Executando verificação de segurança...
Em resposta a [Não disponível]
1
Silva97

Bom cara, sou obrigado a corrigir a impressão errada que você passou da área. Nada pessoal direcionado à você, tá? Mas a partir do momento que você decidiu escrever isso em um local público já não é mais algo "pessoal".

O primeiro grande obstáculo foi o reconhecimento do valor do trabalho de um hacker ético. Muitas vezes, ao descobrir falhas de segurança graves em empresas brasileiras e tentar reportá-las, fui tratado mais como um criminoso do que como alguém tentando ajudar. Essa falta de compreensão sobre o que é um hacker do bem e o papel crucial que desempenhamos na segurança digital foi desanimadora.

No caso, quem não compreendeu o papel de um profissional de segurança (quem você chamou de "hacker do bem") foi você. Porque não existe esse "trabalho" de sair procurando vulnerabilidade em site aleatório na internet, nunca existiu nem nunca vai existir.

Essa espécie de folclore brasileiro surge em grupos de procedência duvidosa (eufemismo para não ofender ninguém) consistido por gente que não faz a menor ideia como é a área de segurança, pois nunca trabalhou nela.

Para acreditar que uma profissão seria uma "bagunça" dessas, tem que ser muito inocente. Trabalho de verdade na área de segurança é como em qualquer outra área: tem funcionários CLT e tem empresas que prestam serviço na área, com contrato pré-arcodado e tudo mais.

Imagina só a situação: de noite um jardineiro maluco invade o quintal da sua casa e corta sua grama. De manhã ele bate na sua porta te "cobrando" pelo serviço que VOCÊ NÃO SOLICITOU. Você pagaria ou chamaria a polícia?

Não tem nada de "ético" em fazer um serviço não solicitado e ter a coragem de cobrar por ele... E pior ainda sair por aí reclamando porque não pagaram. Cadê a ética nisso?

Outra questão perturbadora foi a frequência com que as empresas decidiam não pagar pelo trabalho realizado. Mesmo após dedicar horas para encontrar vulnerabilidades críticas e ajudar a corrigi-las, muitas vezes, o pagamento prometido simplesmente evaporava. Sem a formalidade de um contrato, porque eu não operava como uma empresa, estava à mercê da "boa fé" das empresas, que, infelizmente, muitas vezes se mostrava inexistente.

Supondo que seja verdade, uma vez que o ponto anterior me faz duvidar seriamente se você realmente prestou serviço na área de segurança ou apenas acredita que prestou...

Mas se for verdade, isso não aconteceria se você trabalhasse do jeito certo. Trabalhar desta forma, quer você tenha percebido ou não, é sonegar imposto. Bem, se você não segue a lei então não espere que seu cliente siga... Um cliente que está disposto a aceitar um serviço à margem da lei desta forma, com certeza não é um cliente confiável que vai seguir a lei e te pagar direitinho.

A busca por oportunidades de trabalho formais na área de cibersegurança no Brasil revelou um cenário de precariedade. A maioria das ofertas era de trabalhos avulsos, com remuneração incerta e sem estabilidade. Essa instabilidade profissional dificultava ver uma carreira de longo prazo na cibersegurança dentro do país.

Isso não reflete a realidade da área de segurança no Brasil. Você procurou por vagas no LinkedIn? Viu vagas abertas em empresas sérias?

Provavelmente não, provavelmente você viu "ofertas" nos grupos duvidosos que você frequenta. Faz do jeito certo que você verá que não tem nada de "precário" na área.

Inclusive profissional bom de segurança tá em falta no Brasil, então oportunidade é o que não falta.

Apesar dos desafios, plataformas internacionais como a HackerOne foram um ponto de virada. Oferecendo um ambiente seguro e respeitoso para reportar vulnerabilidades, além de uma remuneração justa e em dólar, estas plataformas provaram ser um refúgio e uma fonte de renda estável.

Um pouco estranho seu relato, porque não há nada de "renda estável" em bug bounty... Mesmo os melhores não vão afirmar pra você que é uma coisa "estável". Tem muito problema de report duplicado, muita concorrência. E você só ganha pelos reports que foram aceitos e passaram por toda a triagem. Além disso, nem todo mês você vai achar alguma coisa.

Em um mês você pode "estourar" e ganhar 5 mil dólares, e nos próximos 2 meses só conseguir um report de 150 dólares.

Não vejo como alguém que realmente faz bug bounty regurlarmente poderia chamar de isso de "renda estável". Não faz sentido.

Carregando publicação patrocinada...
1
marianeconta123

Silva, entendo o seu posicionamento e do Marcos, onde concordo com vcs dois, em partes.

Trabalho com Security e Privacy em empresa de grande porte e posso te afirmar que sim, a atuação de profissionais de segurança independentes, que de forma ética reportam as vulnerabilidades encontradas, ajudam e muito as equipes internas.

Apesar de ter mesmo muita empresa que tenta usufruir sem remunerar (já escutei diversos casos, ondevtrabalho oelo menos, não atuamos assim), acredito que plataformas como a bughunt cada vez mais vêm sendo utilizadas pelas empresas, pois a legislação brasileira vem cada vez mais obrigando as empresas a se adequarem e investirem na segurança de seus dados, como a LGPD e MCI.

abs
Mari

0
Silva97
Autor
Autor

Pois como alguém da área, você deveria saber melhor que qualquer um que bug bounty NÃO É (repito: NÃO É) o que o Marcos descreveu. Isso de sair procurando vulnerabilidade em site aleatório na internet NÃO é a mesma coisa que bug bounty (feito em plataformas como HackerOne, BugHunt etc.). Não é.

Vou repetir de novo para garantir que fui compreendido: não é a mesma coisa!

Bug bounty são programas criados pelas empresas que estipulam regras, escopos etc. e pré-autoriza que profissionais (seguindo as regras) façam análise de vulnerabilidades nas plataformas (e não, bug bounty não é pentest).

Bem, e talvez você esteja se perguntando: por que é diferente?

Por dois motivos:

  1. A empresa concordou com isso, afinal ela criou o programa de bug bounty.
  2. A empresa tem estrutura para lidar com isso.

Entenda, colega: empresas que abrem programas de bug bounty já tem um certo nível de maturidade de segurança. Já fazem pentest regularmente, tem SOC, CSIRT, red team/blue team etc.

Não é uma empresa aleatória qualquer que nem sabe o que é segurança da informação. Quem faz isso de sair procurando vulnerabilidade em site aleatório é gente sem noção, procurando por grana fácil. Porque sabem que é fácil encontrar vulnerabilidades em sites aleatórios na internet. É moleza, mamão com açucar. Por isso gostam de fazer isso, pra alimentar o ego e mentirem para eles mesmos que são "hackers" ou "profissionais de segurança".

Bem diferente de programas de bug bounty públicos onde a empresa tem um nível de maturidade de segurança alto. Inclusive é o que eu sugiro quando perguntam para mim: a empresa não pode abrir programa de bug bounty sem, antes, ter um time de segurança competente.

0
marianeconta123

muitos programas de SI são criados a partir de plataformas como a que descrevi, então não são a mesma, óbvio, mas se complementam.

só a dica que eu do para quem quer entrar na área como profissional independente, é se cadastrar nestas plataformas de bug bounty, fazer os reportes, e montar um portfólio atualizado (mantendo o sigilo e a confidencialidade dos casos sempre, claro), para caso queira trabalhar algum dia como CLT e for necessário demonstrar suas experiências, ou até mesmo para trabalhar com contrato fixo em alguma(s) empresa.

abs

1
Silva97
Autor
Autor

Nossa, eu tentei ser o mais claro possível e mesmo assim você não entendeu o que eu escrevi. Não tem problema, eu repito:

A questão é que o carinha falou sobre reportar vulnerabilidade em empresas que não tem programa nenhum. Esse é o problema, é um "trabalho" não solicitado, não aprovado.

Isso é ilegal. Então por gentileza, para de falar como se fosse um jeito normal de "trabalho independente" na área.

Leia essa lei aqui antes de repetir isso: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm

-1
marquinhos

Que isso, Calabreso? kk

Sobre a Falta de Compreensão e Reconhecimento

Minha posição original: Destaquei as dificuldades enfrentadas ao reportar vulnerabilidades, muitas vezes sendo tratado mais como um adversário do que como um aliado pelas empresas.

Seu argumento: Você sugeriu que buscar vulnerabilidades sem solicitação não constitui um trabalho legítimo, o que eu compreendo ser uma interpretação comum, mas não reflete a totalidade das minhas intenções.

Minha resposta: Minha intenção era ressaltar a desvalorização dos esforços éticos e construtivos na área da cibersegurança. Existe uma linha tênue entre a invasão não solicitada e o reporte ético de vulnerabilidades. Programas de bug bounty, por exemplo, são reconhecidos mundialmente por incentivarem a segurança proativa, um ponto que acredito ter sido mal interpretado no meu texto.

Sobre os Problemas com Pagamento e Formalidade do Trabalho

Minha posição original: Compartilhei experiências pessoais sobre a falta de formalidade em acordos de trabalho, que muitas vezes resultaram em falta de pagamento por serviços prestados.

Seu argumento: Você indicou que operar sem um contrato formal equivale a uma prática antiética, questionando a expectativa de compensação.

Minha resposta: Aqui, o foco era destacar a informalidade e a precariedade nas relações de trabalho dentro do setor de cibersegurança no Brasil, e não uma escolha pessoal por operar à margem da formalidade. Este ponto reflete a necessidade de estruturação e reconhecimento formal dessas atividades profissionais, garantindo direitos e deveres claros para ambas as partes.

Sobre a Percepção de Precariedade nas Oportunidades de Trabalho

Minha posição original: Abordei como a busca por oportunidades revelou um cenário desafiador, com poucas ofertas de trabalho estáveis e bem remuneradas.

Seu argumento: Você argumenta que minha visão não captura a totalidade do mercado e que uma pesquisa mais ampla poderia revelar melhores oportunidades.

Minha resposta: Respeito sua perspectiva, mas gostaria de reiterar que minhas observações são baseadas em experiências pessoais e de colegas na área. A variabilidade de oportunidades, influenciada por diversos fatores, não invalida as dificuldades encontradas. Este ponto visa destacar a necessidade de mais acessibilidade e transparência no mercado de cibersegurança.

Sobre a Renda Estável em Plataformas Internacionais

Minha posição original: Mencionei como plataformas internacionais de bug bounty ofereceram uma alternativa mais estável comparada ao mercado local, apesar de suas próprias incertezas.

Seu argumento: Você aponta que o bug bounty não oferece a estabilidade de uma renda tradicional, destacando a competitividade e a incerteza como desafios significativos.

Minha resposta: Concordo com suas observações sobre a natureza do bug bounty. O que eu quis destacar é que, frente aos desafios locais, estas plataformas representam uma oportunidade valiosa para muitos profissionais. Minha referência à estabilidade era relativa, comparando com as incertezas ainda maiores enfrentadas no mercado brasileiro.

-2
Silva97
Autor
Autor

Você distorceu bastante o que eu falei em vários pontos, colega. Mas vou responder por partes:

Seu argumento: Você sugeriu que buscar vulnerabilidades sem solicitação não constitui um trabalho legítimo, o que eu compreendo ser uma interpretação comum, mas não reflete a totalidade das minhas intenções.

Eu não "sugeri", eu afirmei. Não é e ponto final. Isso não é "minha opinião" ou "minha interpretação", é um fato. Para pra pensar por 0,0000001 segundos: se nem mesmo as empresas querem que tu faça isso, porque diabos alguém consideraria isso um "trabalho"? Irmão, não existe trabalho obrigatório. Trabalho de verdade é pré-arcodado por ambas as partes.

E mesmo que a empresa esteja interessada em fazer um pentest ou coisa do tipo, ela tem o direito de escolher quem vai fazer isso. E não deixar qualquer maluco aleatório na internet fazer o serviço. Grande "hacker ético" esse que não respeita os direitos das pessoas. Nem hacker, nem ético. 🤦

Vale mencionar que desde que o Brasil adotou a convenção de Budapeste, esta prática é ilegal também. Então não apenas é antiético, como também é uma infração da lei. Sim, você cometeu ou ainda está cometendo um crime.

Referência: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm

Minha resposta: Minha intenção era ressaltar a desvalorização dos esforços éticos e construtivos na área da cibersegurança. Existe uma linha tênue entre a invasão não solicitada e o reporte ético de vulnerabilidades. Programas de bug bounty, por exemplo, são reconhecidos mundialmente por incentivarem a segurança proativa, um ponto que acredito ter sido mal interpretado no meu texto.

Não há nada de "esforço ético e construtivo" em sair procurando vulnerabilidade em site aleatório na internet. Gente que faz isso não faz para bancar o justiceiro, faz porque sabe que é fácil encontrar vulnerabilidades em sites aleatórios na internet.

Essas empresas não tem estrutura para pagar profissional de segurança, a maturidade de segurança delas é zero. Por isso que gente ruim em segurança da informação adora sair procurando falha em plataformas de empresas como essa: porque é fácil.

Que é exatamente o oposto da mentalidade de um hacker de verdade, que busca desafios e não moleza. Gente assim só serve pra sujar o nome dos verdadeiros profissionais de segurança (que, vale mencionar, não é sinônimo de "hacker". São duas coisas diferentes).

Ninguém nunca vai ver um profissional de verdade fazendo isso. Pelo contrário, profissional de verdade da área vai falar para os outros não fazerem isso. Até porque, como eu já falei, agora isso é ilegal no Brasil (mas não só por isso).

Seu argumento: Você indicou que operar sem um contrato formal equivale a uma prática antiética, questionando a expectativa de compensação.

Não, em momento algum eu disse que era "antiético". Eu disse que era sonegar imposto, que é ilegal. Lei e ética não são sinônimos. Se você é antiético as pessoas não gostam de você, se você infrige a lei a justiça te prende ou te multa. Entendeu a diferença?

[...]Este ponto reflete a necessidade de estruturação e reconhecimento formal dessas atividades profissionais, garantindo direitos e deveres claros para ambas as partes.

Esse é o problema do seu "relato", não reflete em nada a realidade da situação da área no Brasil. Já existe essa estruturação e reconhecimento formal dessas atividades profissionais. Você não sabe disso porque tá se envolvendo com as pessoas erradas, cara. Sai desses grupos que você frequenta e começa a conhecer gente séria da área.

Só porque uma pessoa diz que é da área de segurança não quer dizer que realmente seja. Já cansei de ver gente se autointitulando "pesquisador de segurança", "pentester" ou coisa do tipo sem nunca ter trabalhado de verdade na área.

E mais cuidado ainda com quem se autointitula "hacker". Sugiro ler isso daqui, que reflete bem o que é um hacker de verdade: http://www.catb.org/~esr/faqs/hacker-howto.html

Sobre a Percepção de Precariedade nas Oportunidades de Trabalho

Minha posição original: Abordei como a busca por oportunidades revelou um cenário desafiador, com poucas ofertas de trabalho estáveis e bem remuneradas.

Seu argumento: Você argumenta que minha visão não captura a totalidade do mercado e que uma pesquisa mais ampla poderia revelar melhores oportunidades.

Minha resposta: Respeito sua perspectiva, mas gostaria de reiterar que minhas observações são baseadas em experiências pessoais e de colegas na área. A variabilidade de oportunidades, influenciada por diversos fatores, não invalida as dificuldades encontradas. Este ponto visa destacar a necessidade de mais acessibilidade e transparência no mercado de cibersegurança.

Você mudou completamente o que foi dito aqui. O que eu realmente estava respondendo era isso daqui:

A busca por oportunidades de trabalho formais na área de cibersegurança no Brasil revelou um cenário de precariedade. A maioria das ofertas era de trabalhos avulsos, com remuneração incerta e sem estabilidade. Essa instabilidade profissional dificultava ver uma carreira de longo prazo na cibersegurança dentro do país.

Você disse que:

  • A área de cibersegurança no Brasil é um cenário precário. Isso não é verdade.
  • A maioria das ofertas é de trabalhos avulsos e remuneração incerta. Isso não reflete a realidade da área no Brasil.
  • E também falou sobre "instalibilidade profissional", o que também não reflete a realidade da área.
-1
marquinhos

Agradeço seu tempo e esforço para responder ao meu artigo. Valorizo a oportunidade de trocar ideias e compreender diferentes perspectivas sobre a cibersegurança no Brasil. Entendo que nossas experiências na área possam variar, o que enriquece ainda mais essa conversa. Permita-me esclarecer alguns pontos mencionados em sua resposta:

Sobre a Busca por Vulnerabilidades Não Solicitadas: Concordo que a abordagem não solicitada pode gerar mal-entendidos e potenciais conflitos legais. No entanto, é importante diferenciar entre práticas predatórias e esforços para melhorar a segurança digital de forma ética. Programas de bug bounty, como mencionado, criam um canal legítimo e estruturado para que profissionais de segurança contribuam positivamente. Estes programas são reconhecidos e incentivados por organizações em todo o mundo, demonstrando a valorização de tais contribuições na melhoria da segurança cibernética.

Sobre a Operação sem Contrato Formal: Meu relato buscava destacar as dificuldades enfrentadas por profissionais independentes em um mercado ainda amadurecendo. Não é uma defesa de práticas ilegais ou antiéticas, mas um apelo por maior reconhecimento e estruturação das atividades de segurança cibernética no Brasil. A necessidade de formalização e garantias legais é indiscutível, e meu objetivo é chamar atenção para a importância de evoluir as práticas e legislações atuais para acomodar e incentivar o trabalho ético na área. (exemplo: encontrei uma vulnerabilidade por acaso em um sistema e perguntei da empresa se tinham um canal específico para esse tipo de caso, não tinha)

Sobre a Realidade do Mercado de Cibersegurança no Brasil: Respeito sua perspectiva sobre a existência de oportunidades e a estruturação da área de segurança no Brasil. No entanto, as experiências variam, e a minha intenção era compartilhar os desafios que encontrei, que, infelizmente, não são isolados. A discussão sobre as dificuldades enfrentadas por profissionais da área pode ser um catalisador para mudanças positivas, promovendo um mercado mais inclusivo e diversificado.

Encerro reiterando meu respeito por suas opiniões e agradecendo pela discussão produtiva. Estou aberto a continuar essa conversa, pode ser um bate-papo no discord ou meet da vida, buscando sempre o aprimoramento da cibersegurança. Sua experiência e conhecimento são valiosos, e acredito que, através do diálogo, podemos contribuir juntos para o fortalecimento da nossa área. vlww

-2
Silva97
Autor
Autor

Com todo o respeito mas você permanece distorcendo o que eu estou falando. Eu reconheci aqui pelo menos umas 5 vezes a legitimidade do bug bounty, inclusive falei abertamente que não seria uma "renda estável".

Então você sabe que quando eu proferi aquela crítica, eu não estava falando de bug bounty. Você sabe disso.

E vale dizer que isso não é meramente uma prática que "causa mal entendido" mas, inclusive, um crime desde Abril do ano passado (sim, é recente. Porém não deixa de ser crime). Além de ser totalmente antiético e mal caratismo mesmo antes de ser crime no Brasil (e já era crime em outros países há pelo menos uma década).

Aqui a lei para você ler: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm

A necessidade de formalização e garantias legais é indiscutível, e meu objetivo é chamar atenção para a importância de evoluir as práticas e legislações atuais para acomodar e incentivar o trabalho ético na área.

Engraçado você falar isso ao mesmo tempo que ignora completamente a lei que eu voltei a mencionar acima.

E você sabe que todo mundo vai concordar com essa frase e por isso a escreveu assim, mas ela é uma distorção do que você disse originalmente, que foi:

Minha resposta: Aqui, o foco era destacar a informalidade e a precariedade nas relações de trabalho dentro do setor de cibersegurança no Brasil, e não uma escolha pessoal por operar à margem da formalidade. Este ponto reflete a necessidade de estruturação e reconhecimento formal dessas atividades profissionais, garantindo direitos e deveres claros para ambas as partes.

O que você disse aqui insinua com todas as letras que a área tem relações de trabalho "informais" e "precárias", o que é mentira. E você também insinua, ao dizer que existe essa necessidade, que hoje não existe estruturação e reconhecimento formal das atividades profissionais na área. O que também é mentira.

Que isso é importante, ninguém discorda. Você não vai ver eu discordando disso. O problema é que você insinuou que isso não existe hoje, quando já existe há quase duas décadas...

Por gentileza, para com essa desonestidade intelectual de ficar distorcendo o que foi dito.

-1
-3
GkIgor

Tá cagando regra parceiro. Responda pra mim, qual o problema de alguém da área fazer um teste e reportar pra empresa?
"Ain, mas é ilegal" e daí? observe a situação, temos um hacker ético sem nenhuma má intenção relatando uma falha que ele encontrou por estar entediado em casa em uma tarde de domingo.
Percebe a gravidade da situação? E se fosse um Cracker que estivesse dedicado a achar a qualquer custo uma falha nessa empresa pra fazer coisas ilícitas de verdade?

1
Silva97
Autor
Autor

Primeiro que ninguém da área faz isso, ninguém.

Segundo que o problema é que essas empresas não tem estrutura para lidar com isso, não tem profissionais qualificados para receberem o report e lidarem com a situação e não tem maturidade de segurança para ter um mínimo de qualidade neste quesito. Logo é como um boxeador adulto lutando contra uma criança de 8 anos, ele pode alegar que tá fazendo isso para "ajudá-la" a se defender mas todos sabemos que o real motivo é que ele não dá conta de lutar contra outros adultos e só enfrenta criancinhas que ele sabe que vai ganhar.

Mesmo que não seja uma criança, imagina só um maluco aleatório te chamando pra "briga" com suposta boa intenção de te ensinar defesa pessoal à força. E no final, depois que ele arrebentar sua cara, ele ainda cobra pela aula dada... Você chamaria esse ser humano de "lutador ético"?

O mundo real não é como nos filmes.