

Como medir isso? Eu, particularmente, acho isso impossível. Mas, se você é apaixonado pelo que faz, está sempre tentando criar coisas novas e, principalmente, compartilha o seu conhecimento, facilmente será reconhecido pelos seus colegas de profissão.


Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.