24533aa6-be3b-46a9-a30a-dfeb3d6eb002

Prévia do material em texto

CRIPTOGRAFIA HASH E HACKING
W
B
A
04
70
_v
1.
0
2
Marcelo Ferreira Zochio
Londrina 
Editora e Distribuidora Educacional S.A. 
2020
CRIPTOGRAFIA HASH E HACKING
1ª edição
3
2020
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
Presidente
Rodrigo Galindo
Vice-Presidente de Pós-Graduação e Educação Continuada
Paulo de Tarso Pires de Moraes
Conselho Acadêmico
Carlos Roberto Pagani Junior
Camila Braga de Oliveira Higa
Carolina Yaly
Giani Vendramel de Oliveira
Henrique Salustiano Silva
Mariana Gerardi Mello
Nirse Ruscheinsky Breternitz
Priscila Pereira Silva
Tayra Carolina Nascimento Aleixo
Coordenador
Henrique Salustiano Silva
Revisor
Priscilla Viana Cunha
Editorial
Alessandra Cristina Fahl
Beatriz Meloni Montefusco
Gilvânia Honório dos Santos
Mariana de Campos Barroso
Paola Andressa Machado Leal
Dados Internacionais de Catalogação na Publicação (CIP)
__________________________________________________________________________________________ 
Zochio, Marcelo Ferreira
Z84c Criptografia hash e hacking/ Marcelo Ferreira Zochio, – 
 Londrina: Editora e Distribuidora Educacional S.A., 2020.
 200 p.
 
 ISBN 978-65-5903-098-9 
 1. Segurança. 2. Hacking. 3. Criptografia. I. Título. 
 
CDD 006
____________________________________________________________________________________________
Raquel Torres – CRB 6/2786
© 2020 por Editora e Distribuidora Educacional S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser 
reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de 
sistema de armazenamento e transmissão de informação, sem prévia autorização, 
por escrito, da Editora e Distribuidora Educacional S.A.
4
SUMÁRIO
Segurança de sistemas e seus aspectos _____________________________ 05
O lado humano da segurança da informação _______________________ 22
Testando a segurança _______________________________________________ 37
As novas formas de lidar com a informação _________________________ 51
CRIPTOGRAFIA HASH E HACKING
5
Segurança de sistemas e seus 
aspectos
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
Objetivos
• Entender como funcionam os principais métodos de 
criptografia. 
• Compreender o funcionamento e aplicação de 
assinatura digital. 
• Aprender sobre a aplicação de hashes e seu uso na 
computação. 
6
1. Os principais tipos de criptografia atuais
Neste tema, você entenderá como funcionam os principais tipos de 
criptografia usados atualmente: a criptografia simétrica e a criptografia 
assimétrica. Além disso, abordaremos sobre o funcionamento da 
assinatura digital e a utilidade de resumos criptográficos, também 
chamados de hash, em áreas específicas da computação.
1.1 Criptografia simétrica
A criptografia simétrica se baseia em uma chave que é compartilhada 
pelo receptor e pelo emissor, em que ela cifrará e decifrará o conteúdo 
recebido ou enviado. Por isso, essa chave não pode ser fornecida a 
qualquer um, apenas para quem se quer manter uma comunicação 
sigilosa.
Como exemplo de algoritmos criptográficos simétricos podemos citar 
o DES (Data Encryption Standart), 3DES (Three Data Encryption Standart) 
e o AES (Advanced Encryption Standart). A seguir, temos uma figura que 
ilustra seu funcionamento:
Figura 1 – Criptografia simétrica
Fonte: elaborada pelo autor.
7
1.2 Modos de cifra simétrica
As cifras simétricas se subdividem em dois tipos principais: cifras de 
fluxo e cifras de bloco.
As cifras de fluxo fazem a criptografia do conteúdo a ser cifrado bit a bit 
sequencialmente. O algoritmo de cifra de fluxo mais conhecido é o RC4, 
o qual está ilustrado na figura a seguir.
Figura 2 – Algoritmo RC4
Fonte: elaborada pelo autor.
Por sua vez, as cifras de bloco operam da seguinte forma: o conteúdo 
a ser cifrado é dividido em blocos de tamanhos iguais e é aplicado o 
algoritmo de cifra simétrica escolhido para sua cifra em cada bloco 
separadamente. Caso o último bloco não atinja o tamanho dos 
antecessores, ele é preenchido com dados de preenchimento (pad), 
que são retirados na sua decifração. As figuras a seguir ilustram o 
funcionamento dos principais modos de cifra simétrica.
8
Figura 3 – Modo ECB (Electronic Code Book)
Fonte: elaborada pelo autor.
Como você pode notar, na operação de cifra, a chave é aplicada 
diretamente sobre o conteúdo do bloco produzindo um arquivo 
cifrado, de acordo com o algoritmo criptográfico simétrico utilizado. 
Consequentemente, isso produz resultados previsíveis, sendo um modo 
de cifra inseguro.
9
Figura 4 – Modo CBC (Cipher Block Chaining)
Fonte: elaborada pelo autor.
No modo de cifra CBC é aplicado um IV (Initial Vector) em uma operação 
XOR (Exclusive Or ou Exclusivo), que produzirá um resultado que será 
aplicado junto com a chave ao algoritmo de criptografia simétrica, 
gerando um bloco cifrado. Esse bloco cifrado, por sua vez, servirá como 
IV para o próximo, repetindo a operação nesse bloco e assim por diante.
10
Figura 5 – Modo CFB (Cipher Feedback Block)
Fonte: elaborada pelo autor.
O modo CFB aplica o algoritmo criptográfico escolhido usando a chave 
e o IV, produzindo um resultado no qual é aplicada uma operação lógica 
XOR entre ele e o bloco do arquivo original correspondente. O bloco 
cifrado resultante entra como IV do próximo bloco e a operação se 
repete até o final do conteúdo a ser criptografado.
11
Figura 6 – Modo OFB (Output Feedback Block)
Fonte: elaborada pelo autor.
O modo OFB funciona de modo similar ao CFB, no entanto, o conteúdo 
a ser usado como IV do bloco posterior é o resultado da cifra obtida pela 
aplicação do algoritmo simétrico escolhido entre o IV e a chave, em vez 
do resultado do bloco cifrado.
12
Figura 7 – Modo CTR (Counter)
Fonte: elaborada pelo autor.
O modo Counter permite a decifração de dados específicos do 
conteúdo cifrado sem a necessidade de decifrar os dados anteriores ou 
posteriores.
13
1.3 Criptografia assimétrica
Esse tipo de criptografia usa duas chaves para seu funcionamento: a 
chave pública e a chave privada (GOODRICH; TAMASSIA, 2012).
A chave pública deve ser disponibilizada a todos os interessados com 
os quais se quer manter comunicações sigilosas. A chave privada, 
por sua vez, é de uso exclusivo de seu proprietário, não podendo de 
forma alguma ser revelada, caso contrário, as comunicações dele 
deixarão de ser sigilosas ou poderá haver falsificação de assinatura 
digital. Porém, como as chaves públicas e privadas funcionam e se 
relacionam?
Para a primeira questão, podemos afirmar que elas são 
matematicamente relacionadas: o que se cifra com a chave privada só 
se consegue decifrar com a chave pública relacionada e vice-versa.
Para transmitir uma mensagem codificada para um destinatário, deve-
se usar a chave pública dele para cifrar sua mensagem, a qual ele 
disponibilizou para você, enviando para ele sua mensagem cifrada.
Ao receber essa mensagem, ele a abrirá com a chave privada dele. 
Se ele quiser responder para você da mesma forma, ele usará a sua 
chave pública (que você disponibilizou para ele), cifrará a mensagem 
com ela, enviando-a para você, que abrirá com sua chave privada.
Caso você queira assinar digitalmente alguma mensagem, você deve 
usar sua chave privada. O conteúdo a ser assinado será cifrado com 
a chave privada e poderá ser aberto por qualquer um que tiver sua 
chave pública. Isso garante a autenticidade de autoria, pois, em tese, 
você não compartilha sua chave privada com ninguém, não havendo 
como negar a autoria do conteúdo assinado digitalmente. A figura a 
seguir ilustra o processo de assinatura digitale criptografia usando 
criptografia assimétrica.
14
Figura 8 – Cifra assimétrica e assinatura digital
Fonte: adaptada de Zochio (2016, p. 111).
Um dos algoritmos criptográficos que usa o conceito da criptografia 
assimétrica é o RSA. Nesse sentido, o seu funcionamento se baseia 
na inviabilidade de tentativa de fatoração de um dos componentes da 
chave pública, que é formado por dois números primos muito grandes. 
Veja como são compostas as chaves pública e privada nesse algoritmo:
15
São escolhidos dois números primos gigantescos, identificados por “p” e 
“q”, que multiplicados comporão “n”.
Então, escolhemos um número identificado por “e” que não tenha 
fatores comuns com (p-1)*(q-1), ou seja, que são primos entre si.
O cálculo da chave privada é feito realizando a operação matemática 
“redução modular”, que é o mesmo que calcular o inverso do módulo, 
e esse resultado será denominado “d”, que junto com “n” comporão a 
chave privada.
1.4 Hash
Hashes são usados, basicamente, para verificação de integridade de 
conteúdos digitais. Quando fazemos um resumo criptográfico de um 
arquivo digital (não confunda com a criptografia, que é totalmente 
diferente), usamos um algoritmo de hash que faz cálculos de forma 
idiossincrásica, gerando uma saída hexadecimal de tamanho fixo. O hash 
calculado com determinado algoritmo de hash gerará sempre a mesma 
saída para o mesmo conteúdo; caso seja mudado apenas um bit desse 
conteúdo, o resultado do hash será alterado consideravelmente.
O cálculo do hash é irreversível, ou seja, não é possível saber, por meio 
de sua saída, sua entrada, diferentemente da criptografia, que usa uma 
chave para obter o conteúdo original.
Além disso, hashes possuem várias aplicações, podendo ser usados 
para garantir integridade de arquivos que contém vestígios a serem 
analisados por peritos forenses computacionais, podem ser usados em 
bancos de dados para serem armazenados no lugar de seus conteúdos 
originais, como no caso de senhas, para evitar seu roubo, caso o banco 
de dados seja invadido (uma vez que o hash é irreversível, o invasor não 
conseguirá saber a senha de fato); são usados também para verificar 
se o download de um arquivo foi executado na íntegra (tendo o hash 
do arquivo a ser baixado calculado e divulgado previamente, o usuário 
16
poderá calcular o hash do arquivo baixado com o mesmo algoritmo 
usado anteriormente no cálculo para ver se coincidem).
Ademais, eles também são usados para verificação de integridade de 
documentos digitais assinados (calcula-se o hash desse documento 
assinado; se coincidirem, ele está íntegro). A autenticação de mensagens 
também é outro uso que pode ser aplicado ao hash, em caso queira 
transmitir uma mensagem, seu conteúdo, criptografado ou não, pode 
ter seu hash calculado e enviado paralelamente à mensagem; se o hash 
calculado da mensagem recebida for o mesmo do hash recebido, então, 
a mensagem está íntegra. Nesse sentido, podemos citar como exemplos 
de algoritmos de hash os seguintes: MD5, SHA1, SHA256, SHA512, 
Whirlpool (este inclusive é um projeto belga-brasileiro).
1.5 CRC (Checagem de Redundância Cíclica)
Esta é uma técnica usada para detecção de erros na transmissão 
de dados digitais. Nesse método são adicionados bits de checagem 
(checksum), por sua vez, eles são anexados à mensagem transmitida. O 
receptor poderá verificar se o checksum está de acordo com os dados 
transmitidos e determinar com certo grau de precisão se ocorreram 
erros na transmissão. Em caso positivo, o receptor faz com que a 
mensagem seja retransmitida.
Assim, matematicamente, o CRC é baseado em aritmética polinomial, 
com a computação do resto da divisão de um polinômio em GF(2) (Galois 
field with two elements) por outro. Veja o exemplo a seguir na prática:
Seja a mensagem M = 01000001 (o caractere A em ASCII).
O polinômio G(x) usado é: x4+x3+1 = 110012 .
Acrescentamos à mensagem inicial a quantidade de zeros equivalente 
ao grau do polinômio G(x), logo:
010000010000.
17
Em seguida, dividimos a mensagem pelo polinômio G(x): a divisão 
de dois polinômios, nas suas formas binárias, é feita aplicando-se a 
operação XOR bit a bit, que dá como resultado o resto da divisão igual 
a 00011. A seguir, acrescentamos esse resto à mensagem original, 
lembrando que, como se está operando com grau 4, devemos usar 
quatro dígitos para representar o resto.
Para conferir a mensagem, repete-se o processo, se não restar nada no 
final, a mensagem está íntegra.
1.6 Protocolos criptográficos
Dentro de uma comunicação em rede, os algoritmos criptográficos 
funcionam por meio de protocolos criptográficos. Um protocolo 
muito usado para esse fim é o TLS (Transport Layer Security) e seu 
funcionamento está descrito na figura a seguir.
Figura 9 – Protocolo criptográfico TLS (Transport Layer Security)
Fonte: elaborada pelo autor.
18
Três anos após lançar o SSL v3 (Secure Socket Layer, protocolo anterior 
ao TLS), em 1999, criou-se o TLS 1.0. Ele não era muito diferente do SSL 
v3, e as diferenças eram alegadamente suficientes para proporcionarem 
segurança. Em abril de 2006 foi criada a versão 1.1, trazendo mudanças 
significativas e em 2008 foi criada a versão 1.2. Essa última trouxe 
mudanças mais drásticas em relação a sua versão anterior e a partir dela 
todas as versões de TLS não poderiam mais negociar downgrade para 
versões inferiores ao SSL v3.
Em 2018 entra em cena o TLS 1.3, que mudou significativamente em 
relação a sua versão imediatamente anterior, corrigindo inclusive 
problemas de segurança.
1.7 Geradores pseudoaleatórios
Neste texto, você pôde notar que nos algoritmos criptográficos 
simétricos há o vetor de início (IV) em muitos deles. Você sabe qual 
sua função? Gerar um número aleatório a partir do qual será feita a 
criptografia, para não uniformizar a aplicação do algoritmo criptográfico 
no conteúdo a ser cifrado, dificultando sua criptoanálise (exploração de 
falhas na criptografia). Porém, como esses números são gerados? Eles 
são gerados por meio de geradores pseudoaleatórios.
Veja a seguir um exemplo de um gerador pseudoaleatório escrito em 
Python:
import random
caracter = [‘0’, ‘1’, ‘2’, ‘3’, ‘4’, ‘5’, ‘6’, ‘7’, ‘8’, ‘9’, ‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’]
tamanho = 16
iv = ‘’
19
while len(iv) < tamanho:
iv = iv+random.choice(caracter)
print(“IV = “, iv)
Esse programa gera uma sequência hexadecimal de 16 bytes de 
forma aleatória. Por sua vez, a biblioteca random gera sequências 
pseudoaleatórias, e escolhe de forma mais aleatória possível os 
caracteres dentro de uma série.
1.8 Hacking e quebra de sigilo
Você já deve ter ouvido notícias como: “hacker invade conta bancária e 
desvia milhões de dólares”; “empresa X teve seus dados sequestrados 
por hacker”, “hacker rouba senhas de usuários”. No entanto, agora você 
aprenderá os termos corretos. O que é um hacker?
No jargão da T.I., hacker é um profundo entendedor de computação. Um 
hacker possui espírito autodidata, pesquisador e não se contenta em 
saber apenas o necessário para exercer suas funções. Ele vai além do 
óbvio e, por isso, conhece mais que a maioria.
Aquele que faz os estragos que você costuma ouvir nos noticiários é o 
“cracker”, esse sim é o vilão da história. Ele usa seus conhecimentos para 
proveito próprio e não possui ética, nem princípios e nem legalidade nas 
suas ações.
O hacker que se dedica a aprimorar a segurança de sistemas e usa seus 
conhecimentos na busca de falhas e como mitigá-las é o “hacker ético”, 
que é uma profissão no mundo da T.I. Ele compõe o red team, ou seja, a 
equipe responsável por atacar sistemas (com autorização de seu dono) 
para testar sua segurança, enquanto o blue team, a equipe responsável 
20
pela segurança desse sistema, procura protegê-lo da forma mais 
adequada possível.
Há também certificações profissionais nessa área, como: Ethical Hacking 
Foundation (EXIN), CEH (Certified Ethical Hacker, da EC-Council) e a 
Pentest+ (CompTIA).
1.9 Hacking e a legislação brasileira
Sevocê pretende seguir essa vertente da computação, você deve se 
atentar para os aspectos legais para o exercício dessa atividade.
Por exemplo, a invasão de dispositivo eletrônico alheio sem autorização 
de seu proprietário é crime. Portanto, para realizar um teste de invasão, 
você precisa da autorização por escrito de seu proprietário.
A Lei nº 12.737, de 30 de novembro de 2012, a Lei “Carolina Dieckmann”, 
altera e acrescenta alguns artigos no Código Penal brasileiro sobre crimes 
de informática. Ela acrescenta o art. 154-A no Código Penal, que diz:
Invadir dispositivo informático alheio, conectado ou não à rede de 
computadores, mediante violação indevida de mecanismo de segurança 
e com o fim de obter, adulterar ou destruir dados ou informações 
sem autorização expressa ou tácita do titular do dispositivo ou instalar 
vulnerabilidades para obter vantagem ilícita:
Pena–detenção, de 3 (três) meses a 1 (um) ano, e multa. (BRASIL, 2012, art. 
154-A)
Esse conteúdo tratou sobre um dos pilares da segurança da informação, 
a confidencialidade, obtida principalmente pela criptografia; falou sobre 
o outro pilar da segurança da informação, a integridade, obtida por 
meio do hash. Além disso, ela abordou a autenticidade, conseguida com 
assinatura digital, e também fez observações sobre hackerismo e como 
ele pode ser feito dentro da lei.
21
Referências Bibliográficas
BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação 
criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 
1940–Código Penal; e dá outras providências. Brasília, DF: Presidência da República, 
[2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/
l12737.htm. Acesso em: 23 nov. 2020.
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto 
Alegre: Bookman, 2012.
STALLINGS, W. Criptografia e segurança de redes. 6. ed. São Paulo: Prentice Hall 
Brasil, 2015.
ZOCHIO, M. F. Introdução à criptografia. São Paulo: Novatec, 2016.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
22
O lado humano da segurança da 
informação
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
Objetivos
• Destacar a importância do fator humano na 
segurança da informação. 
• Descrever os movimentos hackers e suas motivações 
e consequências de seus atos. 
• Discutir a liberdade de expressão na Internet.
23
1. Engenharia social: explorando a falha 
humana
A segurança da informação envolve vários fatores, como segurança 
física, segurança lógica, além dos três pilares mestres da segurança da 
informação: confidencialidade, integridade e disponibilidade. Entre os 
fatores que merecem destaque está o fator humano.
Nesse sentido, é importante considerar que o mundo corporativo não é 
só formado por prédios, máquinas e escritórios: corporações são feitas 
principalmente de gente, de pessoas. Desse modo, são as pessoas que 
movem o mundo corporativo, sem pessoas, não existem empresas.
Isso ficou evidente na crise provocada pelo coronavírus, por 
exemplo, em que empresas anteriormente criticavam o home office, 
colocando-o como uma atividade de segunda categoria, que não era 
possível monitorar o funcionário, que ele ficaria disperso, não haveria 
produtividade e outras críticas do gênero. Porém, neste cenário, o que 
se viu foi a manutenção da produtividade ou até o aumento dela, fora a 
economia com gastos de manutenção predial, pagamento de benefícios 
(como o vale transporte) e outras despesas. Assim, mais do que nunca, 
as pessoas mantiveram os negócios da empresa funcionando. Logo, elas 
são uma parte importantíssima do mundo corporativo.
Além disso, isso também faz delas um alvo para crackers, que usam 
a engenharia social para tirar proveito de funcionários incautos. No 
entanto, o que é “engenharia social”?
A engenharia social é a manipulação de pessoas para que executem 
ações em favor do cracker ou forneçam informações confidenciais sobre 
si ou sobre uma corporação. Por exemplo, um especialista nesse tipo de 
ataque é Kevin Mitnick, autor do livro A arte de enganar, famoso cracker 
da década de 1990, que hoje usa seus conhecimentos em prol de causas 
24
mais nobres. Segundo Mitnick e Simon (2002), engenharia social é um 
ataque planejado que explora o altruísmo e a boa vontade das pessoas.
Uma das bases da engenharia social é juntar informações aos poucos, 
explorando o que se conhece para chegar ao alvo, fase por fase. Assim, 
o engenheiro social precisa planejar seus ataques, saber quem tem 
as informações, como chegar até tal pessoa, como fazer com que esta 
pessoa acredite nele e lhe forneça a informação. A seguir, apresentamos 
um exemplo de abordagem de um cracker.
Cracker: – Bom dia, sou Mario gerente de relacionamento do banco 
Descão, falo com o senhor Natalino, titular da conta nº 123456?
Alvo: – Sim.
Cracker: – Estamos recadastrando os clientes em nosso novo sistema 
e estou ligando para confirmar seus dados. O senhor nasceu em 
25/12/1938 e mora na rua 1, nº 13?
Alvo: – Sim.
Cracker – O seu telefone é ainda o 7070-7070, o seu CPF é o 131.313.131-
13 e o RG é 4567890-9?
Alvo: – Sim.
Cracker: – Pode me confirmar o número do seu cartão de crédito?
Alvo: – Sim, o número é 123456789.
Cracker: – Muito obrigado, os seus dados foram atualizados. Só falta 
o senhor confirmar suas senhas para registrá-las novamente. Vou lhe 
transferir para nossa central de autenticação, onde o senhor poderá 
digitar as senhas diretamente no seu aparelho de telefone.
25
Então, o alvo é transferido para um sistema automático com voz 
registrada que pede para confirmar o cadastro, primeiro para digitar a 
senha do cartão e depois a senha do «internet banking» e demais dados 
do cartão (vencimento e código de segurança).
Em seguida, a ligação volta para o cracker:
Cracker:–Obrigado, senhor Natalino. Já atualizamos seus dados. Conte 
sempre com nossos serviços!
Com esse exemplo, você notou que o cracker foi ganhando a confiança 
do alvo, citando de antemão informações corretas sobre ele? Com essa 
abordagem, extrair dados do alvo fica mais fácil.
Para evitar ataques desse tipo, é preciso conscientizar os funcionários 
sobre como eles são efetuados e incutir neles o senso de discrição em 
relação a dados e informações da empresa e deles mesmos. Em outras 
palavras, convencê-los da importância da segurança da informação. Para 
isso, a empresa deve promover treinamentos e palestras sobre o tema e 
educar seus funcionários para evitar prejuízos.
2. Hackerismo: o movimento hacker e a 
sociedade
Com o advento da computação, já sendo usada em escala empresarial, 
por volta do início da década de 1960, um grupo do Massachussets 
Institute of Technology (MIT) começou a pregar a ideia de que 
informações deviam ser totalmente livres e que o uso dos computadores 
deveria ser tão universal quanto possível. Essa é considerada a primeira 
geração de hackers. Não havia hierarquia entre eles, pois, eles sempre 
desconfiavam da autoridade; promoviam ações descentralizadas em 
prol da comunidade e compartilhavam os resultados de seus trabalhos. 
26
Como você pode notar, o movimento hacker sempre esteve ligado a 
política e causas sociais desde seu início.
A segunda geração de hackers teve início na década de 1970, ficando 
conhecidos como “hardware hackers”, pois, eles queriam transformar os 
computadores, tornando-os menores e mais acessíveis, levando-as ao 
maior número possível de pessoas, a fim de popularizá-los.
Enquanto as gerações originais de hackers estavam interessadas nas 
políticas relacionadas a softwares e hardwares, tirando seu controle 
das grandes corporações e colocando-os mais próximos do povo, as 
gerações posteriores de hackers ultrapassaram esse limite, realizando 
ações diretas de desobediência civil e tendo uma atitude mais rebelde 
em relação à autoridade constituída.
Então, o hackerismo pode ser definidocomo o uso de ferramentas 
digitais com fins políticos. No entanto, é importante não confundi-los 
com profissionais de segurança ofensiva (pentesters), pois eles não têm 
necessariamente posicionamento político.
Em outras palavras, segundo Samuel (2004), trata-se da união das 
ferramentas e conhecimentos a serviço do ativismo político por meio 
das redes digitais.
2.1 Anonymous: quem são?
Em meados de 2003 começou a surgir o mais famoso grupo de 
hacktivistas da atualidade: o anonymous.
Os anonymous surgiu dentro do 4chan, um fórum de discussão sobre 
qualquer assunto, até hoje em funcionamento. Os usuários sem 
identificação nas discussões tinham suas mensagens postadas como 
anonymous. Assim, não demorou para essa denominação ser adotada 
pelo grupo.
27
Em seu início, os anons, como passaram a ser chamados, atuavam por 
diversão. Eles invadiam plataformas de jogos infantis para perturbar 
seus usuários e zombavam de internautas em sites de relacionamento. 
Aos poucos, a atitude “adolescente” foi dando lugar a causas mais 
politizadas.
A primeira delas foi o embate contra a Cientologia, que aconteceu 
em 2008. Um vídeo polêmico do ator Tom Cruise, que é membro da 
Cientologia, vazou na internet, contendo declarações de supremacia 
ideológica. Os cientologistas fizeram de tudo para tirar o vídeo do 
ar, ameaçando com processos quem o hospedasse ou baixasse. Isso 
não agradou aos anons, que passaram a proclamar que a Cientologia 
não permitia a liberdade de ação e expressão na Internet. Então, eles 
passaram a divulgar o vídeo em diversos sites, que eram retirados do 
ar por alguma ordem judicial baseada em uma petição da Cientologia. 
Com o endurecimento das ações da Cientologia, a coisa começou a ficar 
interessante para os anonymous, que aumentavam os locais em que 
os vídeos eram postados, inclusive na rede TOR, onde sua retirada era 
extremamente difícil.
A Cientologia não imaginava o que era lutar contra um grupo 
descentralizado sobre o qual ninguém tinha informações, nem sobre 
seus membros nem sobre o grupo em si.
Essas ações acabaram por mobilizar a opinião pública e a Cientologia 
tentava contra-atacar desqualificando o movimento, chamando o 
anonymous de ciberterroristas, mas não adiantou nada.
A partir de então, o anonymous assumiu o papel de voz ativa contra a 
censura, promovendo atos físicos e virtuais em defesa dos direitos civis 
e das liberdades individuais. Escondidos pela máscara que imita o rosto 
de Guy Fawkes, como a Figura 1, soldado inglês que morreu no Levante 
da Pólvora do século XVII, centenas de indivíduos e grupos hackers em 
todo o mundo fizeram e promoveram diversas ações, chamando os 
28
holofotes da imprensa sobre si e desafiando as autoridades vigentes, 
quando estas faziam coisas que os desagradavam.
Figura 1 – Máscara de Guy Fawkes
Fonte: tyannar81/iStock.com.
Ainda, merecem destaque o apoio do anonymous às operações Megaupload 
e Primavera Árabe, em que, no caso do primeiro, após o fechamento do 
site Megaupload, que era acusado de promover a “pirataria” de softwares, 
músicas e vídeos, que os Estados Unidos deveriam “esperá-los”.
Nas horas seguintes, o anonymous derrubou os sites da Universal Music, do 
Departamento de Justiça dos Estados Unidos, da Motion Picture Association 
of America (MPAA), do FBI, da Associação de Chefes de Polícia do Estado 
de Utah e até o site de registro de copyrights dos EUA e até o site do FBI, 
usando ataques DDoS (Distribuited Denial of Service), em português, “ataque 
de negação de serviço distribuído”.
Em 2012, esses mesmos tipos de ataques foram realizados no Brasil contra 
instituições financeiras brasileiras, com o intuito de chamar a atenção da 
29
população em relação à corrupção existente no país. Cada dia da semana 
compreendida entre as datas de 30 de janeiro a 4 de fevereiro de 2012 
era escolhido um banco como alvo com a intenção de deixá-lo inoperante 
por 12 horas consecutivas. Essa data caía justamente na “semana de 
pagamento”, ocasião na qual boa parte das empresas realizavam o 
pagamento do salário de seus funcionários.
Na época, o anonymous declarou que não tinha relação com esses ataques, 
e que eram realizados pelos grupos AntisecBrTeam, iPiratesGroup e 
Lulzsecbrazil, grupos hackitivistas que se declararam contrários às diretrizes 
do Anonymous. O grupo publicou em seu Facebook a seguinte mensagem:
Anonymous não tem como alvo a sociedade, os prejudicados por esta ação são 
única e exclusivamente os cidadãos, que estão na primeira semana do mês, 
semana de volta as aulas, semana de pagamento. … Esta ação está sendo 
executada por @AntisecBrTeam, @iPiratesGroup e @Lulzsecbrazil, grupos 
que se declararam contra o Anonymous abertamente, e estão executando 
essa ação como tentativa de desmoralizar o coletivo ao qual dedicamos várias 
de nossas forças há quase um ano. Eles, com toda sua necessidade doentia 
de atenção, decidiram assumir a postura de que ‘se não nos respeitam pelo 
amor, vão nos respeitar pela dor’. (MACHADO, 2015, p. 1539)
Anteriormente, em 2011, os sites da Presidência da República, da Receita 
Federal e do Portal Brasil ficaram inoperantes por três horas, atacados 
também via DDoS. Horas depois, o site da Petrobras ficou vinte e cinco 
minutos sem possibilidade de acesso.
Com o modus operandi do anonymous se tornando popular, outros grupos 
aderiram à causa. Assim, em 2018, ataques efetuados pelo(a) cracker 
VandaTheGod, integrante do Brazilian Cyber Army (BCA), outro grupo 
hackitivista, invadiu sites de governos estaduais e federais, incluindo alguns 
órgãos do governo, como universidades federais, e desfigurou-os. Em todas 
as desfigurações, críticas eram realizadas contra o então presidente da 
república, Michel Temer, ou ao sistema político brasileiro.
30
Como você pôde notar, os ataques DDoS (Distribuited Denial of Service) e 
desconfigurações de sites são os mais executados. A desconfiguração é 
realizada explorando falhas no servidor, que podem estar localizadas no 
sistema operacional dele, na própria página alvo, ou em outros lugares, 
buscando obter acesso privilegiado ao sistema ou instalando uma shell 
remota para acesso ao servidor. A partir daí, busca-se onde está a página da 
Web a ser modificada e, assim, seus arquivos e textos são alterados.
O ataque DDoS (Distribuited Denial of Service) opera de várias formas, 
pondendo explorar várias brechas dos próprios protocolos de comunicação 
de rede, por exemplo, o TCP. Veja um exemplo de ataque DoS (Denial 
of Service), uma versão mais simples do ataque DDoS, realizado por um 
só atacante, comparado ao funcionamento normal do protocolo TCP 
(Transmission Control Protocol), em português, “protocolo de controle de 
transmissão”.
Figura 2 – Comparação entre TCP-IP e ataque DoS
Fonte: elaborada pelo autor.
31
Como você pode notar, o ataque DoS, assim como o DDoS, explora a 
estrutura de funcionamento do protocolo TCP, que sempre responderá 
com SYN-ACK toda vez que receber uma requisição SYN. Isso fará com 
que haja milhares de requisições de conexão a serem atendidas, e 
alguém com uma requisição legítima não consiga se conectar, gerando a 
negação de serviço do servidor. Por sua vez, a diferença entre o DoS e o 
DDoS é que primeiro vários computadores realizam o ataque ao mesmo 
tempo, aumentando o poder do ataque.
2.2 Análise das ações hackitivistas
Embora revestidas de idealismos, as ações hackitivistas são criminosas 
perante a lei.
Nesse sentido, todos os países têm leis contra tal prática; no Brasil, a Lei 
nº 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação 
criminal de delitos informáticos, altera o art. 154 do Código Penal 
Brasileiro, que fica acrescido com os 154-A e 154-B (BRASIL, 2012):
Invasão de dispositivo informático
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede 
de computadores, mediante violação indevida de mecanismo de segurança 
e com o fim de obter, adulterar ou destruir dados ou informações 
sem autorização expressa outácita do titular do dispositivo ou instalar 
vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou 
difunde dispositivo ou programa de computador com o intuito de permitir 
a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta 
prejuízo econômico.
32
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações 
eletrônicas privadas, segredos comerciais ou industriais, informações 
sigilosas, assim definidas em lei, ou o controle remoto não autorizado do 
dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta 
não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver 
divulgação, comercialização ou transmissão a terceiro, a qualquer título, 
dos dados ou informações obtidos.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado 
contra:
I. Presidente da República, governadores e prefeitos;
II. Presidente do Supremo Tribunal Federal;
III. Presidente da Câmara dos Deputados, do Senado Federal, de 
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal 
ou de Câmara Municipal; ou
IV. dirigente máximo da administração direta e indireta federal, estadual, 
municipal ou do Distrito Federal.
‘Ação penal
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede 
mediante representação, salvo se o crime é cometido contra a 
administração pública direta ou indireta de qualquer dos Poderes da 
União, Estados, Distrito Federal ou Municípios ou contra empresas 
concessionárias de serviços públicos’.
Logo, as atividades hacktivistas podem ser enquadradas como 
criminosas, sob a ótica da lei; seus praticantes podem ser enquadrados 
como malfeitores da sociedade.
33
Porém, não é só atividades hacktivistas que podem ser enquadradas 
como crime ou como atividades reprováveis; você verá a seguir outras 
atitudes na Internet que precisam ser evitadas.
3. Liberdade de expressão e a Internet
Atualmente, é muito comum as pessoas expressarem sua opinião, 
principalmente na Internet, sobre qualquer assunto: comentando 
notícias, participando de fóruns de discussão, nas redes sociais das 
quais elas fazem parte, e também em seus próprios sites, como blogs.
Como isso tem sido feito? A liberdade de expressão é o direito de todo 
e qualquer cidadão de manifestar seu pensamento, opinião, atividade 
intelectual, artística, científica e de comunicação, sem censura, como 
assegurado pelo art. 5º da Constituição (BRASIL, 1988).
Isso significa que deve ser interpretado ipsis literis (ao pé da letra)? 
Pense no seguinte caso: direitos usados de forma irresponsável, 
ocasionam revolta na parte ofendida. Em outras palavras, é a velha 
máxima “seu direito termina quando começa o do outro”. Logo, esse 
fato pode ser evidenciado nos casos de racismo, misoginia (ódio às 
mulheres), discursos de ódio em geral, ofensas à honra, e outros fatos 
desagradáveis, sendo, inclusive, classificados como crime.
Isso acontece porque a liberdade de expressão não é um direito 
absoluto, e qualquer manifestação de opinião, quando desmedida, 
se transforma facilmente em calúnia, difamação ou injúria, que pode 
originar um processo judicial.
Nesse sentido, se você analisar comentários de notícias, verificará que 
ali são cometidos muitos desses “crimes menores”, pois, há comentários 
ofensivos, não só em relação à notícia, mas ataques diretos para outros 
leitores que fizeram seus comentários.
34
Isso pode ser incentivado pelo fato das palavras ditas atrás de um 
computador não são ditas pessoalmente, e há a falsa ilusão que seus 
autores não prestarão contas disso. No entanto, pense: é o caso do 
agressor de produzir provas contra ele mesmo, pois ele documentou 
sua agressão. Assim, o seu IP está atrelado àquele texto e uma perícia 
em seu computador pode comprovar a autoria do fato.
Portanto, ao usar esse direito de livre expressão de pensamentos, 
o usuário da internet deve pensar nos limites de sua liberdade, pois 
ninguém é livre de verdade, todos os seres humanos têm de prestar 
contas a alguém.
Outro crime praticado com frequência é a exposição de dados pessoais 
na internet, seja por crackers, que comercializam esses dados, ou, 
ainda, de forma inadvertida, por empresas e órgãos governamentais. 
Por exemplo, é comum você encontrar CPF, RG, endereço residencial 
de alguém na Internet, mas isso viola princípios da segurança da 
informação e até a legislação. Com a Lei Geral sobre Privacidade de 
Dados, a livre divulgação e comercialização de dados estão proibidas, 
pois, toda empresa que detiver os dados de alguém é obrigada a guardá-
los e zelar por eles, caso contrário, sofrerá sanções.
4. Conscientização de usuários
Como você pôde notar, há muito que considerar sobre o lado humano 
da segurança da informação. E por ser o elo mais fraco dela, ele precisa 
ser constantemente reforçado e vistoriado.
Isso acontece porque o ser humano não é como um computador, que só 
faz o que é programado para fazer, ele tem livre arbítrio e, muitas vezes, 
usa essa faculdade de modo equivocado.
35
Para que tome decisões corretas, o ser humano precisa ser treinado 
para tal. Ele tem que adquirir conhecimento sobre um assunto, 
raciocinar sobre ele, e treinar para que esse conhecimento faça parte 
dele; ele tem que agir automaticamente da maneira correta.
Nessa ocasião é que entra campanhas de conscientização de usuários. 
As empresas devem treinar seus funcionários para entenderem a 
importância da segurança da informação para a manutenção do 
emprego deles. Não é o fato de simplesmente pensar “se eu não 
seguir as regras da empresa, serei despedido”. Ele deve entender que 
se ele não seguir os princípios da segurança da informação dentro da 
empresa e fora dela, quando em serviço ou não, ele será uma ameaça 
para a empresa, tendo que ser “eliminado”, corporativamente falando. 
Se a empresa sofrer um revés financeiro devido a um ato descuidado 
por parte desse funcionário, o emprego dele e de seus colegas estão 
correndo perigo, pois, a empresa pode dispensá-los por não poder mais 
continuar com eles. Nesse caso, vê-se um dos bordões militares mais 
famosos sendo posto em prática: “quando um errar, todos vão pagar”.
Portanto, se você estiver em um cargo de coordenação, gerência 
ou diretoria um dia, lembre-se disso e faça uma campanha de 
conscientização na sua empresa.
Referências Bibliográficas
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. 
Brasília, DF: Presidência da República, [1988]. Disponível em: http://www.planalto.
gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 19 nov. 2020.
BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação 
criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 
1940–Código Penal; e dá outras providências. Brasília, DF: Presidência da República, 
[2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/
l12737.htm. Acesso em: 23 nov. 2020.
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
36
MACHADO, M. B. Entre o controle e o ativismo hacker: a ação política dos Anonymous 
Brasil. História, Ciências, Saúde – Manguinhos, Rio de Janeiro, v. 22, p. 1531-1549, 
dez. 2015. Disponível em: https://www.scielo.br/pdf/hcsm/v22s0/0104-5970-hcsm-
22-s1-1531.pdf. Acesso em: 23 nov. 2020.
MITNICK, K. D.; SIMON, W. L. A arte de enganar–ataques de hackers: controlando 
o fator humano na segurança da informação. São Paulo: Pearson Education, 2003.
PIRES, M. R. O equilíbrio necessário para que a liberdade de expressão coexista 
com outros direitos. RevistaÂmbito Jurídico, 1 dez. 2011. Disponível em: https://
ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-
que-a-liberdade-de-expressao-coexista-com-outros-direitos/#:~:text=%C3%89%20
necess%C3%A1rio%20que%20exista%20um,direito%20em%20
rela%C3%A7%C3%A3o%20a%20outro. Acesso em: 23 nov. 2020.
SAMUEL, A. W. Hacktivism and the future of political participation. 2004. Tese 
(Doutorado em Ciência Política)–Harvard University, Cambridge, 2004. Disponível 
em: https://www.alexandrasamuel.com/dissertation/pdfs/Samuel-Hacktivism-entire.
pdf. Acesso em: 23 nov. 2020.
https://www.scielo.br/pdf/hcsm/v22s0/0104-5970-hcsm-22-s1-1531.pdf
https://www.scielo.br/pdf/hcsm/v22s0/0104-5970-hcsm-22-s1-1531.pdf
https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib
https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib
https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib
https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib
https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib
https://www.alexandrasamuel.com/dissertation/pdfs/Samuel-Hacktivism-entire.pdf
https://www.alexandrasamuel.com/dissertation/pdfs/Samuel-Hacktivism-entire.pdf
37
Testando a segurança
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
Objetivos
• Entender as fases de um pentest e como realizá-las. 
• Aprender a fazer um relatório de pentest. 
• Compreender o que é ser um hacker ético
38
1. Pentest
Neste material, você aprenderá sobre os princípios que norteiam a 
realização de um teste de segurança de uma corporação, mais conhecido 
pela palavra pentest.
Essa palavra é uma abreviação de seu nome em inglês, penetration test, 
e a ideia é ver o quão profundamente o hacker ético consegue entrar 
no sistema de uma empresa, seja ele um site, um servidor, uma rede ou 
um computador específico dessa rede. Isso inclui obtenção de acessos 
privilegiados, acesso às informações que deveriam estar protegidas e 
demonstração de falhas de segurança.
O profissional que é especializado nesse tipo de teste é o hacker ético. Ele 
possui os mesmos conhecimentos que um cracker, aquele que age para 
obter vantagens e prejudicar o invasor de algum modo. Por outro lado, o 
hacker ético é um profissional que age dentro da lei e da ética. Ele descobre 
as falhas de segurança da empresa que o contrata e elabora um relatório 
discriminando as falhas encontradas e como eliminá-las.
Para realizar esse trabalho, o hacker ético precisa ter profundo 
conhecimento do ambiente em que ele vai atuar, logo: ele deve conhecer 
muito bem os sistemas operacionais envolvidos no pentest, as ferramentas 
que vai usar e, principalmente, como explorar falhas em sistemas, além de 
estar atualizado com seu saber profissional. Neste cenário, falhas novas 
são descobertas a todo momento e uma grande parte delas é publicada, 
portanto, ele precisa estar atento no progresso de sua área de atuação.
Desse modo, o trabalho de pentest exige uma abordagem metodológica 
para ser bem feito.
1.1 Como planejar e realizar um pentest
Todo teste possui uma metodologia para que ele seja realizado com 
sucesso, o que também se aplica ao pentest. Por sua vez, ele possui fases 
que devem ser seguidas uma após a outra, conforme a figura a seguir.
39
Figura 1 – Fases de um pentest
Fonte: elaborada pelo autor.
Coleta de informações (footprint): é a primeira fase, onde você 
usa métodos não invasivos para obter informações sobre um alvo e, 
posteriormente, usa métodos mais intrusivos. A intenção é ter o mínimo 
de contato com o alvo para evitar detecção, soando algum alarme no 
sistema. Alguns exemplos de lugares e métodos usados para obter as 
informações iniciais não invasivas são:
• Consultas de whois: a expressão vem da expressão inglesa who is?, 
em português, “quem é?”. Esse é um serviço disponível na internet 
que fornece informações sobre domínios de sites, faixas de IP, 
proprietário, DNS (Domain Name Server, ou servidor de nome de 
domínio) e contato com o responsável técnico.
• Sites de buscas (Google): o Google possui um poderoso motor de 
busca, e seu poder é tanto que há denominadas Google Hacking 
que podem ser usadas para obter informações mais intrusivas 
sobre o alvo, além de permitir alguns ataques via Google, se a 
segurança do sistema não estiver corretamente configurada. Além 
disso, sites que não possuem conhecimento técnico sobre política 
de privacidade e sua legislação (inclusive governamentais) divulgam 
muitas informações de foro íntimo que deviam ser guardadas, como 
números de documentos de pessoas físicas, endereço, nome dos 
pais, entre outros. Montar um perfil falso com esses dados fica muito 
fácil nas mãos de uma pessoa mal-intencionada.
• Redes sociais: excelente fonte para obter informações para futuros 
ataques de engenharia social. Empresas costumam divulgar o 
nome de seu novo gerente, diretor, entre outros funcionários. 
40
Você mesmo, talvez, já deve ter colocado em seu LinkedIn que é 
funcionário da empresa X e possui o cargo Y nessa empresa.
Mapeamento/varredura de rede (scanning): uma vez feito o 
levantamento de informações sobre o alvo, é hora de ser assertivo, 
fazendo um ataque mais intrusivo e sem levantar suspeitas. Nesta fase 
são feitas algumas varreduras de ping para detectar computadores 
ativos na rede e seus respectivos endereços IP e port scans, varreduras 
de portas com o objetivo de detectar serviços sendo executados, como: 
servidor de Internet, servidor de e-mails, servidor de banco de dados, 
conexões criptografadas, servidores FTP, TELNET, entre outros. Uma 
ferramenta muito útil para tais atividades é o Nmap.
Enumeração: nesta fase, você analisa as informações obtidas na fase de 
scanning para determinar se elas são úteis para você, atacante. A seguir, 
listamos algumas informações que podem ser úteis:
• Lista de usuários e grupos: com essa informação, basta tentar 
descobrir quais as senhas desses usuários.
• Aplicações: sabendo quais as aplicações usadas, pode-se explorar 
falhas conhecidas delas.
• Informações de auditoria: se você conseguir obter informações 
sobre auditorias de sistemas, poderá encontrar valiosas sobre os 
sistemas auditados.
Exploração do sistema: agora você pode executar os ataques se 
baseando nas informações descobertas. Uma vez que você tem versões 
de sistema operacional, softwares, protocolos e outras informações, 
explore possíveis falhas conhecidas e se dominar bem a arte de explorar 
falhas, procure falhas até então desconhecidas.
Escalada de privilégios: uma vez explorada uma falha e invadido o 
sistema, essa é a fase em que o atacante procura obter, por meio da má 
configuração do sistema ou falha inerente, acesso a um usuário com 
privilégios de administrador do sistema. Por exemplo, acessar o sistema 
como usuário root, no Linux, ou admin, no Windows. Após obtido acesso 
41
administrativo, o sistema é seu. Inclusive, você pode testar outros 
computadores da rede, se o escopo de seu pentest permitir, atacando-os 
a partir do seu servidor invadido.
Implantação de backdoors: para que seja possível voltar ao sistema 
para continuar a testá-lo, você precisa providenciar um meio para 
entrar “pela porta dos fundos” (backdoor, em inglês), a fim de não ser 
identificado como intruso pelo sistema. Providencie um cavalo de Troia 
para que ele execute essa operação para você e instale-o no alvo.
Apagamento de rastros: tudo o que você faz em um computador é 
registrado. Se você conectar um pendrive em um computador, por 
exemplo, é possível saber a hora em que isso foi feito, se foram feitas 
transferência de arquivos para o pendrive ou do pendrive para o 
computador, se foi aberto algum arquivo no pendrive e, até mesmo, 
qual pendrive foi conectado, pois é gravado seu número de série. Logo, 
você precisaapagar vestígios de sua passagem pelo sistema. Caso você 
queira eliminar vestígios de sua presença e ações em sistemas Windows, 
ao usar a ferramenta meterpreter, use o comando clearev, que ele 
apagará todos os logs armazenados no sistema operacional Windows 
do computador invadido. Se o alvo tiver um servidor de logs, o atacante 
deverá pesquisar onde ele se encontra na rede e apagar seus logs, após 
comprometer esse servidor, com a exploração de alguma falha presente 
nele. Em computadores com sistema operacional Linux, o atacante 
deverá apagar os registros das seguintes pastas:
/var/logs
Nessa pasta, o arquivo messages presente contém os logs do sistema.
~/.bash_history
Essa pasta contém o histórico dos comandos executados no sistema 
operacional. Assim, pode-se encontrar comandos que podem provar a 
execução de comandos para comprometer o sistema. Elimine os rastros 
do histórico de comandos com o comando “export HISTSIZE=0” ou 
destruindo-o, com o comando “shred -zu root/.bash_history”
42
Há outros softwares, como o Apache, que são servidores de Internet 
que possuem logs próprios; caso ele tenha invadido uma página WEB 
hospedada neste tipo de servidor, haverá sinais de sua presença ali. 
Logo, cabe ao pentester saber quais softwares possuem logs próprios e 
se é preciso apagá-los.
1.2 Tipos de pentest
Ao solicitar um serviço de pentest, é preciso definir qual o escopo do 
teste. Ou seja, como ele será feito e até onde o teste deve ir. De acordo 
com Oriyano e Blockmon (2016), a literatura sobre o tema classifica três 
tipos de pentest:
Whitebox: nesse tipo de pentest, o contratante especifica em detalhes o 
que deseja que seja testado e abre as portas para o pentester. O escopo 
desse tipo de teste é bem restrito e especificado, e o pentester deve 
simplesmente testar o que lhe foi solicitado.
Graybox: alguns dados são fornecidos ao pentester. Por exemplo, uma 
empresa quer testar se sua intranet pode ser acessada por outra pessoa 
que não seja seu funcionário ou se é possível acessar de modo não 
autorizado seu banco de dados. A seguir, veja um exemplo de trecho 
de um contrato entre uma instituição de ensino e um pentester fictícios 
onde esse tipo de pentest é solicitado:
“A UniEsquina tem compromisso com a segurança e privacidade de seus 
dados e deseja confirmar se todos seus sistemas e servidores estão 
seguros.
Para tal, por meio desse contrato, resolve contratar Sandrovaldo 
Felisbino da Silva, doravante denominado contratado, para a realização 
de um pentest do tipo graybox, onde as únicas informações cedidas, além 
de um site público, é que a UniEsquina possui um servidor interno não 
acessível ao público externo, que hospeda sua intranet.
43
O objeto do contrato será detectar vulnerabilidades nos sistemas da 
UniEsquina e confeccionar um relatório sobre as falhas encontradas ou, 
se for o caso, ratificando a segurança do sistema.
O escopo do teste é explorar vulnerabilidades encontradas no referido 
servidor e procurar e explorar falhas em servidores da rede interna.
Por trabalhar em um servidor de produção, deve-se ter cuidado 
com possíveis paradas e exclusões de arquivos importantes; o bom 
funcionamento dos servidores e demais computadores da UniEsquina, 
durante o pentest, estará sob a responsabilidade do contratado.
O alvo central é: 52.7.213.137.”
Blackbox: não é fornecido ao pentester nenhum detalhe sobre o alvo, a 
não ser o endereço a ser atacado. Esse é o tipo de teste mais oneroso 
financeiramente para o contratante, pois, o pentester terá mais trabalho 
que nos outros, porque estará entrando em terreno desconhecido e 
poderá inclusive ser mais demorado.
1.3 Ferramentas de pentest
Existem os mais variados tipos de ferramentas para pentest, em que 
algumas são pagas, outras são livres de licença e outras possuem 
licenças que permitem seu uso livre.
Ao fazer o planejamento do pentest, você deve incluir este item no 
planejamento, então, qual ferramenta usar? Isso depende do tipo de 
teste que for realizar, por exemplo:
Se o seu cliente deseja que você teste a possibilidade do sistema 
ser invadido com um ataque vindo de suas dependências internas, 
provavelmente, haverá políticas de uso de softwares; logo, arquivos com 
extensão .exe fora do escopo da política de segurança da informação 
44
podem não ser permitidos pelo sistema. Nesse caso, você deverá 
desenvolver a sua própria ferramenta, pois, ferramentas como Nessus, 
Arachni, Acunetix, que fazem testes automatizados em sites e redes, 
estarão bloqueados. Por isso, todo hacker ético deve saber programar, 
pois, situações como essa podem aparecer.
Ainda, citando as ferramentas de testes automatizados, são necessárias 
certas considerações ao usá-las. Se você for usar essas ferramentas 
e disparar os testes como uma metralhadora, você será descoberto e 
bloqueado na rede do alvo. Portanto, ao usá-las, procure ser discreto: 
faça os testes disponibilizados por elas aos poucos, para não levantar 
suspeitas sobre sua presença.
Veja a seguir duas telas do software Acunetix, usado para testes 
automatizados em aplicativos e páginas WEB.
Figura 2 – Resultado de teste automatizado do software Acunetix
Fonte: captura de tela Acunetix.
45
Figura 3 – Descrição de possível falha encontrada pelo Acunetix, seu 
impacto e recomendações para sua solução
Fonte: captura de tela Acunetix.
O aviso na Figura 3 fala de uma possível ocorrência de vulnerabilidade a 
CSRF (Cross Site Forgery Request), que é um tipo de exploração maliciosa de 
um site por meio do qual comandos não autorizados são transmitidos de 
46
um usuário em quem o site confia. Em caso de um uso normal, isso pode 
comprometer os dados do usuário e, em caso do usuário administrativo do 
site, os danos podem se estender ao próprio site.
Além disso, não poderia faltar a distribuição Linux mais usada e mais 
conhecida para testes de segurança: o Kali Linux. O Kali é um framework 
que possui várias ferramentas para pentest, entre elas, podemos citar:
• Metasploit (coleção de exploits, programas feitos para explorar 
falhas específicas de sistemas).
• SET (Social Engineering Toolkit ou Kit para Engenharia Social).
• BeEF (Browser Exploitation Framework, usado para ataques XSS 
-Cross Site Scripting).
• John the Ripper (usado para ataques de força bruta e de 
dicionário contrassenhas e hashes).
• BetterCap: executa ataques man-in-the-middle (homem-do-meio).
• Nmap (Network mapper): usado para levantar informações sobre 
redes e sistemas.
• Air-crack-NG: ferramenta para testes de segurança em redes wi-fi.
• Wireshark: analisador de protocolo; permite verificar em detalhes 
o funcionamento de protocolos de comunicação de rede e, ainda, 
executa algumas funções de sniffer de rede.
Como abordado anteriormente, há várias ferramentas para se fazer 
um pentest, mas nenhuma delas substitui a principal ferramenta, a 
sua mente. Nesse sentido, estratégia, inteligência, conhecimento e 
capacidade de improviso são peças chaves para ser um excelente hacker 
ético. Logo, as ferramentas são apenas um meio de você realizar suas 
tarefas.
47
Para ser um hacker ético, você precisa saber por que usar esta 
ferramenta e não aquela, como funcionam os ataques, porque essa falha 
existe, como explorá-la, saber o funcionamento do sistema operacional 
que você vai testar, entender como o sistema se comporta, entre outros 
detalhes. Dessa maneira, o hacker ético deve ser capaz, inclusive, de 
construir sua própria ferramenta para exploração de vulnerabilidades, 
caso não seja possível usar uma já existente, devido a restrições no 
ambiente a ser explorado. Como diz o ditado, “conhecimento é poder”.
1.4 Relatório de pentest
Ao término dos testes, você precisa relatar o que encontrou, fazer uma 
PoC (Proof of Concept ou “prova de conceito”), para que seja comprovada 
a falha encontrada e recomendações para solucionar as falhas.
Desse modo, um bom relatório possui linguagem técnica, mas 
compreensível para o leigo, é escorreito em seu texto(não possui erros 
gramaticais), é sucinto e direto.
A seguir, apresentamos uma boa estrutura para um relatório de pentest:
• Capa com título e com a expressão “confidencial”.
• Sumário.
• Estrutura do sistema testado (desenho do sistema).
• Relato das vulnerabilidades encontradas (nessa parte, podemos 
incluir gráficos comparativos entre elas).
• Provas de conceito dessas vulnerabilidades.
• Conclusão.
48
• Apêndice (nessa etapa, você deve colocar as orientações para 
a equipe técnica com as recomendações para a solução das 
vulnerabilidades encontradas no pentest).
O relatório deve ser entregue somente para o responsável pela 
contratação do pentest.
Além disso, todas as falhas devem ser relatadas. Por sua vez, o pentester 
pode propor sua ajuda na correção delas, mas não é sua obrigação. 
Ele deve recomendar medidas para a correção dos erros, mas executar 
tais medidas depende do cliente. Se o cliente solicitar ao pentester a 
execução dessas medidas, o preço de sua execução não faz parte da 
contratação do serviço de pentest, sendo cobrado à parte.
1.5 Ética durante e após um pentest
O hacker ético deve ter discrição como seu padrão de conduta. Assim, 
ele não pode comentar com outras pessoas sobre as falhas que 
encontrou, vinculando-as ao seu cliente. Logo, é recomendável que 
se faça um contrato de sigilo profissional entre as partes, para que 
o processo seja transparente, e isso vale também para o cliente. Ele 
não deve contar que o hacker ético “tal” está testando a segurança 
da informação de sua empresa, pois, isso pode pôr a perder todo o 
trabalho executado, porque se isso ficar conhecido pela equipe de 
segurança, os resultados do teste não refletirão a realidade.
O hacker ético também deve se ater ao objeto do teste: não deve testar 
ou tentar invadir áreas da empresa para o qual o escopo do pentest não 
abrange.
Além disso, em alguns casos, pode-se causar processos judiciais, como: 
segredo de negócios, segredo de justiça, segredo industrial, segredo 
profissional, entre outras situações. Se informações desse tipo estiverem 
no escopo do pentest, elas devem constar no contrato de serviços junto 
49
com a autorização do cliente para testar seus ambientes como parte da 
execução dos serviços contratados.
Durante a operação normal de um sistema ou fazendo um pentest, caso 
descubra uma falha, você deve relatá-la ao responsável pela segurança 
e dar-lhe tempo para saná-la. Depois disso, você pode publicar sua 
descoberta.
1.6 Implicações legais em um pentest
A Lei nº 12.737, de 30 de novembro de 2012 (BRASIL, 2012), tipifica 
os crimes de informática. Entre eles está a invasão de dispositivos 
informáticos sem a autorização do seu dono. Logo, invadir computador 
ou qualquer outro dispositivo alheio, sem a autorização de seu 
proprietário, é crime.
Assim, a primeira coisa que deve ser feita antes da realização do pentest 
é solicitar uma autorização por escrita dos representantes legais da 
empresa, para o cumprimento dessa lei. Isso dará respaldo legal a toda 
e qualquer ação que o hacker ético fizer, dentro do escopo do teste.
1.7 Conclusão
Neste tema, você aprendeu que atuar como hacker ético pode ser 
glamoroso, mas requer muito conhecimento, estudo e dedicação. Além 
disso, pode-se exigir outras qualidades exigidas, como: discrição e 
ética, bem como estar a par da legislação local onde você atua sobre o 
assunto.
Saber operar ferramentas de pentest não o torna um hacker ético, 
mas sim o porquê você a está usando e como sanar os problemas 
encontrados por ela, aliado ao conhecimento técnico e legal sobre essa 
atividade.
50
Referências Bibliográficas
BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação 
criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 
1940–Código Penal; e dá outras providências. Brasília, DF: Presidência da República, 
[2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/
l12737.htm. Acesso em: 23 nov. 2020.
HOUT, N. J. V. den. Standardised penetration testing? Examining the usefulness 
of current penetration testing methodologies. 2019. Dissertação (Mestrado em 
Segurança de Informação)–Royal Holloway, University of London, 2019.
FELDERER, M. et al. Security testing: a survey. Advances in Computers, Cambridge, 
v. 101, p. 1-51, 2015.
ORIYANO, S. P.; BLOCKMON, R. Certified ethical hacker version 9: study guide. 
New Jersey: Sybex, 2016.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm
51
As novas formas de lidar com a 
informação
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
Objetivos
• Analisar os impactos das mudanças ocasionadas 
pela Lei Geral de Proteção de Dados (LGPD). 
• Entender os riscos e benefícios da filosofia “Traga 
seu próprio Dispositivo” (BYOD, em inglês, Bring Your 
Own Device). 
• Entender o novo cenário da T.I. 
52
1. O novo cenário da tecnologia da informação
Nas últimas décadas, as áreas de negócios e tecnologia da informação 
tiveram grandes mudanças. Nesse sentido, um dos maiores desafios 
enfrentados pelas empresas se trada de alinhar e integrar grandes 
evoluções na TI com os negócios.
As mudanças econômicas, a globalização e outros fenômenos aumentou 
a competitividade entre as empresas. Segundo Ruas (2005), não basta só 
aumentar a produtividade e qualidade, é necessária inovação. Atualmente, 
as empresas são extremamente dependentes de sistemas de informação, 
adicionando valor à tecnologia da informação nos negócios. Desse modo, 
sem uma tecnologia da informação eficiente, não se faz negócios.
Consequentemente, isso refletiu na principal peça de uma empresa: 
recursos humanos. Nesse contexto, o perfil do funcionário de tecnologia 
da informação mudou; antes, com um perfil introspectivo e puramente 
técnico, nesse novo cenário, ele adquire um perfil que abrange a área 
de negócios, pois, além do conhecimento técnico, ele precisa saber que 
valor está agregando à empresa com esse conhecimento e produtos 
ou serviços que fornece, além de saber expor esses valores aos 
stakeholders (interessados no projeto). Para ter sucesso em sua atuação, 
o funcionário de tecnologia da informação precisa saber a dose certa de 
inovação e entender as mudanças culturais causadas pela tecnologia da 
informação (BROADBENT; KITZIS, 2005).
A tendência é que todos os serviços técnicos prestados pela tecnologia 
da informação migrem para a “nuvem” (Cloud Computing) e sejam 
terceirizados, enquanto os funcionários da empresa atuam mais na 
parte tática e estratégica da tecnologia da informação.
Além disso, outro paradigma quebrado foi o trabalho remoto, em 
que muitas empresas consideravam essa modalidade de trabalho 
53
improdutiva, pois, achavam que não podiam supervisionar de perto 
o funcionário, ou nem o supervisionar de forma mais direta, e 
desencorajavam totalmente essa abordagem.
Porém, as empresas foram forçadas a recorrer a essa modalidade de 
trabalho durante a epidemia da COVID-19, a fim de não terem maiores 
prejuízos. Pors sua vez, qual foi o impacto dessa ação nas empresas?
Obviamente, esse tipo de trabalho possui maiores riscos, pois, 
os funcionários estão trabalhando em um local diferente de uma 
corporação, onde normalmente a infraestrutura não é adequada, tanto 
na parte tecnológica quanto na ergonômica, e também o ambiente 
não é uma empresa. Nessa época, aconteceram e acontecem gafes 
em reuniões on-line, filhos e animais de estimação “roubando a cena”, 
surgem coisas e fatos inusitados, entre outros reveses e cenas hilárias. 
No entanto, as empresas não negam que estavam enganadas quanto ao 
trabalho remoto, pois, várias empresas de teleatendimento conseguiram 
fazer com que seus atendentes trabalhassem em casa, o que era 
inimaginável para esse tipo de trabalho.
Veja a seguir as vantagens e desvantagens de trabalhar remotamente.
1.1 Vantagens do trabalho remoto
Trabalharem casa: o funcionário não corre risco e não passa estresse 
no trânsito, não chega cansado nem atrasado no trabalho devido 
ao transporte público lotado ou com problemas, não sofre com as 
intempéries (chuva, calor, frio, tempestades, enchentes ao ir ou voltar do 
trabalho).
Passar mais tempo com a família: embora o trabalho ocupe o mesmo 
tempo que na empresa e a intensidade de dedicação seja a mesma, o fato 
de estar com a família em casa melhora o fator psicológico do funcionário, 
54
que pode acompanhar sua família mais de perto e, de certa forma, estar 
mais presente, mesmo que não totalmente nos momentos de trabalho.
Ter mais tempo para projetos pessoais: como isso pode acontecer 
se vou trabalhar a mesma quantidade de horas que trabalhava antes? 
Lembre-se de que agora você não se desloca mais para a empresa ou 
da empresa para casa, assim, contará com algumas horas a mais para 
se dedicar a você. Logo, você poderá fazer aquele curso que você queria 
fazer, mas não tinha tempo ou energia porque chegava cansado demais 
do trabalho; ir à academia se exercitar; passar mais tempo com os filhos 
e cônjuge; ou seja, há uma possibilidade de melhor qualidade de vida.
Trabalhe de qualquer lugar do mundo: tendo uma estrutura adequada 
no local, você pode fazer aquela viagem com a família e, ainda assim, 
trabalhar enquanto eles se divertem.
Como não existem só pontos positivos, no item a seguir, listamos os 
pontos negativos.
1.2 Desvantagens do trabalho remoto
Cuidado com a desorganização: por trabalhar em casa, há a tendência 
de não haver um espaço dedicado ao trabalho remoto. Há também a 
tendência de misturar afazeres domésticos e afazeres profissionais. Por 
isso, é importante que você estabeleça horários para trabalhar e cuidar 
de coisas pessoais.
Acúmulo de tarefas: fruto da desorganização, assim, os prazos vão 
vencendo e as tarefas vão se empilhando. Isso também causa perda de 
qualidade na execução dos serviços, pois, com os prazos vencendo, a 
rapidez em terminá-los acaba sendo a prioridade.
Isolamento: trabalhar em casa deixa você isolado do mundo social. 
Você não tem contato presencial com outras pessoas, que não sejam 
55
da casa. Essa situação causa tédio e, até mesmo, depressão, gerando 
insatisfação com essa modalidade de trabalho.
Problemas de comunicação: a tendência de ocorrer mal-entendidos e 
falta de comunicação aumenta com o trabalho remoto. Presencialmente, 
as coisas são resolvidas mais rapidamente; o fato de existir uma mídia 
entre as pessoas torna a comunicação mais lenta, principalmente 
quando esta mídia apresenta problemas. Outro fator que pode 
atrapalhar a comunicação são quedas de energia elétrica, deixando 
equipamentos sem funcionar (incluindo internet), as quais em uma 
empresa podem ser mitigadas com geradores, coisa que em uma 
residência se torna inviável. A segurança da conexão é outro fator: sua 
rede é tão segura quanto a da empresa?
Aumento dos gastos domésticos: tudo aumenta quando se trabalha 
em casa: a conta da luz, da água, gastos com alimentação (inclusive os 
“lanchinhos” que estão mais acessíveis).
Há outro cenário que está se tornando tendência: funcionários com 
equipamentos próprios de trabalho.
2. BYOD (Bring Your Own Device)
Essa sigla, em português, significa “traga seu próprio dispositivo”. 
As empresas que adotam essa política de trabalho incentivam os 
funcionários a trabalharem com seu próprio equipamento, evitando 
custos com compra de computadores.
Para a equipe de segurança, isso é um pesadelo. Geralmente, uma 
das regras que se impõem aos funcionários de uma empresa é que 
eles não devem usar dispositivos pessoais na empresa, a fim de evitar 
contaminação por programas maliciosos e espionagem industrial. Isso 
vale não só para computadores, mas inclui pendrives e outros tipos de 
56
mídia. No entanto, agora as empresas incentivam justamente isso. Na 
visão da equipe de segurança, isso é um atentado contra a segurança da 
informação da corporação, mas essa é a realidade de algumas delas.
Acessar dados e informações da companhia com seu próprio dispositivo 
dentro da empresa, algo antes impensável, agora é comum. Nesse 
contexto, uma das razões das empresas adotarem essa política é que o 
funcionário cuidará melhor de seu equipamento do que o equipamento 
da empresa.
No entanto, essa política tem que ser bem implantada e ter uma 
infraestrutura jurídica e tecnológica para funcionar adequadamente, 
além de regras claras de uso profissional de equipamentos particulares 
a serviço de terceiros, por exemplo:
• Se o computador do funcionário quebrar, quem paga a 
manutenção? Afinal, ele estava a serviço da empresa.
• Quem pagará o seguro contra roubo? Lembrando, ele está a 
serviço da empresa.
• A empresa poderá adequar o dispositivo do funcionário para 
exercer o trabalho de acordo com suas normas? Não esqueça, o 
dispositivo não é da empresa.
• Caso a empresa financie a compra de um dispositivo para o 
funcionário, descontando em seu salário o valor da sua compra, 
ela poderá impor a marca e o dispositivo que o funcionário deverá 
comprar, para se adequar às suas regras? Novamente, a empresa 
está apenas financiando a compra de um dispositivo que será do 
funcionário, portanto, ela não poderá impor regras em algo que 
não possui direitos.
A filosofia BYOD vem dando lugar ao trabalho remoto, pois, ele tem 
se mostrado mais rentável e simples para implantar e gerenciar. Os 
57
dispositivos usados de modo fixo na casa do funcionário são mais fáceis 
de gerenciar, por se tratam do mesmo equipamento em um mesmo 
lugar. Já dispositivos móveis, por usarem ondas eletromagnéticas 
para estabelecerem conexão, são mais propensos a problemas de 
comunicação.
Dessa forma, a grande circulação de dados e informações pela 
Internet gerou uma preocupação a mais com eles, além da tradicional 
tríade da segurança da informação (confidencialidade, integridade e 
disponibilidade): a privacidade.
Em vários países, e também no Brasil, foram promulgadas leis 
especiais para garantir tal direito aos usuários, a seguir abordaremos 
especificamente sobre esse tema.
3. Lei Geral de Proteção de Dados (LGPD)
Antes de abordaremos sobre a legislação brasileira de privacidade de 
dados, vamos definir o que é privacidade. Em um primeiro momento, pode 
parecer que privacidade e segurança são a mesma coisa, mas não são.
A segurança da informação envolve meios de proteção que uma 
organização usa para impedir que pessoas não autorizadas acessem os 
seus dados. Ela atua na proteção contra-ataques e impede a exploração 
de dados, inclui controles de acesso, criptografia, segurança de rede, 
entre outros procedimentos.
Por outro lado, a privacidade de dados atua nos direitos dos indivíduos, 
na finalidade da coleta e processamento de dados, nos níveis de 
privacidade e na maneira como as organizações controlam os dados 
dos titulares deles. Assim, ela se concentra em como coletar, processar, 
compartilhar, arquivar e excluir os dados de acordo com a lei.
58
No entanto, algo que você quer manter privado, não é necessariamente 
confidencial. Por exemplo, suas informações médicas são privadas; 
seus dados de navegação em seu celular ou browser do computador 
são privados; seu salário é uma informação privada. No entanto, qual a 
importância da privacidade de dados? A seguir, listamos alguns motivos.
Limite de poder: quanto mais alguém sabe sobre você, mais poder ele 
exerce sobre você. Portanto, é prudente limitar o poder que outros têm 
sobre você.
Respeito pelas pessoas: respeitar a privacidade é respeitar as pessoas. 
Se alguém quer manter algo em sigilo, é desrespeitoso ignorar isso sem 
uma razão convincente.
Gerenciamento de reputação: a privacidade permite o gerenciamento 
de sua reputação. Ninguém precisa saber algo que pode prejudicar sua 
reputação, pois, algo que você fez ou faz, algo que pensou ou que pensa, 
ou que escreveu pode ser mal interpretado ou julgado com parcialidade.
Confiança: em qualquer relacionamento,temos que confiar na outra 
parte. Você confiaria em uma empresa que diz usar seus dados para 
uma finalidade, mas também utiliza para outra função?
Manutenção de limitações sociais: toda sociedade estabelece limites, 
por sua vez, esses limites são físicos e informativos. Por exemplo, 
ninguém precisa saber onde você está em todos os momentos, ou o que 
você pensa sobre determinado assunto.
Controle sobre a nossa vida: sem conhecimento sobre quais dados 
estão sendo usados e como estão sendo usados, sem capacidade de 
corrigi-los e alterá-los, você estará em uma situação muito vulnerável.
Liberdade de expressão e pensamento: privacidade é a chave 
para a liberdade de pensamento. Um olhar de censura sobre o que 
59
lemos, assistimos ou expressamos pode nos impedir de explorar os 
pensamentos e desenvolvê-los.
Liberdade de atividades políticas, sociais e religiosas: a privacidade 
ajuda a proteger nossa liberdade de nos associarmos a outras pessoas e 
participar de atividades políticas, sociais e religiosas.
Não ter que se explicar ou se justificar: você já pensou em ter que se 
justificar a todo momento porque alguém o viu ou ficou sabendo de algo 
embaraçosos sobre você?
Capacidade de mudar e ter outras chances: ninguém é perfeito 
e ninguém agrada a todos; desse modo, as pessoas podem mudar 
ao longo de suas vidas. Todos merecem consertar algo que fizeram 
de modo errado, é justo uma pessoa ser julgada eternamente por 
algum comentário postado em uma rede social? Se o comentário foi 
questionável, será que ela pensa assim ainda?
Segundo a Open Web Application Security Project (OWASP, 2017), a 
exposição de dados sensíveis é a terceira vulnerabilidade mais crítica 
na WEB. A OWASP é uma comunidade aberta dedicada a permitir que 
as organizações desenvolvam, adquiram e mantenham aplicações e 
APIs confiáveis. Em vista disso, as leis europeias e norte-americanas já 
aplicaram multas altíssimas quando houve descumprimento das normas 
legais quanto à proteção de dados relativos à sua privacidade. Veja 
algumas delas na figura a seguir.
Figura 1 – Valor de algumas multas aplicadas por violação de 
privacidade de dados
Fonte: elaborada pelo autor.
60
A Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção 
de Dados, é a lei brasileira que regulamenta o tratamento de dados 
pessoais no país. De modo geral, ela regulamenta o uso, a proteção e 
a transferência de dados pessoais de pessoas físicas no Brasil. Ela foi 
inspirada na GDPR, a lei europeia de proteção de dados.
A LGPD obriga a todas as empresas investirem em proteção de dados e 
a nomear um encarregado de proteção de dados. Caso haja violação à 
privacidade dos dados sob a guarda da empresa, as sanções podem ser 
desde a suspensão das atividades de coleta de dados pessoais a multas 
de até R$ 50 milhões.
O art. 3 dessa lei determina quando ela deve ser aplicada, conforme a 
figura a seguir.
Figura 2 – Quando a LGPD é aplicada
Fonte: adaptada de Brasil (2018).
No entanto, há situações em que a LGPD não se aplica nos tratamentos 
de dados pessoais (BRASIL, 2018, art. 4º):
61
I. realizado por pessoa natural para fins exclusivamente particulares e 
não econômicos;
II. realizado para fins exclusivamente:
a. jornalístico e artísticos; ou
b. acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III. realizado para fins exclusivos de:
a. segurança pública;
b. defesa nacional;
c. segurança do Estado; ou
d. atividades de investigação e repressão de infrações penais; ou
IV. provenientes de fora do território nacional e que não sejam objeto de 
comunicação, uso compartilhado de dados com agentes de tratamento 
brasileiros ou objeto de transferência internacional de dados com 
outro país que não o de proveniência, desde que o país de proveniência 
proporcione grau de proteção de dados pessoais adequado ao previsto 
nesta Lei.
O art. 5º, por sua vez, define alguns termos técnicos usados nessa lei 
(BRASIL, 2018):
I. dado pessoal: informação relacionada a pessoa natural identificada ou 
identificável;
II. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, 
convicção religiosa, opinião política, filiação a sindicato ou a organização 
de caráter religioso, filosófico ou político, dado referente à saúde ou 
à vida sexual, dado genético ou biométrico, quando vinculado a uma 
pessoa natural;
III. dado anonimizado: dado relativo a titular que não possa ser 
identificado, considerando a utilização de meios técnicos razoáveis e 
disponíveis na ocasião de seu tratamento;
IV. banco de dados: conjunto estruturado de dados pessoais, estabelecido 
em um ou em vários locais, em suporte eletrônico ou físico;
62
V. titular: pessoa natural a quem se referem os dados pessoais que são 
objeto de tratamento;
VI. controlador: pessoa natural ou jurídica, de direito público ou privado, 
a quem competem as decisões referentes ao tratamento de dados 
pessoais;
VII. operador: pessoa natural ou jurídica, de direito público ou privado, que 
realiza o tratamento de dados pessoais em nome do controlador;
VIII. encarregado: pessoa natural, indicada pelo controlador, que atua como 
canal de comunicação entre o controlador e os titulares e a autoridade 
nacional;
IX. agentes de tratamento: o controlador e o operador;
X. tratamento: toda operação realizada com dados pessoais, como as 
que se referem a coleta, produção, recepção, classificação, utilização, 
acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle 
da informação, modificação, comunicação, transferência, difusão ou 
extração;
XI. anonimização: utilização de meios técnicos razoáveis e disponíveis 
no momento do tratamento, por meio dos quais um dado perde a 
possibilidade de associação, direta ou indireta, a um indivíduo;
XII. consentimento: manifestação livre, informada e inequívoca pela qual 
o titular concorda com o tratamento de seus dados pessoais para uma 
finalidade determinada;
XIII. bloqueio: suspensão temporária de qualquer operação de tratamento, 
mediante guarda do dado pessoal ou do banco de dados;
XIV. eliminação: exclusão de dado ou de conjunto de dados armazenados 
em banco de dados, independentemente do procedimento empregado;
XV. transferência internacional de dados: transferência de dados pessoais 
para país estrangeiro ou organismo internacional do qual o país seja 
membro;
XVI. uso compartilhado de dados: comunicação, difusão, transferência 
internacional, interconexão de dados pessoais ou tratamento 
compartilhado de bancos de dados pessoais por órgãos e entidades 
públicos no cumprimento de suas competências legais, ou entre esses 
e entes privados, reciprocamente, com autorização específica, para 
uma ou mais modalidades de tratamento permitidas por esses entes 
públicos, ou entre entes privados;
63
XVII. relatório de impacto à proteção de dados pessoais: documentação 
do controlador que contém a descrição dos processos de tratamento 
de dados pessoais que podem gerar riscos às liberdades civis e aos 
direitos fundamentais, bem como medidas, salvaguardas e mecanismos 
de mitigação de risco;
XVIII. órgão de pesquisa: órgão ou entidade da administração pública direta 
ou indireta ou pessoa jurídica de direito privado sem fins lucrativos 
legalmente constituída sob as leis brasileiras, com sede e foro no País, 
que inclua em sua missão institucional ou em seu objetivo social ou 
estatutário a pesquisa básica ou aplicada de caráter histórico, científico, 
tecnológico ou estatístico;
XIX. autoridade nacional: órgão da administração pública indireta responsável 
por zelar, implementar e fiscalizar o cumprimento desta Lei.
A Lei Geral de Proteção de Dados trouxe uma equiparação legal do Brasil 
em relação ao resto do mundo, pois, agora possui um marco regulatório 
sobre privacidade de dados.
No entanto, essa é uma lei extensa, cheia de detalhes, que procura 
abranger o máximo de situações legais e técnicas possíveis e como 
tratar tais situações.