junho 13, 2012

[Segurança] Profissão: Desenvolvedor de Código Malicioso

Depois que o New York Times revelou que os governos americano e israelense foram os responsáveis pela criação do super-mega-vírus-destruidor-de-usina-nuclear Stuxnet, ficou definitivamente comprovado que o uso de códigos maliciosos por governos e agências de inteligência contra outros governos já é uma realidade - o que a mídia adora chamar de armas cibernética (cyber weapons).

Logo surgiu o questionamento: já que existem desenvolveres de códigos maliciosos trabalhando para os governos, como alguém colocaria isso em seu currículo?

A pergunta é interessante, principalmente se pensarmos que até o momento, desenvolver códigos maliciosos, trojans e vírus era uma tarefa restrita aos ciber criminosos - e, portanto, não constituía uma "profissão" que pudesse ser reconhecida pelo mercado. Mas, se há esta demanda em alguns órgãos de governo em algumas partes do mundo, certamente uma série de empresas que prestam serviços para estes governos também vão começar a oferecer isto (desenvolvimento de malwares) também. Afinal, se a empresa XYZ já vende mísseis nucleares ou aviões de guerra, o custo para criar uma divisão interna de ciber guerra e vender "ciber armas" seria irrisório (ainda mais se comparado ao custo e ao tempo necessários para desenvolver, por exemplo, um novo míssil ou um novo avião).

No mercado de Segurança da Informação, a única demanda que existia até agora era para analistas de códigos maliciosos, ou seja, pessoas que fazem o contrário: analisam como um malware existente funciona para descobrir como se proteger contra ele. Estes profissionais normalmente trabalham em fabricantes de anti-vírus ou mesmo em alguns bancos, que são dedicados a descobrir novos vírus e pesquisar como eles funcionam, para assim criar uma vacina, combater a infecção ou identificar o ciber criminoso responsável pelo golpe.

Há outros aspectos interessantes desta "profissão": normalmente quem trabalha com isso está envolvido em algum tipo de projeto ultra-secreto do governo, logo não poderia, sob hipótese alguma, dizer que trabalha com isso. Logo, o pessoal de RH vai ficar doido tentando achar esse tipo de profissional. E, se achar alguém, provavelmente será através de um candidato que mentiu no CV, não será qualificado e não terá a real experiência desejada. Além do mais, como este tipo de trabalho envolve espionagem e conflito entre países, eventualmente o próprio analista que se expor publicamente pode ser alvo de ameaças, como um ataque terrorista ou assassinato por algum agente de um governo inimigo. Estou sendo paranóico? Não muito, se considerarmos que dois especialistas do governo iraniano sofreram atentado quando o Stuxnet surgiu.

Ou seja, se você quer trabalhar na área ou já trabalha, pode ser perigoso (ou proibido) divulgar o que você faz. Uma mudança de emprego provavelmente só vai acontecer através de indicações e relacionamento, e não colocando o seu CV em um site por aí. Mas, se mesmo assim, você quiser colocar isto em seu CV, tente ser discreto. Que tal pensar em algo como...
Empresa XYZ: Desenvolvedor Senior de Ferramentas de Segurança - Trabalhei na divisão de pesquisa, responsável pela análise e desenvolvimento de ferramentas especializadas de segurança destinadas a garantir o acesso seguro a ambientes remotos. Criamos ferramentas que permitiram a empresa economizar milhões de dólares evitando o uso de meios tradicionais de acesso físico.

A reportagem do NYT foi baseada nas revelações do livro “Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power”, lançado recentemente, que em um dos capítulos detalha como os EUA e Israel criaram o projeto "Olympic Games" na época do governo Bush, com o objetivo de retardar o desenvolvimento nuclear do Irã (e, ao mesmo tempo, deixar os israelenses distraídos com a possibilidade de um ciber ataque em vez de resolverem bombardear as instalações iranianas).

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.