Como conseguir um trampo de Analista de Segurança da Informação (SQN)

Artigo descrevendo como conseguir um trabalho de analista de segurança da informação.

[ Hits: 10.476 ]

Por: Perfil removido em 11/04/2016


Introdução



Em geral, para se conseguir um tão sonhado emprego de Pentester é preciso certificações e tempo de estrada correto?

Vou compartilhar neste artigo dois incidentes seguidos que me fizeram perder o emprego na tentativa da tão sonhada vaga de syo...

Não vou citar nomes, mas eu trabalhava como atendente de call center em um banco, fazia atendimento para o cartão de crédito do mesmo.

Todos os TS eram dummy terminal e se autenticavam em um AD local, e um Asterisk fazia conexão com um sistema que recebia as ligações e este sistema também era por onde era feito a gerência dos cartões.

Percebendo que as BIOS não possuíam nenhum tipo de bloqueio usb, era possível dar boot em um live cd, então comecei pensar mil coisas, entreguei meu currículo para o gerente da TI e em seguida disse para ele que um ataque de dns spoof poderia negar serviço para todo o atendimento e que seria fácil de corrigir e me ofereci para um relatório de vulnerabilidades.

O gerente me ignorou, o que senti foi mais ou menos isso, "cala a boca e volta atender". Então, inocentemente, pensei: vou mostrar para eles que aí eles pensam na minha proposta (sei que não deveria). Envenenei a tabela ARP com ethercap e quebrei o ssl com sslstrip, estando em MITM o tráfego passava pela minha máquina e as ligações apresentavam ruído e estavam inaudíveis, pois o hardware obsoleto da minha máquina estava gargalando para fazer o redirect.

Começou o desespero na equipe de TI! Não satisfeito, realizei o DNS spoof do AD então todas as máquinas perderam conexão e o software apresentou um erro.

Parei meu ataque. Tudo voltou ao normal, pensei agora: "o administrador da rede vai vir falar comigo!"

Não veio, tiraram meu acesso e me mandaram embora sem ao menos conversar, alegando que eu não vendia cartões o suficiente... aí você me diz: "bem feito! Ninguém mandou fazer o ataque". Realmente errei.

Em seguida fui trabalhar em uma grande empresa. Esta vou falar o nome, pois é revoltante uma empresa do tamanho da Umbrella* com o seguinte pensamento:

"Eu trabalhava novamente como peão nível ki do yamcha..."

Percebi que a aplicação do suporte fazia conexão com um servidor Citrix e que cada aplicação rodava em uma vm, era feito a conexão por ldap e uma chave pgp autenticava a cada login. Fuçando no software, enquanto prestava meu atendimento, percebi que o botão de ajuda me dava acesso a internet que até então estava com proxy habilitado e não me permitia acesso externo.

Percebi que esta chave pgp que citei no começo, era da vpn que ligava no Citrix que fica nos EUA, então me passou pela cabeça que um ldap injection poderia me dar acesso root. Nem precisei disso, consegui desabilitar o proxy pois as configurações do IE não estavam bloqueadas... desbloqueando o proxy me permitiu algumas horas estudando python enquanto atendia, mas isso foi o que desencadeou minha curiosidade e acabei conseguindo acesso a pasta de logs do servidor local procurando bugs no sistema, não posso descrever como, mas um botão do sistema me dava acesso a uma pasta do servidor, aí era só navegar.

Resumindo, quando acessei o servidor o administrador recebeu um alerta e em seguida tinham 6 pessoas da TI conversando comigo em uma sala me perguntando sobre "fuçar" como eles disseram... eu disse que fiz uns testes e que tinha um relatório de vulnerabilidades à apresentar...

Enviei por email todos os testes que fiz para o administrador da rede, ele falou que isso era muito importante para eles e que ele tinha gostado do meu relatório e que poderíamos conversar sobre a oportunidade que pedi para ele no email.

Passado quase 1 mês, ele nunca veio falar comigo, então em um email ele disse que poderíamos conversar naquele dia. Cheguei no outro prédio, o gerente de contas (nada haver com a TI) conversou comigo, expliquei toda a situação, mostrei o email e a resposta do gerente de TI e então ele me mandou voltar para o outro prédio.

Quando cheguei fui mandado embora e ele disse assim: "- Não podemos ter alguém assim na nossa equipe..."

Pensei: assim como? Alguém que quer ajudar a deixar a rede segura, configurar um IDS que vocês nem sonham o que é e principalmente, configurar o backup externo de vocês para que nenhum cara legal pratique uma brincadeira de Ramsomwere na cara de vocês?

Vendo minha cara de tristeza, ele me diz que eu fiz errado em acessar e depois relatar e que eles não poderiam ficar "na minha mão".

A empresa é terceirizada da Umbrella, mas cara, pensa você se um suporte N1 que atende telefone e anota chamados te diz que quer fazer um teste de vulnerabilidades, você vai deixar? Desta vez eu não fiz um ataque ofensivo, só reconhecimento e NADA DE EXPLOIT e mesmo assim perdi o trabalho...

Agora o meu objetivo com este texto é perguntar para quem leu até aqui, como seria possível conseguir um trabalho na área de segurança, se eu não tenho um puto no bolso para tirar uma certificação, estou acabando a faculdade de Análise e Desenvolvimento de Sistemas, que não muito tem haver com syo e meu trabalho continua sendo suporte (só que agora nível "formata máquina e anota chamado").

Eu sei que não deveria ter explorado nada sem autorização mas cara, como você pode mostrar algo que ninguém te autorizaria? Como você prova algo se não tem um papel que diz que você sabe?

Desculpem a revolta, mas perder dois empregos seguidos me desanima a ponto de querer largar tudo...

Deixo com meu texto este pensamento:

Sem um bom trabalho não tenho um bom salário, sem um bom salário não tenho uma boa certificação, sem uma boa certificação não tenho um bom trabalho.

Victor de Queiroz

NOTA A equipe de moderação optou por omitir o nome da empresa citada, alterando-a para o nome fictício Umbrella.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

A camada de enlace de dados

Segurança na Internet

Pebrot, MSN messenger no terminal

Compilando o kernel no Slackware com pacotes pré-compilados

Criando Arrays, Arrays Multidimensionais e Hashes em BASH Script

Leitura recomendada

Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros

Reaver - Descobrindo senhas Wi-Fi

Tornando seu Apache mais seguro com o ModSecurity

SmoothWall - Linux para gateway

Segurança em seu Linux (parte 2)

  
Comentários
[1] Comentário enviado por junior em 11/04/2016 - 12:43h

Victor,

Primeiramente é elogiável sua curiosidade, vontade de ajudar, mostrando os erros e apresentando soluções, porém a sua abordagem em um mundo corporativista é muito problemática.
Eu não sei o seu nível de conhecimento em ferramentas de testes de intrusão, sistemas operacionais, redes e afins então eu quero te alertar não pelas ações que você tomou mas pelas consequências técnicas que elas poderiam ter e que fugiriam do seu controle. Você chegou a calcular quanto de dinheiro a empresa perdeu no primeiro cenário que apresentou? Simplesmente fazendo uma POC em produção?
Esses tipos de testes se faz em ambiente controlado e supervisionado e não em um ambiente onde existem várias operações de missão crítica rodando ao mesmo tempo e que você pode prejudicar o serviços dos outros.

Eu aconselho você a estudar, guardar o máximo de dinheiro que conseguir e se certificar, aí então procurar um emprego específico. Não sei a sua a sua idade e independente dela temos que ter paciência e fazer as coisas certas.
A sua intenção pode até ser considerada genuína mas as execuções foram desastrosas.


[2] Comentário enviado por p4ulodi4s em 11/04/2016 - 12:47h

Oi, tudo bem?

Eu acho que você seguiu o caminho errado. Demonstrando vulnerabilidades na rede dessa forma, o mais provável é o resultado que você conseguiu...

Sugiro que nessa nova empresa você tente mostrar sua capacidade através do seu trabalho. Se você formata computadores, faça da melhor maneira possível.

Procure soluções que a sua empresa precise e que você possa fornecer... Por exemplo, como está o site da empresa? Se não têm ou está ultrapassado, faça um melhor e ofereça para o responsável.

A minha experiência me faz pensar que você vai consegui melhores resultados mostrando a sua capacidade sem evidenciar a falta de capacidade de outros...

Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/

[3] Comentário enviado por keven_oliveira em 11/04/2016 - 14:27h

OIá Victor! Tudo bem?
Já passei por uma situação parecida, mas era com uma escola de TI onde estava fazendo o meu curso técnico, mas neste caso não puderam me despedir, porém mesmo assim ficou um clima bem chato(Acabei saindo por outros motivos antes do fim do curso).
Depois deste episódio que fui me dar conta de como isso é chato, pensa só, já não basta o chefe do cara cobrando mais resultados com menos e todo aquele blá blá, chega um cara de toda boa vontade e pá joga a *** toda no ventilador? Dá pra se colocar no lugar, não é mesmo?
Agora vai a dica, te especializa, vai com um pouco mais de calma. E te digo que existem empresas que contratam terceiros justamente para fazer este tipo de serviço na rede da empresa.
Até mais!

[4] Comentário enviado por patrickpcs em 11/04/2016 - 15:08h

Nenhum professor seu tocou no assunto ética? É uma situação um tanto quanto delicada, você não pode digamos assim sair bisbilhotando a rede alheia sem autorização. Geralmente a busca por auditoria de segurança parte da própria empresa. Espera-se que qualquer empresa e a que você trabalho tenha feito você assinar algum termo de responsabilidade pelo uso dos recursos de T.I, e que você violou esses termos ao fazer isso. Pior ainda, você deu um prejuízo para a primeira empresa ao deixar o call center inoperante, isso gera um custo para a empresa por ficar inoperante. A empresa fez mais do que certo, pegou seu relatório, se forem espertos irão corrigir as falhas e ainda deveriam te demitir por justa causa.

Olhando do ponto de vista de relações no trabalho, o Gestor da T.I não vai deixar sua imagem ser queimada por um funcionário qualquer de dentro da empresa, ele vai te desmoralizar totalmente perante a diretoria pode ter certeza.

Desculpa estar sendo grosseiro, mas é para passar a visão das empresas perante seus atos.

Minha dica como as dos demais colegas acima é;
Procure fazer um bom networking, faça amizades com o pessoal de redes e segurança. Dessa forma você pode mostrar que tem certos conhecimentos mesmo sem certificações, e pode ter certeza que se a empresa estiver precisando de mais um posto de trabalho na área de segurança, eles irão pensar em investir em alguém que já é da empresa e que eles já possam ter algum grau de confiança. Ai quem sabe você não ganha umas certificações bancadas pela própria empresa.
Mostre que você é excelente no que você foi contratado, tanto tecnicamente como profissionalmente, mas apenas no que você foi contratado, não desmoralize o trabalho dos outros como o p4ulodi4s sugeriu.


Entendo seu lado, vivo uma situação parecida. Peguei 5 anos de experiência em uma unidade que trabalhei, fui galgando mais responsabilidades aos poucos, indo desde manutenção em computadores até gerente de redes, mas como não ganho o suficiente para fazer faculdade e pagar certificações ao mesmo tempo, não tirei nenhuma certificação ainda. Mudei de unidade e agora comecei tudo do zero novamente, estou aqui fazendo service desk nível 1. Mas é aos poucos que vou ganhando a confiança das pessoas e mostrando nos meus atendimentos de nível 1 que as vezes deveriam pular para nível 2 e 3, dando diagnósticos extremamente técnicos e precisos. Hoje após 1 ano já tenho a seção de infraestrutura de redes e a outra de segurança interpelando com a chefia minha transferência.

Muito cuidado com a ideia de dar um diagnóstico, em nenhum momento fiz algum tipo de escaneamento na rede ou algo parecido. Apenas citei as possibilidades, e na maioria das vezes sempre acertei. Sempre deixe para quem já é do setor fazer essas auditorias. Se você se mostrar uma ameaça para seus futuros colegas de seção, você reduz drasticamente suas chances de conseguir ir para esse setor.

Vou concluir minha faculdade agora no meio do ano, ai vai folgar o orçamento para pegar pelo menos uma ITIL e LPIC-1 esse ano ainda se a Dilma não atrapalhar mais. É a vida meu irmão, ralada, sofrida, altos e baixos.


http://goo.gl/g6NiFp

[5] Comentário enviado por Beastie em 11/04/2016 - 15:39h


[4] Comentário enviado por patrickpcs em 11/04/2016 - 15:08h

Nenhum professor seu tocou no assunto ética? É uma situação um tanto quanto delicada, você não pode sair digamos assim bisbilhotando a rede alheia sem autorização. Geralmente a busca por auditoria de segurança parte da própria empresa. Espera-se que qualquer empresa e que a que você trabalho tenha feito você assinar algum termo de responsabilidade pelo uso dos recursos de T.I, e que você violou esses termos ao fazer isso. Pior ainda você deu um prejuízo para a primeira empresa ao deixar o call center inoperante, isso gera um custo (prejuízo)para a empresa ficar inoperante. A empresa fez mais do que certo, pegou seu relatório, se forem espertos irão corrigir as falhas e ainda deveriam te demitir por justa causa.

Olhando do ponto de vista de relações no trabalho, o Gestor da T.I não vai deixar sua imagem ser queimada por um funcionário qualquer de dentro da empresa, ele vai te desmoralizar totalmente perante a diretoria pode ter certeza.

Desculpa estar sendo grosseiro, mas é para passar a visão das empresas perante seus atos.

Minha dica como as dos demais colegas acima é;
Procure fazer um bom networking, faça amizades com o pessoal de redes e segurança. Dessa forma você pode mostrar que tem certos conhecimentos mesmo sem certificações, e pode ter certeza que se a empresa estiver precisando de mais um posto de trabalho na área de segurança, eles irão pensar em investir em alguém que já é da empresa e que eles já possam ter algum grau de confiança. Ai quem sabe você não ganha umas certificações bancadas pela própria empresa.
Mostre que você é excelente no que você foi contratado, tanto tecnicamente como profissionalmente, mas apenas no que você foi contratado, não desmoralize o trabalho dos outros como o p4ulodi4s sugeriu.


Entendo seu lado, vivo uma situação parecida. Peguei 5 anos de experiência em uma unidade que trabalhei, fui galgando mais responsabilidades aos poucos, indo desde manutenção em computadores até gerente de redes, mas como não ganho o suficiente para fazer faculdade e pagar certificações ao mesmo tempo, não tirei nenhuma certificação ainda. Mudei de unidade e agora comecei tudo do zero novamente, estou aqui fazendo service desk nível 1. Mas é aos poucos que vou ganhando a confiança das pessoas e mostrando nos meus atendimentos de nível 1 que as vezes deveriam pular para nível 2 e 3, dando diagnósticos extremamente técnicos e precisos. Hoje após 1 ano já tenho a seção de infraestrutura de redes e a outra de segurança interpelando com a chefia minha transferência.

Muito cuidado com a ideia de dar um diagnóstico, em nenhum momento fiz algum tipo de escaneamento na rede ou algo do tipo. Apenas citei as possibilidades, e na maioria sempre acertei. Sempre deixe para quem já é do setor fazer essas auditorias. Se você se mostrar uma ameaça para seus futuros colegas de seção, você reduz em drasticamente suas chances de conseguir ir para esse setor.
Vou concluir minha faculdade agora no meio do ano, ai vai folgar o orçamento para pegar pelo menos uma ITIL e LPIC-1 esse ano ainda se a Dilma não atrapalhar mais. É a vida meu irmão, ralada, sofrida, altos e baixos.


http://goo.gl/g6NiFp


Parabéns pelo comentário amigo, lúcido e preciso. Ética, essa é a palavra.

[6] Comentário enviado por Beastie em 11/04/2016 - 15:48h

Oi amigo, vi que seu cadastro no VOL é bem recente e levando em conta o tempo para aprovação de artigos aqui, acredito que criou esta conta justamente para postar este artigo. Por isso acredito ser importante seu desabafo. Não quero repetir o que nossos amigos citaram acima, porém é preciso que você entenda uma coisa:

Um PENTEST só é conceitualmente PENTEST se tiver conhecimento e aprovação do alvo (empresa), e a relação entre as partes for respaldada por um contrato (reconhecidamente assinado), caso contrário é crime passível de penalidades. Fico feliz que não foi preso ou esteja respondendo processo, pois isso seria totalmente possível.

Acredito que estava bem intencionado, mas infelizmente sua postura foi influenciada por "lendas urbanas" relacionadas a hackers que descobrem vulnerabilidades e são contratados de pronto pelas organizações e recebem "gordos salários". Me desculpe mais este parece mais um roteiro de filme de ficção.
Não precisa invadir para provar que sabe fazer, siga os conselhos do patrickpcs e acredite: sua hora vai chegar.

E por último, não esqueça nunca: haja sempre com ética.

--------------------------------------------------------------------------------------------------
Mundo FreeBSD - Conteúdo 100% FreeBSD
http://mundofreebsd.com.br/
--------------------------------------------------------------------------------------------------

[7] Comentário enviado por phmunari em 11/04/2016 - 17:43h

Quando eu fazia o técnico, invadi a rede da escola (Técnica), derrubei o AD e, dois dias depois, o chefe da TI me chamou pra uma vaga de estágio lá. Pena que eu não tinha tempo. Hoje trabalho como tu disse brow, formatando micro, anotando chamado, e fora, faço uns spoof pela zueira. O resto do tempo estudo Linux e desenvolvo e assim que conseguir vou fazer minha LPI, focada para segurança.
"KISS - Keep It Simple, Stupid!"

[8] Comentário enviado por removido em 11/04/2016 - 18:37h

Incrível o nível de maturidade de algumas empresas. Como são suscetíveis a ataques internos.

É uma grande ilusão "achar" que será promovido com um ato desses. Se fosse uma instituição financeira ou governo provavelmente estaria respondendo um processo.


[9] Comentário enviado por lksmodos em 11/04/2016 - 20:50h

Gostei muito do seu artigo , victor , o seu grande problema e que você agiu em um ambiente de produção e isso e praticamente um tiro na cabeça. Sobre sua curiosidade sei bem como e ser curioso em uma empresa que quer que você se aliene, mas não pode parar de batalhar, uma hora vai ser a nossa chance.

[10] Comentário enviado por removido em 12/04/2016 - 10:10h

valeu pelos comentários galera, sei que agi errado... por hora vou continuar estudando e me certificar... aproveitei a oportunidade aqui para desabafar algo que me incomoda bastante. comecei agora aqui no vol, mas pretendo contribuir sempre que puder. falou galera!

[11] Comentário enviado por luiztux em 12/04/2016 - 11:01h

É..você pisou no calo de muitas pessoas. Sem falar que invadiu "territórios" de cachorros que defendem a carniça com dentes de aço. Levou umas belas mordidas não? Dói muito?

Para mim você fez a coisa certa. Só que, quem faz o certo, se fo*** mesmo. É assim a vida. Sabe, é mais fácil atacar do que defender. Estas pessoas se ofenderam com o que você fez. Você esfregou na cara delas a bela porcaria de trabalho que estão fazendo. Por isto te mandaram embora.

Não se sinta culpado. Aproveite para aplicar isto em teu futuro e das próximas vezes, cobre pelo teu serviço. Porque agora certamente já corrigiram o problema (se não forem tão estúpidos) e o crédito foi pra quem?

Boa sorte na jornada.

-----------------------------------''----------------------------------
Computer users fall into two groups:-
those that do backups
those that have never had a hard drive fail.

[12] Comentário enviado por patrickpcs em 12/04/2016 - 12:27h

último conselho....
Qualquer pessoa que seja o Pi** das Galaxias em qualquer área profissional , mas que não sabe sobre relacionamentos interpessoais no trabalho está fadado ao fracasso. Só restará the dark side para você.
Pesquise um pouco sobre esse tema "Relações interpessoais no trabalho"****. E verá que os conselhos mais sensatos que foram dados aqui para você tangem nesse tema.
Não interprete a gente de forma errada, não estamos dizendo que somos mais capacitados tecnicamente que você. Pelo contrário, acredito que você tenha mais conhecimento que eu, mas se você não aprender sobre relacionamentos no trabalho, desculpa, mas você não vai longe na vida pelo bom caminho não.

Paciência que a gente chega lá, não existe nada fácil nessa vida.

****
http://www.significados.com.br/relacionamento-interpessoal/

[13] Comentário enviado por balani em 12/04/2016 - 16:08h

Grande Victor, seus esfórços são validos mas sem pedir autorização é como a galera acima já citou. Já passei por situação semelhante. Porem vc abre um precedente muito importante, a maioria dos Admin de rede vivem mergulhados em prepotência e arrogância, não são capazes de nem se quer analisar a opinião alheia. Por isso pecam por omissão, muitos se acham semideus, intocaveis... mas deixa pra lá. Muitos entendem de como montar e configurar a extrutura mas nada de segurança, acham que um firewall feito em pfSense já o bastante. Mas sem delongas gostei do seu artigo, vai devagar meu amigo o mundo da informatica é rapido pra algumas coisas e pra outras não.

Adriano R. Balani

[14] Comentário enviado por ronaldo_s31 em 12/04/2016 - 16:48h

OIá Victor, achei muito interessante seu artigo.

Não desista!!! Siga em frente, porém considere e analise o que todos têm a dizer.

Sou profissional de informática com mais de 20 anos de mercado, descobri que o conhecimento técnico é essencial, porém deve ser acompanhado de um bom senso e uma boa experiência com os relacionamentos interpessoais, onde, neste ponto, alguns de nós, erramos.

Não é só um bom conhecimento técnico, aprofundado, nível máster, hacker ou como quiser chamar, que vai fazer de você um bom profissional.

Tem muita gente acima de você que talvez tenha menos conhecimento que o seu, e por questões que você desconhece, estas pessoas estão posicionadas em suas cadeiras e estão lá ocupando seu espaço no cenário.
Isso que estou falando acontece muito com profissionais de informática que continuam estudando e se aprofundam na busca conhecimento.

Considere isso também, seja cuidadoso na hora de você apresentar suas competências, isso pode parecer ameaçador demais para quem vai te avaliar.

Em alguns casos a estratégia é não evidenciar todo seu conhecimento de uma só vez e na hora errada, isso tem que ser mostrado aos poucos e nos momentos oportunos, não crie você essa condição, aguarde a hora e quando for o momento, você tem que saber.

Aprenda ser um bom observador, analise o ambiente, as pessoas, a cultura da empresa e os acontecimentos com os outros colaboradores nas mais diversas áreas.

Na rádio pião, parece ter apenas fofoca, mas sabendo garimpar você vai achar algumas verdades sobre as pessoas e a empresa onde trabalha.

Depois disso, veja se vale apena ou não fazer o que planeja.

Se decidir fazer, fico com as sabias palavras do nosso colega “p4ulodi4s”, que diz: "A minha experiência me faz pensar que você vai consegui melhores resultados mostrando a sua capacidade sem evidenciar a falta de capacidade de outros..."

Um grande abraço e fique com Deus!

[15] Comentário enviado por EnzoFerber em 12/04/2016 - 17:34h

Olá, Victor.

Antes da crítica, quero te parabenizar pela *curiosidade*. Curiosidade e imaginação são as melhoras habilidades que você pode ter, e *ninguém* pode te ensinar a ser curioso ou a imaginar. Ou você é, ou não é. Dito isto, recomendo ler e reler a sabedoria contida nos comentários de @junior, @p4ulodi4s, @patrickpcs e @Beastie.

*

Pense pelo lado do pessoal que *é responsável pela TI* da empresa (que *não era* o seu caso):

- Você chega no seu serviço numa linda manha de segunda-feira e vem _um cara_ que você nunca viu na vida com um relatório sobre falhas na sua rede.

O administrador de TI tem a *obrigação* de fazer a rede ser o mais segura possível - o nível da segurança é um ponto entre o nível do investimento em tecnologia e o nível técnico do administrador. Portanto, a [in]segurança da rede tem relação direta com a capacidade técnica dele. Engenheiros e administradores de redes possuem egos em função de sua capacidade ténica. Esse tal relatório é um atestado da "incompetência" dele, portanto, um ataque direto ao *ego* dele. Uma abordagem agressiva dessas vai colocar o dito admin na defensiva. Uma pessoa na defensiva *não aceita* conselhos de quem a esta atacando! Neste ponto, repito o conselho dado anteriormente: estude sobre relacionamentos!

Indo além, no âmbito profissional, se ele aceitar seu relatório, qual imagem esse admin passará à diretoria da empresa? Uma não muito boa, não é?

*

Tenha uma coisa em mente: invadir computadores é tão legal(em todos os sentidos) quanto invadir uma casa. É invasão de propriedade *alheia*. É errado e deixa os donos muito putos. Você acha legal invadir casas? Um computador em uma rede é exatamente igual a uma casa em uma rua. Não é porque a casa está na rua que você tem o direito de entrar, ou mesmo *olhar* o que tem dentro. Respeite a propriedade alheia. Sabe de onde tirei essa analogia? Do famoso discurso de Ken Thompson, "Reflections on trusting trust", de quando ele ganhou a Turing Award. O artigo é conhecido informalmente como Hack do Ken. Diretamente do artigo: "The act of breaking into a computer system has to have the same social stigma as breaking into a neighbor's house."

Como *você, Victor,* se sentiria se um cara invadisse a sua casa as 4 da manha, te acordasse e falasse: "Tenho um relatório sobre as falhas de segurança da sua casa, que acha de me contratar como seu segurança?"

Você não vai pensar sobre as habilidades do sujeito, vai pensar sobre a *índole* dele: ele invadiu MINHA CASA! ALGUÉM CHAME A POLÍCIA!

As redes são mais preciosas que as casas de Admins que levam o trabalho a sério.
Dessa analogia você pode entender o quanto você agrediu os tais admin...
E aí vai entender o porque foi demitido ao invés de promovido.

*

O último conselho é sobre sua atitude de querer colocar o nome da empresa no artigo. *NUNCA* faça isso. Agradeça ao pessoal da moderação por ter quebrado seu galho nessa. Boas empresas pesquisam sobre você, especialmente sobre sua *personalidade*. E falar mal da empresa que te demitiu não é um traço muito bem visto nos círculos empresariais. Pense nisso. Além de te custar *reputação* no mercado, pode te custar uma fortuna em processos...

*

No mais, continue curioso.
Continue imaginando.
Continue aprendendo.

*

Reflections on Trusting Trust - Ken Thompson
https://www.win.tue.nl/~aeb/linux/hh/thompson/trust.html

How to Be a Hacker - Eric S. Raymond
http://www.catb.org/esr/faqs/hacker-howto.html


Enzo Ferber
[]'s


[16] Comentário enviado por GustavoValerio em 13/04/2016 - 08:33h

Caramba, quanta sabedoria nos comentários!
Há pessoas aqui com perfil de mais de 10 anos no VOL!
Sensacional!

Victor, seu artigo é interessante, é muito bom ter conhecimentos aquém do esperado pelas empresas, mas é como os colegas acima já disseram, tem tempo para haver um reconhecimento.

Não vou comentar sobre isso pois será repetitivo.

Na atual empresa que trabalho, entrei lá como operador de caixa, mesmo tendo um vasto conhecimento em informática e etc...

Fiquei nesta função por exatamente 1 ano e 7 meses, mas sempre que aparecia oportunidade, eu demonstrava o meu conhecimento.

Comecei a formatar os computadores da empresa e ganhava por fora. Formatava, configurava e otimizava, e de quebra ainda aprendia sobre o ERP utilizado na empresa, tanto na retaguarda como na frente de loja.

Isso me permitiu detectar bugs e reportá-los para a empresa responsável.
Depois do período citado acima, As duas pessoas responsáveis pela parte de "TI" da empresa indicaram-me para o cargo, o me foi oferecido quando menos esperava!

Assim que voltei de férias, já me chamaram e disseram que eu não seria mais operador de caixa, e me falaram sobre minha nova função!
E hoje estou atuando na área e crescendo dentro da empresa em outras áreas em que o nível de confiança é fundamental.

Creio que seguindo os conselhos dos amigos acima, você terá seu reconhecimento, mas vá com calma, relaxe...
Ás vezes demora, mas cedo ou tarde acontecerá...

Lembre: Suba na vida degrau por degrau, a pressa pode te derrubar...

É como já dizia o meu avô:
De grão em grão, a galinha enche o papo...

Demonstre seus conhecimentos suavemente...
Faça amizade com o pessoal da parte de TI e vá, aos poucos dialogando sobre os assuntos, mas vagamente...
Tenho certeza que você chegará lá!

Ter a curiosidade (fundamental para esta função) você já demonstrou que tem, capacidade creio que não lhe falta...
Amadurecimento sim, e um pouco de aprendizado...

Do jeito certo é possível chegar a qualquer lugar!

Boa sorte!

[17] Comentário enviado por Ed_slacker em 13/04/2016 - 10:53h

Depois que a Sony foi atacada devido a um SQL Injection eu não duvido de mais nada. É um ataque primário, coisa que newbie tenta fazer como primeira tentativa de violar sistemas. V-E-R-G-O-N-H-O-S-O!

Teve uma coisa que me chamou a atenção na sua primeira história contada no artigo:

"O gerente me ignorou, o que senti foi mais ou menos isso, 'cala a boca e volta atender'."

Muitas empresas sempre divulgam que os colaboradores são o ativo mais importante da companhia, pois delas saem a inovação. Mas na prática é completamente diferente. A Sony foi o exemplo mais conhecido (e absurdo!) mas várias empresas adotam a mesma estratégia - se é que pode chamar isso de estratégia. Essas duas experiências que você passou são exemplos tristes disso.

Não considero que houve falta de ética em nenhum exemplo. Qualquer norma de segurança da informação minimamente decente (e posso falar com certa tranquilidade, pois sou certificado na área), estabelece que a preocupação com a informação e ativos da empresa que a manipulam deve ser responsabilidade de TODOS OS FUNCIONÁRIOS da empresa. Frases como a que li nos comentários ("Geralmente a busca por auditoria de segurança parte da própria empresa.") representa uma falha G-I-G-A-N-T-E-S-C-A na política de segurança! Auditoria de segurança faz parte de um processo chamado de Melhoria Continuada. Deve ser constante e deve ser responsabilidade de todos! Você fez sua parte! Infelizmente você estava subordinado a um chefe inepto, pois deveria te agradecer por ter descoberto uma falha e ter dado a oportunidade de corrigir antes que alguém mal intencionado se aproveitasse da brecha da pior forma possível.

Atitudes como a que os seus chefes tomaram só servem para intimidar quem se preocupa com a empresa e pode realmente entregar valor ao negócio. Mesmo que a pessoa, voluntariamente, ofereça soluções baseados em riscos que ela percebeu ela pode ser punida ao invés de reconhecida - o que aconteceu com você!

"A empresa fez mais do que certo, pegou seu relatório, se forem espertos irão corrigir as falhas e ainda deveriam te demitir por justa causa. " Li esta frase em um comentário acima. E, com todo o respeito, É UM ACINTE! Pegue qualquer empresa que é referência hoje e vejam se ela aplica este tipo de política! É claro que não! Fazem o oposto: pagam valores (exorbitantes, dependendo do porte da empresa) para localizarem falhas de segurança.

Fico muito triste e decepcionado em ver vários comentários acima dizendo, na média, que você mereceu ser punido e/ou que a punição ainda foi pouca! Quem merece ser punida é este tipo de empresa, sendo varrida do mercado!

[18] Comentário enviado por patrickpcs em 13/04/2016 - 11:06h

Calma ed_slacker.

Logo após essas frases que te deixaram triste eu expliquei o que eu quis mostrar.

Desculpa estar sendo grosseiro, mas é para passar a visão das empresas perante seus atos.


Concordo com você que empresas decentes devem pensar diferente disso, mas como quem faz a empresa são as pessoas e muitas pessoas tem personalidades e ideologias diferentes, é sempre bom ir com cautela.
Fico feliz que uma pessoa com seu currículo e tempo de vida tenha essa mentalidade, pena que são poucos que são como você ed_slacker.
http://goo.gl/g6NiFp

[19] Comentário enviado por Ed_slacker em 13/04/2016 - 11:40h


[18] Comentário enviado por patrickpcs em 13/04/2016 - 11:06h

Calma ed_slacker.

Logo após essas frases que te deixaram triste eu expliquei o que eu quis mostrar.

Desculpa estar sendo grosseiro, mas é para passar a visão das empresas perante seus atos.


Concordo com você que empresas decentes devem pensar diferente disso, mas como quem faz a empresa são as pessoas e muitas pessoas tem personalidades e ideologias diferentes, é sempre bom ir com cautela.
Fico feliz que uma pessoa com seu currículo e tempo de vida tenha essa mentalidade, pena que são poucos que são como você ed_slacker.
http://goo.gl/g6NiFp


Eu estou calmo, patrickpcs! :)

Esse tempo disruptivo que estamos vivendo não toleram mais empresas com lideranças deste tipo que o autor do artigo foi vítima. Daí minha indignação!

A quarta revolução industrial veio para ficar. Ela vai será bem maior e mais forte que egos de gerentes de TI presos a uma mentalidade moldada no contexto mercadológico da década de 60.

É evidente que para o autor do artigo, ser dispensado duas vezes por querer entregar o melhor é frustrante. Já fui demitido em situação similar e é difícil de engolir. Mas na prática (e deixo aqui meu desejo que isso torne-se realidade) ser desligado desse tipo de empresa foi a melhor coisa que poderia ter acontecido para ele. Não vão faltar oportunidades para pessoas com a perspicácia e inteligência dele no mercado! :)

[20] Comentário enviado por removido em 13/04/2016 - 16:04h


Fico muito triste e decepcionado em ver vários comentários acima dizendo, na média, que você mereceu ser punido e/ou que a punição ainda foi pouca! Quem merece ser punida é este tipo de empresa, sendo varrida do mercado!


Brother, grande maioria das pessoas desaprovou a minha atitude, inclusive alguém me disse para que retirasse o artigo do ar, se não meu próximo emprego seria atendente do Mc Donalds... acredito que devo deixar este artigo no ar mesmo me expondo...
@ed_slacker se quiser trocar uma ideia fora daqui, eu ia te perguntar aonde trabalha mas não sei se você se sente à vontade para comentar isso...

mais fácil responder para todos,
Eu agradeço os conselhos estou trabalhando este lado do relacionamento, inclusive estou tendo uma matéria de relacionamento corporativo e outra de comunicação empresarial na faculdade, eu estava pensando ontem, como nosso amigo ali citou que devemos seguir um degrau de cada vez... realmente, temo este artigo fechar futuras portas para mim pois como um amigo me disse estou me expondo aqui e um próximo contratante pode não me admitir por este motivo, porém também penso que os dados são o bem mais precioso das empresas e a falta de uma conscientização empresarial torna muitas empresas alvo, então qual o sentido de investir milhões em estrutura e capacitação profissional se a segurança da informação é deixada de lado? penso que mesmo tendo errado em executar um exploit sem autorização e ter sido infantil em ter "mostrado" para eles, espero que um próximo contratante que se de o trabalho de procurar sobre a minha pessoa realmente perceba que uma pessoa má intencionada não se submete a entrar em uma empresa e passar por todo o processo de contratação e etc só para tentar obter informação... mesmo com todos me dizendo você errou, e pelo menos 15 pessoas aqui e no facebook usaram o exemplo da casa (que me parece muito diferente de fazer parte de uma corporação), eu penso da seguinte maneira - Se eu trabalho na empresa devo vestir a camisa, e vestir a camisa é se preocupar com a empresa. procurar bugs e vulnerabilidades não era minha atribuição, e não fazia nem de longe parte do meu cargo, porém se ninguém faz este trabalho alguém tem que oferecer, porém se você é um colaborador de um cargo inferior ao da elite da TI da empresa, como sua palavra tem voz? saquei este lance de que eu devo ir degrau por degrau e deixar as coisas acontecerem... este artigo foi só uma forma de desabafo pois foi revoltante para mim, mas por outro lado um grande aprendizado!

estou aprendendo muito com os comentários de vocês também, inclusive o brother @EnzoFeber mandou um material muito bom para leitura!

quem quiser me conectar no linkedin, linkedin.com/in/victordequeiroz

valeu brothers!



[21] Comentário enviado por frclasso em 13/04/2016 - 18:57h

Victor, boa noite
Meu nome é Fabio, sou pentester, me graduei em Sistemas ...
comecei trabalhando como estagiário de Suporte, me dedicando passei a Sys Admin da empresa no mesmo ano, fiz curso de pentester pela desec security com Ricardo Longatto, na minha opinião, o melhor curso de pentest profissional e com preco justo, e assumi a Seguranca das Informacoes da empresa também.

Sobre seu caso, na minha opinião voce está muito certo quando disse que: "veste a camisa da empresa, se preocupando com a seguranca e informando das vulnerabilidades da mesma", se eu fosse o citado Gerente de Contas de TI (que normalmente são uns idiotas que não manjam nada de TI) , eu teria uma abordagem diferente, mas infelizmente, como disseram acima, é necessário permissão, através de contrato, para se fazer teste de penetracão. Sem permissão é considerado crime, essa é a diferenca entre pentester e hacker.

No entanto, vou te dizer, não desanime, não desista, pelo contrário, agora que voce já teve essas duas experiencias, voce já tem know-how, invista em mais conhecimento, se não tem grana para certificar, compre bons livros (http://www.amazon.com/Penetration-Testing-Hands-On-Introduction-Hacking/dp/1593275641), esse da Georgia Wideman já tem em portugues...

E continue preocupado com sua empresa, com seu trabalho, com a rede etc um dia alguém vai te reconhecer!! Nada é fácil nessa área, pra comecar, ninguém sabe o que é pentest, não é?

Boa sorte Brother,
meus contatos @frclasso
facebook Fabio Classo


[22] Comentário enviado por removido em 14/04/2016 - 01:18h

Aproveite que ainda dá tempo e procure retirar as referências à sua pessoa do artigo.
Mantenha-se anônimo.

----------------------------------------------------------------------------------------------------------------
# apt-get purge systemd (não é prá digitar isso!)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

[23] Comentário enviado por sacioz em 14/04/2016 - 13:36h

Olá , Victor
Não li tudo ainda , mas vou sim...apenas uma pergunta : Você é / éra um dos moderadores do forum do Morimoto ?
Obrigado.

[24] Comentário enviado por removido em 14/04/2016 - 14:54h

@sacioz não sou não...





https://goo.gl/idWfoc

[25] Comentário enviado por Ed_slacker em 15/04/2016 - 14:00h


@ed_slacker se quiser trocar uma ideia fora daqui, eu ia te perguntar aonde trabalha mas não sei se você se sente à vontade para comentar isso...


Hoje em dia tudo está na Internet, rapaz! :)

https://br.linkedin.com/in/edwifeitoza


[26] Comentário enviado por matsumiya em 15/04/2016 - 18:20h

@victordequeiroz Te enviei uma mensagem aqui pelo site, porem não sei como funciona, e não consegui achar a sessão de mensagens.

Poderia me enviar um email para contato?

[27] Comentário enviado por lcavalheiro em 16/04/2016 - 00:27h

Em primeiro lugar, meus parabéns ao Victor de Queiroz, o autor do artigo. Sua atitude foi corretíssima, e no segundo caso foi exemplar (e eu quase bati palmas quando li que você derrubou um call center só pra testar sua teoria). Garanto que apesar de você ter sido demitido você adquiriu conhecimentos importantes e valiosos, do tipo que valem muito mais do que o salário que lhe pagavam (mesmo que esse salário mensal fosse a renda anual do Bill Gates).

Infelizmente o mundo do capital é refratário às inovações, às melhorias, aos indivíduos que podem fazer a diferença. A lógica do mercado impera e se reflete em nossas leis, tão arcaicas e absurdamente sem sentido quanto a sociedade em que vivemos. Como alguém aí em cima comentou, você teve sorte de não ter ido preso - mas isso porque nós vivemos em um mundo que valoriza esse tipo de mentalidade acintosa e espúria tão laboriosamente defendida pelos capitalistas e os trabalhadores, vistos por aqueles como meras ferramentas vivas de produção de mais-valia, como "ética trabalhista".

Você não foi anti-ético, meu caro. Muito pelo contrário: você fez o melhor possível no exercício de sua função, e descobriu como melhorar as duas empresas como um todo. Esse foi um belíssimo exercício da forma mais refinada de ética possível, uma que guia o ser humano em direção à constante evolução. Mas os mentecaptos e lambe-botas o criticarão e o punirão, pois as ovelhas são adestradas a balirem igualzinho ao resto do rebanho. A inovação, na mente dessas pessoas, deve ser temida, deve ser impedida. Leis devem ser escritas para impedi-la, demissões devem ser ordenadas para inviabilizá-la. A sociedade se auto-fagocita, ela come as próprias entranhas rindo de felicidade. Não é de admirar a estagnação mental que nossos dias vivem. Nossa espécie está morrendo intelectualmente porque conseguiram, por meio de táticas como as empregadas contra você, matar o brilhantismo, a inovação, a sede pelo melhor dos homens.

Seu artigo foi debatido pela equipe de moderadores antes de ser aceito (e essa foi a verdadeira razão pela demora na publicação). Esse é um tema polêmico, e temíamos que outras pessoas o usassem como desculpa para fazer toda sorte de besteiras. Não lembro quem pontuou, porém, que você apresentou uma crítica a um sistema que se canibaliza e impede toda sorte de progresso. Você não escreveu para incentivar as pessoas a fazerem ataques gratuitos contra grandes empresas (coisa que eu apóio integralmente, pois por trás de todo grande capital existe inúmeros grandes crimes contra o povo), mas para denunciar uma mentalidade comum aos gestores de empresas que levará nossa sociedade para a ruína.

Eu o saúdo por sua iniciativa, sua proatividade e seu brilhantismo. Espero que você continue assim, tanto no âmbito profissional quanto no pessoal. Você só tem a ganhar com isso. Você está, com sua atitude, ajudando a salvar o mundo dele mesmo.

PS.: porque eu sei que faria um negócio parecido com esse, eu, técnico em telecomunicações, fui me graduar em Filosofia. Preferi atuar em outra frente para salvar o mundo dele mesmo, a sala de aula.
--
Dino®
[i]Vi veri universum vivus vici[/i]
Public GPG signature: 0x246A590B
Só Slackware é GNU/Linux e Patrick Volkerding é o seu Profeta
[code][b]Mensagem do dia[/b]: 90% dos problemas em GNU/Linux podem ser resolvidos com um único comando:
# apt-get purge systemd* #para Debian-likes
# dnf remove systemd* #para o Fedora
# zypper remove systemd* #para o openSUSE[/code]

[28] Comentário enviado por lcavalheiro em 16/04/2016 - 00:28h


[26] Comentário enviado por matsumyia em 15/04/2016 - 18:20h

@victordequeiroz Te enviei uma mensagem aqui pelo site, porem não sei como funciona, e não consegui achar a sessão de mensagens.

Poderia me enviar um email para contato?


A mensagem foi enviada direto pro email que ele cadastrou aqui no VOL. Se ele te responder, será pelo e-mail dele, ou mandando uma mensagem pelo VOL pra você :-)

[29] Comentário enviado por removido em 18/04/2016 - 11:26h

primeiramente muito obrigado pelo comentário @lcavalheiro! meu e-mail para contato é victordequeiroz-bass@outlook.com @matsumyia
facebook.com/victordequeiroz-bass se quiser também.

[30] Comentário enviado por removido em 18/04/2016 - 11:35h


outra frente para salvar o mundo dele mesmo, a sala de aula.



brilhante cara. eu pretendo em um futuro lecionar em universidades! mas pelo prazer de ensinar pois infelizmente no nosso País professores não são valorizados como se deve... Parabéns você por se tornar professor!

[31] Comentário enviado por barolli25 em 19/04/2016 - 12:28h

Fala Victor beleza, gostei muito do seu artigo e ainda mais dos comentários postados aqui. mas vamos lá. Sua atitude nas duas empresas foi memorável assim como sua descrição de como foram realizados tais procedimentos, demonstrou conhecimento impecável e com certeza no futuro esse conhecimento aliado ao estudo do relacionamento interpessoal fará de você um profissional completo. Nos comentários iniciais o pessoal comentou com propriedade. sobre os problemas que podem vir a ocorrer com o que foi praticado enquanto que outros deram sua opinião pessoal repudiando a atitude dos seus superiores e das empresas.
Sintetizando, no mundo perfeito onde todos devem zelar pela segurança da empresa sua atitude foi sensacional, porém no mundo real onde admins com medo de perder seus empregos para o carinha do help desk trabalham a coisa é diferente. Então continue batalhando, mas agora com mais experiência você poderá demonstrar todo o seu conhecimento de forma inteligente e organizada. Abraço

[32] Comentário enviado por Buckminster em 22/04/2016 - 01:17h

Tu merece meu respeito!

[33] Comentário enviado por erikpinheiro em 26/04/2016 - 17:29h

Desta maneira vc não vai chegar a lugar nenhum, no máximo ascender a luz amarela para admin da rede e vão te mandar embora. Se quer um conselho, estude, esqueça as certificações, entre numa empresa, mesmo sendo N1 e vai atrás do seu espaço, falando com as pessoas certas, mostrando o que está estudando e seus objetivos. Acredite, o sol irá brilhar pra vc no momento correto. Uma outra obs: certificação não lhe garante absolutamente nada.

[34] Comentário enviado por leosixers em 28/04/2016 - 09:22h

Eu te digo o seguinte:

Fosse eu o gestor de T.I. da empresa teria te contratado no mesmo momento. O pessoal aí quer falar em ética? Qual é a ética da empresa quando te manda embora sem ser clara na razão?

Podem alegar que ele gerou prejuízo e transtorno, mas a verdade é que foi mandado embora por um simples motivo: EGO

Ninguém na TI teve humildade de reconhecer os erros, reconhecer a capacidade dele e oferecer uma vaga para que pudessem conhecê-lo melhor e ver se seus conhecimentos poderiam agregar na empresa.

Certificação? Diploma? Qual é pessoal? É apenas um pedaço de papel. Todo mundo sabe que na nossa área ou o cara aprende sozinho ou não vinga. As coisas estão mudando todo dia. Ou você pesquisa e aprende ou fica de fora. Vem falar de certificação. Papinho mais burocrático e capitalista.

Prejuízo de verdade seria alguém mal intencionado usar as brechas na segurança para obter dados confidenciais e vendê-los. Ou então mandar as provas do hack para as operadoras de cartão de crédito e fazer com que a empresa perdesse os contratos.

Amigo, as empresas ruins que possuem processos falhos não vão te querer, mas as empresas que realmente se importam com a segurança e querem profissionais competentes e inconformados vão te querer. Continue a sua busca.

Abraços

[35] Comentário enviado por mondork em 02/05/2016 - 12:54h

Vitor, a realidade é essa! Infelizmente no Brasil a cultura é diferente, enquanto em outras países e empresas tem a filosofia de reter conhecimento em potencia, as empresas brasileiras em sua grande maioria segue os preceitos do passado.
A próxima empresa em que trabalhar e identificar uma vulnerabilidade, faz o seguinte, vende o serviço para eles, se parar pra pensar você sabe as falhas, como explorar e com resolver. Como você acha que muitas empresas de SI estão hoje com fieis clientes no mercado.

Sucesso pra vc fera...continue persistindo e cada vez mais explorando o seu conhecimento e aperfeiçoando, e quem sabe um dia você não vai olhar para trás, com olhar arrependimento de ter se prostituído nas franquias de TI.

[36] Comentário enviado por k0tr1x em 16/05/2016 - 02:16h

Muito interessante a sua historia. Continue atras do seus sonhos e aprenda com os erros.

[37] Comentário enviado por Forca_da_Lua em 27/08/2016 - 18:39h

Olá Vitor, lí seu depoimento e gostei muito. Parece coisa de filme e ri demais, apesar de que foi um drama para vc. Descobri hoje sobre shell e pentest, nunca havia escutado esses termos e me interessei. Queria testar algo assim porque eu sou administrador de alguns sites e tem um deles que dois admins acessam, eu preciso de um shell com redirect para um e-mail externo para auditoria do que entra e sai nas caixas de e-mail sem deixar vestígios. O dominio está na UOL e tenho acesso tanto ao painel como ao ftp, mas tem um pentelho que acessa essa área, e o meu chefe que é presidente da empresa quer saber de tudo, mas no painel não tem como redirecionar oculto, mesmo se fosse apenas eu que tivesse acesso, pois o redirecionamento não deixa cópia no e-mail do destinatário, igual acontece com o os serviços da Locaweb onde eu faço auditoria apenas recebendo cópia oculta do que entra e do que sai. Então para o caso do domínio da UOL pensei num shell com redirect, mas como descobri isso hoje, estou fascinada e quero aprender mais. Por isso baixei aquele shell que extrai e-mails, mas já lí e não aprendi ainda como executá-lo. Vc poderia me explicar? Quanto ao shell redirect para as caixas de emails do dominio na uol vc faz algo freelancer? De repente se a gente combinar o preço, vc faz para mim. De vez em quando encomendo uns jobs no workana e dá muito certo pois o pessoal é bacana, profissional e de confiança. Então...vc pode? Embora eu receba contatos de outros pentests mas tenho medo de ser engenharia social com outras intenções, então eu entrando em contato com alguém como vc, o risco cai bastante rssss. Valeu! Muito legal a sua história, mas vc viajou no passado uns 10 anos ou mais para trás, os caras faziam ataques a bancos, a microsoft, governo, e tal. Daí eram contratados pela empresa com altíssimos salários para corrigir falhas. Mas hoje a área de sistemas de informação está muito popular, competitiva e o profissional desvalorizado se não tiver canudo. Tem que ralar muito para conseguir as certificações. Na questão ética, o pessoal te agulhou muito, mas não enxergo assim, vc não roubou nada, vc não deu nome da empresa, e ainda deve se orgulhar por ter sido auto-didata e ter cometido tal façanha, coisa que hoje vc não fará mais porque deve ter estudado sobre ética profissional, apesar de que nesse país que tem ética demais vai ficar sempre por baixo. Eu diria que malandragem e não desonestidade e não falta de ética. Abraço.

[38] Comentário enviado por Pampuch5 em 06/06/2018 - 10:25h

Eu já trabalhei com o Victor. A "Umbrella" na verdade é a Dell. Mas não dá pra culpar ela, mas sim a SYKES, terceirizada dela que o demitiu.


Contribuir com comentário