segunda-feira, 5 de setembro de 2016

Hackeie Esse Site!

"Hackeie esse Site"
Essa é a premissa por trás do hackthissite.org (HTS), que disponibiliza um ambiente onde o "aspirante a hacker" pode testar suas habilidades e ser guiado a aprender técnicas e tecnologias usadas para burlar sistemas de controle de conteúdo, bancos de dados e explorar falhas presentes em quase todo tipo de serviço ou produto de tecnologia.

Já tinha uma curiosidade de descobrir como hackers e crackers fazem sua "mágica" mesmo antes de iniciar minha graduação na área de TI. E o interesse só cresceu enquanto fui aprendendo sobre como computadores funcionam. Mas mesmo com inúmeros materiais disponíveis na web (e mais de uma dúzia ebooks no leitor digital que carrego comigo quase todo dia), nenhum material havia capturado minha atenção a ponto de que eu conseguisse ler até o fim.

Para se aprender a hackear, é necessário ter o que hackear. E existem distruibuições que permitem montar um laboratório para ser hackeado. Mas...

Quem tem tempo para "montar um laboratório", né?
Aí entra o HTS, tudo que você precisa fazer é criar uma conta no site e pronto, as missões já estão disponíveis. E separadas por nível de dificuldade. Existe também o um forum onde as pessoas discutem as missões e dão mais algumas dicas sobre como resolver os problemas (sem dar a resposta, é claro, a graça do site é desvendar os quebra cabeças).

Os missões estão divididas em 10 seções, que vão de manipulações básicas de HTML à aplicação de técnicas forenses de investigação digital (passando por missões de engenharia reversa, programação e esteganografia).

O site tem desafios que são apresentados de forma contextualizada, gerando situações que suponho serem semelhantes as que ethical hackers encontram. Por exemplo: uma empresa fabrica roupas com peles de animais e um ativista quer conseguir os emails de todos os compradores para fazer uma campanha contra o abuso de animais. Ou executivo de uma empresa responsável por um desastre ambiental está subornando a mídia para encobrir o acontecido, e um conhecido lhe pede para invadir a caixa de email dele e conseguir provas disso. Ok, algumas missões são um tanto caricatas, mas ajudam a contextualizar os desafios técnicos e mostram como hackers não precisam ser necessariamente os vilões da história.



Ainda estou na metade das missões realistas (segunda sessão das dez disponíveis), e já aprendi um pouco sobre Injeções SQL, vulnerabilidades de Cookies, falhas de diretórios transversais, Server Side Includes em PHP, falhas de permissão de acesso com arquivos .htaccess, falhas de listagem de diretório no Apache, e como usar de comandos básicos shell do linux para "exploitar" (explorar) falhas de implementação nos sites das missões.

O único ponto fraco que encontrei até agora foi o fato de tudo estar em inglês. O que pode ser mais uma "barreira de entrada" para quem almeja esse tipo de conhecimento. Mas nem chega a ser uma surpresa, alguém da área de TI não tem como fungir de ter pelo menos o conhecimento suficiente para ler em inglês. Boa parte da documentação, tutoriais e guias são publicados primeiro em inglês, as vezes só em inglês.

Nota:
Acredito ser importante montar seu próprio laboratório, saber como criar máquinas virtuais, redes virtuais, conhecer os OSs para o aprendizado de técnicas de Segurança da Informação, conhecer as ferramentas usadas pela comunidade. Cada uma dessas coisa é uma curva de aprendizado própria, ao invés de substituir essas coisas o que o Hack This Site faz é tornar mais fácil que alguém adquira os conhecimentos básicos da área sem ter que aprender essas coisa todas antes. O que é um incentivo válido.
Ah, "Profissional Segurança da Informação" é o nome bonito que deram para as pessoas que são pagas para hackear sites, programas, empresas e sistemas com o objetivo de identificar as vulnerabilidades e corrigi-las.