Não é de hoje que recebo vários questionamentos sobre quais são podem ser os melhores caminhos para ingressar na área de Segurança da Informação, as qualificações exigidas por este mercado tão abrangente, tipos de atuação profissionais nesta área, e muitas outras perguntas com vieses similares. Por isso, reuni neste artigo informações que visam responder a uma das perguntas que mais recebo: “como posso iniciar os estudos em Segurança da Informação?”.
Para tratar sobre este tema, terei duas premissas, a primeira é que não falarei sobre estudos considerados formais, ou seja, cursos, graduações, pós-graduações, etc. O foco será mencionar formas de aprendizado self-study, também conhecido como “faça você mesmo”. Caso prefira o caminho dos cursos e graduações em Segurança da Informação, sugiro pesquisar sobre as grades das universidades. Além disso, muitas instituições já dispõe de grades que também envolvem a aplicação prática de conceitos relacionados à área.
A segunda premissa é que os conteúdos propostos são gratuitos. Adotei esta premissa pois o público que mais me envia este tipo de questionamento são os participantes de uma das iniciativas em educação da ESET: o Gira AV, que visa promover palestras de conscientização gratuitas referentes a Segurança da Informação para alunos de cursos técnicos e diferentes graduações.
Dito isso, vamos aos dois principais caminhos que considero os mais adequados para esse aprendizado prático.
YouTube
Por serem vídeos, a abordagem prática só acontecerá de fato se a pessoa que estiver estudando reproduzir o que foi ensinado em um ambiente similar; de qualquer forma, como diversos canais mostram o funcionamento dos recursos com direito a linhas de comando e eventuais problemas encontrados durante os processos de execução do assunto abordado, também podem ser considerados válidos como práticas.
O canal Papo Binário é extremamente rico em conteúdo, muito bem mantido e é totalmente em português. Além de trazer diversas entrevistas sobre temas relevantes para quem busca conteúdos sobre Segurança da Informação, existem diversas playlists com cursos relacionados à área, dentre eles análise de malware, engenharia reversa, python, etc. Recomendo fortemente!
O canal LiveOverflow aborda principalmente vulnerabilidades, seja em serviços, comandos, codificação, e jogos. O canal está em inglês e entendo que alguns estudantes podem ter algumas dificuldades com a o idioma a princípio, mas os profissionais que aparecem no canal falam muito bem e de forma pausada, além de não usar muitas gírias, o que facilita bastante o entendimento. Eles explicam todo o conteúdo de forma detalhada e o porquê de cada ponto abordado.
Como última sugestão, trouxe outro canal extremamente didático e que aborda segurança sobre diversas óticas. Neste canal, também é possível encontrar conteúdos sobre exploits, mas com uma abordagem mais divertida sobre o tema, informações sobre gadgets para testes de invasão, como montar um ambiente barato para treinar, criptomineração e muitas outras curiosidades e assuntos interessantes, sempre explicando detalhadamente como tudo está sendo realizado.
Existem diversos canais excelentes no YouTube, todos com suas características. Caso você goste de buscar materiais de aprendizado em vídeo, certamente encontrará muito conteúdo de qualidade sobre quase todos os temas relacionados à Segurança da Informação. Apesar de hoje em dia já termos muitos conteúdos em português, caso esteja com dificuldade de encontrar vídeos sobre determinado tema, procure alterar as palavras da busca para o inglês, a quantidade de conteúdo produzido neste idioma é assustadoramente maior.
Plataformas de aprendizado/CTF
No caso da maioria das plataformas de aprendizado, é possível ter contato direto com equipamentos que possuem as mais diversas vulnerabilidades. Muitos destes equipamentos reproduzem um cenário real que pode ser encontrado em diversos tipos de ambientes corporativos, e isso é o que na minha opinião torna o estudo mais atraente. Os interessados podem entender como criminosos fariam para comprometer um ambiente e aprender os caminhos necessários para impedi-los.
HackTheBox é uma das primeiras plataformas para desenvolvimento de habilidades em cibersegurança. O espaço evoluiu muito com o passar do tempo, já que atualmente ela conta com áreas específicas para CTF, batalhas hacker multiplayer (Batlegrounds) e a parte de Academy, com diversos ensinamentos estruturados em forma de trilhas de conhecimento, porém, estes últimos recursos são pagos. Menciono o HTBn neste artigo para falar de uma área específica da estrutura deles, a parte de Labs>Machines, auxilia muito a aperfeiçoar os conhecimentos com máquinas virtuais 100% on-line para que os participantes procurem hackeá-las. Estas máquinas são renovadas periodicamente, o que motiva os participantes a continuarem sua trilha de aprendizado.
Observação: boa parte do aprendizado referente a como explorar as máquinas pode ser obtido em pesquisas sobre determinado software presente em cada uma das máquinas e há uma área introdutória gratuita no Academy que ensina os participantes alguns “macetes do jogo”.
O CTF Time também é um dos sites clássicos referentes a CTFs, um dos mais completos quando se trata de informações referentes a CTFs que já aconteceram ou que irão acontecer. Ele possui um generoso e frequentemente atualizado acervo de Writeups, que são os guias passo a passo sobre como solucionar cada um dos desafios.
No caso do CTF 101 é um pouco distinto, já que o canal traz informações sobre as características de diversos tipos de CTF, como por exemplo criptografia, engenharia reversa e forense; isso traz uma excelente base para aqueles que estão começando, pois irão se familiarizar com diversos pontos encontrados também no mundo real. É uma combinação perfeita com os sites supracitados, pois permite entender seus conteúdos com mais clareza.
Assim como nos canais no YouTube, a variedade de sites e informações sobre conteúdos relacionados a CTFs é muito extensa e, apesar de termos conteúdos em português, a maioria deles está em inglês.
Para pessoas que gostam da área, os estudos são sempre muito interessantes, ainda mais quando é possível ter uma forma de medir o progresso, como é o caso de plataformas como o HTB. A comunidade associada a CTFs e Segurança da Informação costuma ser muito solicita e pode oferecer auxílios sobre questões pontuais quando necessário.
Caso tenha ficado com alguma dúvida ou queira enviar sugestões de temas relacionados à Segurança da Informação que gostaria que abordássemos nas próximas publicações, conte-nos nos comentários.
Veja mais: Perfis profissionais de segurança da informação: qual caminho seguir?
