Nao querendo de modo algum "deitar lenha prá fogueira", mas um curso, mais outro e uma certificação aqui e outra ali, não são obrigatórios (de modo algum) para se tornar um expert em segurança.... até porque basta um ano no desemprego, e agarrado ao passado, e acaba por passar ao lado da evolução drástica que a tecnologia hoje em dia esta a sofrer... O que se acaba por obter de conhecimentos no dia/mês que se acabou os tais cursos, se não for mantido com umas valentes horas de "maquina" à frente, provavelmente ficará "obsoleto"... Acho que o mais importante (claro que os cursos/certificações/etc ajudam) é a prática, posso falar de um caso que se passou recentemente com um colega que entrou aqui para a empresa (em estagio), foi-lhe pedido para criar um sistema interno de gestão de dados. Como devem imaginar, existia muita informação (muitas confideciais), como contas de bancos, códigos...bla...bla...bla... A verdade é que o curso ajudou-o em muito a criar esse sistema de gestao (alojado no servidor da empresa) mas o mais engraçado é que foi feita uma "auditoria de segurança/boas práticas" (pelo menos aqui conhecida por esse nome) por parte do responsavel do seu curso e voilá (nem dá para acreditar), os dados da empresa estiveram expostos à internet durante todo o desenvolver desse sistema de gestão (2 meses e pouco), sem sequer estarem encriptados. Resumindo, alem de dezenas de falhas de seguranças na programação do frontend do sistema de gestão, o sistema era instavel devido a alguns métodos de programação "obsoletos"....e à notável inexperiencia em gerir todos os recursos/metodos que teve que implantar/lidar.
Além disso fiquem a saber que este "colega" poderia ter sofrido (se a empresa o desejasse) um processo por negligência caso se registassem perdas de informações confidênciais que causassem prejuizo empresa (o que parece não ter acontecido, talvez por sorte). Sim, podia ter acontecido isso porque mesmo sendo um estágio existe um contracto, em que de entre muitas clausulas existe uma da qual cito: "(...) perante todos os termos, serviços, informações, o trabalhador ..... concorda em respeitar como segredo profissional todas informações que dizem respeito ao trabalho exercido ou qualquer dado de qualquer natureza que seja directamente produto dos serviços da empresa...bem como qualquer tipo de plano comercial, financeiro, administrativo ou técnico que possa colocar em causa a politica de segurança de dados descrita na clausula 8.1....durante o decorrer do contrato. clausula contractual anexa, DL nº....bla..bla...bla..(...)".
Uma nota final. Este "colega" esta no ultimo ano de Engenharia informatica, com os ultimos 2 anos na variante de Redes e Programação. considerado um excelente aluno, com uma média de curso de 16 valores...mto dificil de alcançar (quem faz o mesmo curso sabe do que estou a falar).
Como podem ver, em muitos casos o que é ensinado "nesses" cursos nem chega para mostrar um pouco da realidade informatica que se vive hoje em dia, mas se junto a esses conhecimentos se juntar uma "mente curiosa e interessada" (como eu chamo) e uma constante atenção/estudo a toda a evolução informatica, aí sim, existe grande possibilidade dessa pessoa se tornar um (não...não....hacker...nao!) expert em segurança.
Bem, esta seca toda para vos mostrar que "verdadeiros hackers" nao há muitos, já que se pesquisarem repararão que mais de 80% dos "ataques" são efectuado quando já existe uma solução para o problema que pode expor uma falha. Digo, Muitos ataques são feitos com recurso à exploração de falhas de aplicações, aplicações essas que já estão à bastante tempo declaradas como contendo falhas de segurança. Agora o que é "interessante" de se observar é quando todas as boas práticas de segurança são cumpridas e uma falha é decoberta por um "hacker", aí estão os restantes 20% de ataques, e os tais 20% de "verdadeiros" hackers.
Não estou a defender de modo alguma os "hackers", nem a incentivar, mas a colocar bem claro que a pergunta feita "como posso ser um hacker" só têm uma resposta: "Não podes", porque como li em algum lado "uma mente possivel de tais conhecimentos não faz esse tipo de perguntas"
Bem, isto foi apenas a partilha de uma experiençia, mas acima de tudo uma opinião bem pessoal, e não quero de modo algum entrar em atritos com ninguem
.
Desculpem o "meio-off-topic".
abraços.