Que isso, Calabreso? kk Sobre a Falta de Compreensão e Reconhecimento Minha posi · marquinhos

Respondendo a "Bom cara, sou obrigado a corrigir a impressão e..." dentro da publicação

Que isso, Calabreso? kk

Sobre a Falta de Compreensão e Reconhecimento

Minha posição original: Destaquei as dificuldades enfrentadas ao reportar vulnerabilidades, muitas vezes sendo tratado mais como um adversário do que como um aliado pelas empresas.

Seu argumento: Você sugeriu que buscar vulnerabilidades sem solicitação não constitui um trabalho legítimo, o que eu compreendo ser uma interpretação comum, mas não reflete a totalidade das minhas intenções.

Minha resposta: Minha intenção era ressaltar a desvalorização dos esforços éticos e construtivos na área da cibersegurança. Existe uma linha tênue entre a invasão não solicitada e o reporte ético de vulnerabilidades. Programas de bug bounty, por exemplo, são reconhecidos mundialmente por incentivarem a segurança proativa, um ponto que acredito ter sido mal interpretado no meu texto.

Sobre os Problemas com Pagamento e Formalidade do Trabalho

Minha posição original: Compartilhei experiências pessoais sobre a falta de formalidade em acordos de trabalho, que muitas vezes resultaram em falta de pagamento por serviços prestados.

Seu argumento: Você indicou que operar sem um contrato formal equivale a uma prática antiética, questionando a expectativa de compensação.

Minha resposta: Aqui, o foco era destacar a informalidade e a precariedade nas relações de trabalho dentro do setor de cibersegurança no Brasil, e não uma escolha pessoal por operar à margem da formalidade. Este ponto reflete a necessidade de estruturação e reconhecimento formal dessas atividades profissionais, garantindo direitos e deveres claros para ambas as partes.

Sobre a Percepção de Precariedade nas Oportunidades de Trabalho

Minha posição original: Abordei como a busca por oportunidades revelou um cenário desafiador, com poucas ofertas de trabalho estáveis e bem remuneradas.

Seu argumento: Você argumenta que minha visão não captura a totalidade do mercado e que uma pesquisa mais ampla poderia revelar melhores oportunidades.

Minha resposta: Respeito sua perspectiva, mas gostaria de reiterar que minhas observações são baseadas em experiências pessoais e de colegas na área. A variabilidade de oportunidades, influenciada por diversos fatores, não invalida as dificuldades encontradas. Este ponto visa destacar a necessidade de mais acessibilidade e transparência no mercado de cibersegurança.

Sobre a Renda Estável em Plataformas Internacionais

Minha posição original: Mencionei como plataformas internacionais de bug bounty ofereceram uma alternativa mais estável comparada ao mercado local, apesar de suas próprias incertezas.

Seu argumento: Você aponta que o bug bounty não oferece a estabilidade de uma renda tradicional, destacando a competitividade e a incerteza como desafios significativos.

Minha resposta: Concordo com suas observações sobre a natureza do bug bounty. O que eu quis destacar é que, frente aos desafios locais, estas plataformas representam uma oportunidade valiosa para muitos profissionais. Minha referência à estabilidade era relativa, comparando com as incertezas ainda maiores enfrentadas no mercado brasileiro.

Silva97

8 meses atrás

Você distorceu bastante o que eu falei em vários pontos, colega. Mas vou responder por partes:

Seu argumento: Você sugeriu que buscar vulnerabilidades sem solicitação não constitui um trabalho legítimo, o que eu compreendo ser uma interpretação comum, mas não reflete a totalidade das minhas intenções.

Eu não "sugeri", eu afirmei. Não é e ponto final. Isso não é "minha opinião" ou "minha interpretação", é um fato. Para pra pensar por 0,0000001 segundos: se nem mesmo as empresas querem que tu faça isso, porque diabos alguém consideraria isso um "trabalho"? Irmão, não existe trabalho obrigatório. Trabalho de verdade é pré-arcodado por ambas as partes.

E mesmo que a empresa esteja interessada em fazer um pentest ou coisa do tipo, ela tem o direito de escolher quem vai fazer isso. E não deixar qualquer maluco aleatório na internet fazer o serviço. Grande "hacker ético" esse que não respeita os direitos das pessoas. Nem hacker, nem ético. 🤦

Vale mencionar que desde que o Brasil adotou a convenção de Budapeste, esta prática é ilegal também. Então não apenas é antiético, como também é uma infração da lei. Sim, você cometeu ou ainda está cometendo um crime.

Referência: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm

Minha resposta: Minha intenção era ressaltar a desvalorização dos esforços éticos e construtivos na área da cibersegurança. Existe uma linha tênue entre a invasão não solicitada e o reporte ético de vulnerabilidades. Programas de bug bounty, por exemplo, são reconhecidos mundialmente por incentivarem a segurança proativa, um ponto que acredito ter sido mal interpretado no meu texto.

Não há nada de "esforço ético e construtivo" em sair procurando vulnerabilidade em site aleatório na internet. Gente que faz isso não faz para bancar o justiceiro, faz porque sabe que é fácil encontrar vulnerabilidades em sites aleatórios na internet.

Essas empresas não tem estrutura para pagar profissional de segurança, a maturidade de segurança delas é zero. Por isso que gente ruim em segurança da informação adora sair procurando falha em plataformas de empresas como essa: porque é fácil.

Que é exatamente o oposto da mentalidade de um hacker de verdade, que busca desafios e não moleza. Gente assim só serve pra sujar o nome dos verdadeiros profissionais de segurança (que, vale mencionar, não é sinônimo de "hacker". São duas coisas diferentes).

Ninguém nunca vai ver um profissional de verdade fazendo isso. Pelo contrário, profissional de verdade da área vai falar para os outros não fazerem isso. Até porque, como eu já falei, agora isso é ilegal no Brasil (mas não só por isso).

Seu argumento: Você indicou que operar sem um contrato formal equivale a uma prática antiética, questionando a expectativa de compensação.

Não, em momento algum eu disse que era "antiético". Eu disse que era sonegar imposto, que é ilegal. Lei e ética não são sinônimos. Se você é antiético as pessoas não gostam de você, se você infrige a lei a justiça te prende ou te multa. Entendeu a diferença?

[...]Este ponto reflete a necessidade de estruturação e reconhecimento formal dessas atividades profissionais, garantindo direitos e deveres claros para ambas as partes.

Esse é o problema do seu "relato", não reflete em nada a realidade da situação da área no Brasil. Já existe essa estruturação e reconhecimento formal dessas atividades profissionais. Você não sabe disso porque tá se envolvendo com as pessoas erradas, cara. Sai desses grupos que você frequenta e começa a conhecer gente séria da área.

Só porque uma pessoa diz que é da área de segurança não quer dizer que realmente seja. Já cansei de ver gente se autointitulando "pesquisador de segurança", "pentester" ou coisa do tipo sem nunca ter trabalhado de verdade na área.

E mais cuidado ainda com quem se autointitula "hacker". Sugiro ler isso daqui, que reflete bem o que é um hacker de verdade: http://www.catb.org/~esr/faqs/hacker-howto.html

Sobre a Percepção de Precariedade nas Oportunidades de Trabalho

Minha posição original: Abordei como a busca por oportunidades revelou um cenário desafiador, com poucas ofertas de trabalho estáveis e bem remuneradas.

Seu argumento: Você argumenta que minha visão não captura a totalidade do mercado e que uma pesquisa mais ampla poderia revelar melhores oportunidades.

Minha resposta: Respeito sua perspectiva, mas gostaria de reiterar que minhas observações são baseadas em experiências pessoais e de colegas na área. A variabilidade de oportunidades, influenciada por diversos fatores, não invalida as dificuldades encontradas. Este ponto visa destacar a necessidade de mais acessibilidade e transparência no mercado de cibersegurança.

Você mudou completamente o que foi dito aqui. O que eu realmente estava respondendo era isso daqui:

A busca por oportunidades de trabalho formais na área de cibersegurança no Brasil revelou um cenário de precariedade. A maioria das ofertas era de trabalhos avulsos, com remuneração incerta e sem estabilidade. Essa instabilidade profissional dificultava ver uma carreira de longo prazo na cibersegurança dentro do país.

Você disse que:

A área de cibersegurança no Brasil é um cenário precário. Isso não é verdade.
A maioria das ofertas é de trabalhos avulsos e remuneração incerta. Isso não reflete a realidade da área no Brasil.
E também falou sobre "instalibilidade profissional", o que também não reflete a realidade da área.

marquinhos

Autor

8 meses atrás

Agradeço seu tempo e esforço para responder ao meu artigo. Valorizo a oportunidade de trocar ideias e compreender diferentes perspectivas sobre a cibersegurança no Brasil. Entendo que nossas experiências na área possam variar, o que enriquece ainda mais essa conversa. Permita-me esclarecer alguns pontos mencionados em sua resposta:

Sobre a Busca por Vulnerabilidades Não Solicitadas: Concordo que a abordagem não solicitada pode gerar mal-entendidos e potenciais conflitos legais. No entanto, é importante diferenciar entre práticas predatórias e esforços para melhorar a segurança digital de forma ética. Programas de bug bounty, como mencionado, criam um canal legítimo e estruturado para que profissionais de segurança contribuam positivamente. Estes programas são reconhecidos e incentivados por organizações em todo o mundo, demonstrando a valorização de tais contribuições na melhoria da segurança cibernética.

Sobre a Operação sem Contrato Formal: Meu relato buscava destacar as dificuldades enfrentadas por profissionais independentes em um mercado ainda amadurecendo. Não é uma defesa de práticas ilegais ou antiéticas, mas um apelo por maior reconhecimento e estruturação das atividades de segurança cibernética no Brasil. A necessidade de formalização e garantias legais é indiscutível, e meu objetivo é chamar atenção para a importância de evoluir as práticas e legislações atuais para acomodar e incentivar o trabalho ético na área. (exemplo: encontrei uma vulnerabilidade por acaso em um sistema e perguntei da empresa se tinham um canal específico para esse tipo de caso, não tinha)

Sobre a Realidade do Mercado de Cibersegurança no Brasil: Respeito sua perspectiva sobre a existência de oportunidades e a estruturação da área de segurança no Brasil. No entanto, as experiências variam, e a minha intenção era compartilhar os desafios que encontrei, que, infelizmente, não são isolados. A discussão sobre as dificuldades enfrentadas por profissionais da área pode ser um catalisador para mudanças positivas, promovendo um mercado mais inclusivo e diversificado.

Encerro reiterando meu respeito por suas opiniões e agradecendo pela discussão produtiva. Estou aberto a continuar essa conversa, pode ser um bate-papo no discord ou meet da vida, buscando sempre o aprimoramento da cibersegurança. Sua experiência e conhecimento são valiosos, e acredito que, através do diálogo, podemos contribuir juntos para o fortalecimento da nossa área. vlww

Silva97

8 meses atrás

Com todo o respeito mas você permanece distorcendo o que eu estou falando. Eu reconheci aqui pelo menos umas 5 vezes a legitimidade do bug bounty, inclusive falei abertamente que não seria uma "renda estável".

Então você sabe que quando eu proferi aquela crítica, eu não estava falando de bug bounty. Você sabe disso.

E vale dizer que isso não é meramente uma prática que "causa mal entendido" mas, inclusive, um crime desde Abril do ano passado (sim, é recente. Porém não deixa de ser crime). Além de ser totalmente antiético e mal caratismo mesmo antes de ser crime no Brasil (e já era crime em outros países há pelo menos uma década).

Aqui a lei para você ler: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm

A necessidade de formalização e garantias legais é indiscutível, e meu objetivo é chamar atenção para a importância de evoluir as práticas e legislações atuais para acomodar e incentivar o trabalho ético na área.

Engraçado você falar isso ao mesmo tempo que ignora completamente a lei que eu voltei a mencionar acima.

E você sabe que todo mundo vai concordar com essa frase e por isso a escreveu assim, mas ela é uma distorção do que você disse originalmente, que foi:

Minha resposta: Aqui, o foco era destacar a informalidade e a precariedade nas relações de trabalho dentro do setor de cibersegurança no Brasil, e não uma escolha pessoal por operar à margem da formalidade. Este ponto reflete a necessidade de estruturação e reconhecimento formal dessas atividades profissionais, garantindo direitos e deveres claros para ambas as partes.

O que você disse aqui insinua com todas as letras que a área tem relações de trabalho "informais" e "precárias", o que é mentira. E você também insinua, ao dizer que existe essa necessidade, que hoje não existe estruturação e reconhecimento formal das atividades profissionais na área. O que também é mentira.

Que isso é importante, ninguém discorda. Você não vai ver eu discordando disso. O problema é que você insinuou que isso não existe hoje, quando já existe há quase duas décadas...

Por gentileza, para com essa desonestidade intelectual de ficar distorcendo o que foi dito.

Autor

não entendi

Tá cagando regra parceiro. Responda pra mim, qual o problema de alguém da área fazer um teste e reportar pra empresa?
"Ain, mas é ilegal" e daí? observe a situação, temos um hacker ético sem nenhuma má intenção relatando uma falha que ele encontrou por estar entediado em casa em uma tarde de domingo.
Percebe a gravidade da situação? E se fosse um Cracker que estivesse dedicado a achar a qualquer custo uma falha nessa empresa pra fazer coisas ilícitas de verdade?

Silva97

8 meses atrás

Primeiro que ninguém da área faz isso, ninguém.

Segundo que o problema é que essas empresas não tem estrutura para lidar com isso, não tem profissionais qualificados para receberem o report e lidarem com a situação e não tem maturidade de segurança para ter um mínimo de qualidade neste quesito. Logo é como um boxeador adulto lutando contra uma criança de 8 anos, ele pode alegar que tá fazendo isso para "ajudá-la" a se defender mas todos sabemos que o real motivo é que ele não dá conta de lutar contra outros adultos e só enfrenta criancinhas que ele sabe que vai ganhar.

Mesmo que não seja uma criança, imagina só um maluco aleatório te chamando pra "briga" com suposta boa intenção de te ensinar defesa pessoal à força. E no final, depois que ele arrebentar sua cara, ele ainda cobra pela aula dada... Você chamaria esse ser humano de "lutador ético"?

O mundo real não é como nos filmes.