A ÉTICA NO CENÁRIO DE PENTESTS.

Ciências Exatas e da Terra, Ciências Sociais Aplicadas, Volume 28 - Edição 137/AGO 2024 / 28/08/2024

REGISTRO DOI: 10.69849/revistaft/ar10202408212215

Livia Pires dos Santos Di Onofre1;
Carla Alessandra Ramos Silva Aguiar2.

RESUMO

Com o aumento constante de notícias sobre ataques cibernéticos, cresce também o interesse pelo tema, especialmente em relação às medidas de proteção de dados. Alguns indivíduos tentam alertar as empresas sobre possíveis roubos e vazamentos, mas de forma ilícita. Esses ataques, comumente perpetrados por pessoas conhecidas como hackers, deixam as organizações vulneráveis. Como resposta, muitas empresas têm investido em pentest — testes de segurança que simulam ataques em uma infraestrutura para identificar e evidenciar vulnerabilidades em sistemas e redes. Pentesters, os profissionais responsáveis por esses testes, estão cada vez mais demandados globalmente, principalmente devido ao aumento de ataques maliciosos. Nesse contexto, a ética dos hackers que atuam anonimamente é frequentemente questionada, uma vez que se apropriam de informações sensíveis. O presente estudo busca compreender o papel das empresas na proteção dos dados que armazenam e a ética envolvida na prática de pentest em um ambiente controlado.

Palavras-chave: Pentest, ciberataque, hacker, ética.

ABSTRACT

With the constant increase in news about cyber attacks, interest in the topic is also growing, especially in relation to data protection measures. Some individuals try to alert companies about possible thefts and leaks, but illegally. These attacks, commonly carried out by people known as hackers, leave organizations vulnerable. In response, many companies have invested in pentesting — security tests that simulate attacks on an infrastructure to identify and highlight vulnerabilities in systems and networks. Pentesters, the professionals responsible for these tests, are increasingly in demand globally, mainly due to the increase in malicious attacks. In this context, the ethics of hackers who act anonymously are often questioned, as they appropriate sensitive information. The purpose of the present study is therefore to understand the role of companies in protecting the data they store and the ethics involved in the practice of pentesting in a controlled environment.

Key words: Pentest, cyberattack, hacker, ethic.

INTRODUÇÃO

O avanço da tecnologia vem com grandes responsabilidades para aqueles que proporcionam acesso a ela. O uso da internet aumenta a cada ano; o Brasil se encontra em 5º lugar no ranking mundial de usuários segundo um estudo divulgado pela plataforma de desconto cupomvalido.com.br com dados da Statista, plataforma alemã dedicada à coleta e visualização de dados.

A preocupação com a segurança online levou à criação de medidas protecionistas, como o Marco Civil da Internet, de 2014, e a Lei Geral de Proteção de Dados (LGPD), sancionada em 2018, ainda que o “boom” da internet no mundo tenha acontecido na década de 90, tendo chegado ao Brasil em 1988. Apesar dessas regulamentações, a busca por burlar sistemas e acessar dados sensíveis continua a crescer. Nesse contexto, os ataques cibernéticos, realizados muitas vezes por hackers, têm se tornado uma ameaça constante para as organizações, comprometendo a segurança e a integridade dos dados.

Para mitigar essas ameaças, as empresas têm investido em testes de segurança, conhecidos como pentests (testes de penetração), que simulam ataques reais para identificar e corrigir vulnerabilidades em sistemas e redes. Esses testes são realizados por pentesters, profissionais especializados que utilizam técnicas avançadas para avaliar a resiliência das infraestruturas de segurança.

No entanto, a prática de pentest levanta questões éticas significativas. Um estudo realizado pelo Instituto Locomotiva revelou uma disparidade de opiniões sobre o que constitui um ato ético. Enquanto 66% da população brasileira adota uma postura rígida, semelhante à de Immanuel Kant, que defende o cumprimento da lei como um dever moral, os outros 34% têm uma abordagem mais flexível, baseada nas consequências de suas ações. Essa divisão reflete a complexidade das questões éticas envolvidas na segurança cibernética, especialmente quando a detecção dos autores dos ataques é dificultada, alimentando uma sensação de impunidade.

Este estudo visa explorar a interseção entre as responsabilidades das empresas na proteção de seus dados e a ética envolvida na prática de pentests em um ambiente controlado. A análise busca esclarecer como essas práticas podem contribuir para a segurança cibernética e como as organizações podem se preparar melhor para enfrentar ameaças emergentes.

MATERIAL E MÉTODOS

O método escolhido para este artigo foi a pesquisa qualitativa, que se caracteriza pela exploração profunda e interpretativa dos dados coletados. Essa abordagem permite uma compreensão mais rica e detalhada dos fenômenos em estudo, especialmente no contexto da segurança cibernética e da ética em testes de segurança. A pesquisa qualitativa foi composta pela reunião e análise de uma variedade de fontes, incluindo artigos acadêmicos, estudos de caso, reportagens, sites especializados, além de plataformas e bancos de dados que fornecem informações atualizadas e pertinentes ao tema. Esse método foi selecionado por sua capacidade de captar nuances e complexidades que métodos quantitativos poderiam não abordar com a mesma profundidade.

Conforme observado por Severino (1984), a utilização de múltiplas fontes de informação confere maior objetividade e credibilidade às afirmações do autor, ao possibilitar a triangulação de dados e a validação dos achados por meio de diferentes perspectivas. Esse processo de coleta e análise foi guiado por critérios rigorosos de relevância e confiabilidade, assegurando que as informações reunidas fossem de alta qualidade e diretamente aplicáveis aos objetivos do estudo.

Além da coleta de dados secundários, o estudo utilizou a análise documental, examinando textos normativos, regulamentações, e diretrizes éticas, como o Marco Civil da Internet e a LGPD, para contextualizar a prática do pentest no cenário legal e normativo atual. A revisão literária incluiu obras de autores renomados no campo da ética e segurança cibernética, buscando fundamentar teoricamente as discussões sobre a moralidade das práticas de testes de intrusão e o papel dos profissionais envolvidos.

A pesquisa também considerou o contexto histórico e sociológico das práticas de segurança cibernética, reconhecendo, como destaca Minayo (2014), que a compreensão de conceitos e operações não pode ser restrita a sua lógica interna, mas deve também considerar suas implicações históricas e sociais. Este entendimento ampliado permite que o estudo vá além das questões técnicas, explorando as dinâmicas éticas e sociais que influenciam a implementação de testes de segurança e a reação das empresas e da sociedade a esses métodos.

Dessa forma, o presente estudo busca expor e analisar de forma crítica o papel da ética no mundo da informática, com ênfase em um ambiente onde as informações são compartilhadas com rapidez e facilidade. O objetivo é compreender os principais desafios enfrentados por empresas e profissionais de segurança para proteger dados contra ataques cibernéticos ilícitos, considerando as implicações éticas dessas práticas. A análise crítica das práticas de pentest, à luz dos conceitos éticos e normativos, visa oferecer insights sobre como as empresas podem equilibrar a necessidade de segurança com a responsabilidade ética e legal.

RESULTADOS E DISCUSSÃO

Um estudo realizado pelo Check Point Research, centro de pesquisas da empresa Check Point, referência em segurança cibernética, revela um aumento de 1% nas tentativas de ataques cibernéticos no Brasil durante o primeiro trimestre de 2023 em comparação com o mesmo período de 2022. Embora esse aumento percentual possa parecer modesto, a pesquisa destaca uma tendência preocupante: a crescente sofisticação dos métodos utilizados por cibercriminosos. Entre as técnicas mais notáveis está o uso de inteligência artificial, como o Chat GPT, para criar scripts maliciosos destinados à obtenção ilícita de dados.

O estudo sublinha que a capacidade dos cibercriminosos de alavancar tecnologias avançadas, como IA, tem tornado os ataques mais difíceis de detectar e prevenir. Ferramentas como o Chat GPT permitem a automatização de processos que antes exigiam habilidades técnicas avançadas, tornando as técnicas de engenharia social mais convincentes e personalizadas. Essas ferramentas geram textos e scripts que podem facilmente enganar os usuários, levando-os a compartilhar informações sensíveis ou a executar ações prejudiciais sem perceberem.

Além disso, a pesquisa da Check Point ressalta que o uso de IA não se limita à criação de scripts maliciosos, mas também é empregado para automatizar ataques em larga escala, tornando as campanhas de phishing, ransomware e outros tipos de ataques cibernéticos mais eficazes e difíceis de combater. A capacidade de adaptação e a evolução contínua das técnicas utilizadas pelos cibercriminosos exigem que as estratégias de defesa cibernética também evoluam, adotando tecnologias igualmente avançadas para identificar e neutralizar essas ameaças.

Essas descobertas reforçam a importância de um investimento contínuo em segurança cibernética, incluindo a educação e treinamento dos usuários para reconhecer e evitar armadilhas digitais, bem como a implementação de ferramentas de detecção e resposta mais sofisticadas. O uso de tecnologias emergentes pelos criminosos sublinha a necessidade de estar sempre à frente no jogo de defesa cibernética, para proteger as informações sensíveis de indivíduos e organizações.

Segundo a Lei Nº 14.155, de 27 de maio de 2021 “A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.”, dessa forma, observa-se o decreto de uma lei que tem a pretensão de punir os responsáveis por ataques e roubos realizados com o auxílio de dispositivos cibernéticos, porém, a sensação de impunidade que um hacker tem ultrapassa essas barreiras, uma vez que existem diversas formas de transpor a detecção de seus atos.

Destarte, a confiança dos usuários em empresas que demonstram um compromisso sólido com a segurança da informação é significativamente maior, especialmente em um cenário onde vazamentos de dados podem ter consequências graves. Indivíduos conscientes da importância de proteger seus próprios dados tendem a escolher organizações que comprovadamente investem em segurança e demonstram conformidade com regulamentos como a LGPD, em vigor desde 2020.

O investimento adequado em cibersegurança, embora possa parecer elevado, é essencial para prevenir perdas financeiras substanciais e garantir a integridade dos dados. Além disso, a adesão às leis e regulamentações de proteção de dados não é apenas uma obrigação legal, mas também um reflexo do compromisso ético das empresas com a proteção das informações de seus clientes. Nesse contexto, o investimento em segurança cibernética não é apenas uma medida preventiva, mas também uma estratégia fundamental para construir e manter a confiança do público e a reputação da empresa.

CONCLUSÃO

Uma das formas de investimento em cibersegurança que vem crescendo é o pentest, um teste de penetração controlada realizado em conformidade com as necessidades específicas da empresa. Esse tipo de teste é projetado para identificar vulnerabilidades antes que possam ser exploradas por atacantes maliciosos, fortalecendo a infraestrutura de segurança da organização.

  • Conformidade com Regulamentos: O pentest é sempre conduzido em conformidade com as diretrizes da empresa e regulamentações aplicáveis, como a LGPD. Isso garante que todas as práticas realizadas durante o teste estejam alinhadas com os padrões éticos e legais vigentes.
  • Ética e Segurança: Embora existam especulações sobre a ética dos hackers envolvidos em cibersegurança, o pentest realizado em um ambiente controlado e seguro visa exclusivamente a proteção da empresa contra ataques futuros. A ética nesses testes é mantida quando os dados utilizados não são reais, evitando assim qualquer risco de exposição ou vazamento de informações sensíveis.
  • Simulações Realistas e Seguras: Os testes de penetração são cuidadosamente planejados e executados em ambientes que simulam a infraestrutura da empresa, mas sem afetar os sistemas de produção. Essa abordagem garante que a operação diária da empresa não seja interrompida e que os resultados obtidos sejam aplicáveis ao ambiente real.
  • Prevenção e Preparação: O objetivo principal do pentest é evitar que um ataque seja realizado com sucesso no futuro. Ao identificar e corrigir vulnerabilidades antecipadamente, a empresa se posiciona de maneira proativa, protegendo seus ativos e garantindo a confiança dos clientes.

Dessa forma, o pentest se destaca como uma ferramenta essencial no arsenal de cibersegurança das empresas, permitindo uma avaliação ética e eficaz da segurança dos sistemas sem comprometer a integridade dos dados ou as operações da organização.

REFERÊNCIAS BIBLIOGRÁFICAS

BARBOSA, Andressa. Brasil já é o 5º país com mais usuários de internet no mundo. 30 de outubro de 2022. Disponível em: https://forbes.com.br/forbes-tech/2022/10/brasil-ja-e-o-5o-pais-com-mais-usuarios-d e-internet-no-mundo/. Acesso em: 30 maio de 2023.

BRASIL. Lei No 12.965, DE 23 DE ABRIL DE 2014 – Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 05 junho de 2023.

BRASIL. Lei No 13.709, DE 14 DE AGOSTO 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasil: Secretaria-Geral, [2018]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 01 abril de 2023. CPR. About us. Disponível em: https://research.checkpoint.com/about-us/. Acesso em: 29 de mai. 2023.

BRASIL. Lei No 14.155, DE 27 DE MAIO 2021. Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 (Código Penal), para tornar mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet; e o Decreto-Lei no 3.689, de 3 de outubro de 1941 (Código de Processo Penal), para definir a competência em modalidades de estelionato. Brasil: Secretaria-Geral, [2021]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/l14155.htm. Acesso em: 01 abril de 2023.

CRYPTO ID. Brasil já é o 5º país com mais usuários de internet no mundo. 28 de abril de 2023. Disponível em: https://cryptoid.com.br/pesquisas-seguranca-da-informacao-e-ciberseguranca/brasil-teve-aumento-de-1-em-ataques-ciberneticos-no-primeiro-trimestre-de-2023/. Acesso em: 29 de maio de 2023.

DIAS, A. M.; SCHWARTSMAN, H. Maioria no Brasil valoriza mais intenção que resultado em questões éticas. 01 de abril de 2023. Disponível em: https://www1.folha.uol.com.br/ilustrissima/2023/04/maioria-no-brasil-valoriza-mais-i ntencao-que-resultado-em-questoes-eticas.shtml. Acesso em: 29 de maio 2023.

PINTO, Aloisa C. S. A MORAL KANTIANA ENQUANTO FUNDAMENTO DA ÉTICA: elemento para uma gestão pública eficiente. 13 de março de 2019. Disponível em: https://jus.com.br/artigos/72625/a-moral-kantiana-enquanto-fundamento-da-etica. Acesso em: 05 de junho de 2023.

1Graduanda, Análise e Desenvolvimento de Sistemas pela Faculdade de Tecnologia de Mogi das Cruzes FATEC – e-mail: livia.onofre@fatec.sp.gov.br.
2Docente, Faculdade de Tecnologia de Mogi das Cruzes – FATEC-MC.