Existem duas formas de trabalhar nesse ramo: Contratado ou Freelance. Se for contrato formal há uma garantia de serviço em oposição a uma garantia de pagamento e no contrato há um escopo("regras que limitam suas atividades de pentester"). Como no Brasil nem tudo são flores, ser freelancer é arriscado justamente por falta de garantias legais. Eu mesmo já encontrei várias brechas, mas nunca por solicitação do owner ou adm do site/servidor/rede, então cobrar por algo não solicitado me parecia mais como oportunismo ou extorsão velada do que um gesto inocente. Lembro até hj, fiz estágio numa empresa de automação de escritório e a intranet estava acessível via login num formulário php e eu testei uma string SQL no campo de login e entrei como admin e tive acesso ao banco de dados e pude fazer consultas elevadas(lista de clientes ativos, faturamento, preços dos produtos na vitrine do site). Quando revelei isso pro Analista de Sistemas que era meu supervisor imediato, ele fez uma cara... Tipo de quem não gostou, mas pediu pra eu demonstrar na frente dele. Pensei: pronto! me lasquei. Mas eu estava errado. No dia seguinte ele pediu para eu tentar novamente e vendo que eu não conseguia mais, fez aquela pose de superior e falou, daqui pra frente você vai aprender tudo sobre impressoras em linguagem de baixo nível e vamos te dar um projeto pra controle de impressão. Você pode fazer em Java, Python ou C#. Mas queremos uma interface web que dê pra consultar remotamente. Resultado: Fracassei! Além da baixa qualidade das informações obtidas via Google e livros que pude ter acesso, tinha pouco tempo.

Silva97há 11 meses

Cara, se você não conhece a área eu sugiro fortemente não repetir o que você ouviu falar por aí. No Brasil espalham muitos mitos e mentiras sobre a área internet àfora, a galera acredita demais em bobagens por aqui. Então não confie no que dizem sobre a área a menos que você tenha visto com os próprios olhos.

Digo isso porque não dá para trabalhar como "freelancer" na área de segurança, isso não existe. O que existe de verdade é: funcionário CLT e empresas que prestam serviço. Só isso.

E os dois têm garantias legais, com contrato formal e tudo mais. Qualquer coisa diferente disso, "sem garantia", não é a realidade da área. Ponto final.

O que acontece é que tem muita gente que não é da área de segurança (mas acredita ser) que acha que a área é uma bagunça generalizada. E por isso ao invés de tentar trabalhar na área de verdade, fica procurando vulnerabilidade em site aleatório na internet. Daí tem maluco que chama isso de "pesquisa de segurança" (não é!) ou de "pentest" (também não é!), e depois tentam vender seus pseudo-serviços para essas empresas.

Na imaginação deles trabalhar na área de segurança é isso, mas isso tá completamente fora da realidade da área. Isso não tem nada a ver com a área de segurança.

Infelizmente, 90% das pessoas que você vai conhecer que se dizem "hackers" ou dizem que "são da área de segurança", vai ser gente desse tipo que não faz a menor ideia do que é hacking e não faz a menor ideia de como é a área de segurança.

vitorcrdiashá 11 meses
Humildemente peço ao colega que explique porque há muito tempo devo ter um conceito errado sobre o que é ser profissional de cybersegurança. Pra mim sempre foi algo que abrange vários setores da TI(desde o atendimento telefônico da empresa até a finalização de um serviço ou produto, quer seja por cliente pj ou pf. Afinal de contas um analista de sistemas deve ter uma noção do que é cybersegurança empresarial pois todo o sistema da empresa no que diz respeito a TI, passa por suas mãos e deve ser elaborado de tal modo que não permita falhas óbvias de segurança. Sabe aquele software que detecta tentativas de invasão em tempo real? Achei que empresas de cyber segurança usassem ele justamente pra prevenir ataques via web em sites/servidores/redes intranet. E pentest é algo mais pontual(óbvio). Um hacker do bem tenta invadir com autorização um site/servidor ou rede com o objetivo de antecipar um ataque real e bloquear essa falha ou as falhas encontradas. Se eu estiver errado... Já sabe... compartilha seu conhecimento que eu amo aprender!
Silva97há 11 meses
Segurança da informação é uma área por si só e abrange mais do que T.I., abrange também segurança física (de prédios como datacenters, por exemplo), direito, psicologia e até o lado mais "comercial". Cibersegurança é a parte da segurança da informação que está dentro de T.I., e não é uma coisa só. Ela é dividida em várias subáreas e várias profissões diferentes. Para citar algumas: - CSIRT - DFIR - SOC - Análise de malware - Pesquisa de segurança - Pentest - AppSec - DevSecOps - Cloud security - Red team - Blue team - Purple team - Cyber Threat Intelligence - etc. É uma área **séria**, **bem organizada**, com várias profissões diferentes. E ninguém paga freelancer para fazer esse tipo de atividade. Ninguém quer qualquer um fazendo um trabalho de alto nível de importância como esse. Segurança é coisa séria. É o mesmo que tu contratar um guarda-costas freelancer. Você confiaria sua vida à um estranho aleatório qualquer que você achou em um anúncio na internet? A área de segurança é muito baseada na **confiança**, isso é muito importante. Por isso é impossível uma empresa séria pagar "freelancer" para fazer algum trabalho de segurança. Só se for uma empresa muito pequena onde o cara que toca a empresa não entende nada de nada e se deixou levar pela lábia do "freelancer". --- Ah, e dica: existem várias profissões na área de segurança e **NENHUMA** delas se chama "hacker do bem" nem nada com "hacker" no nome. É importante distinguir marketing de realidade. Tem uma certa certificação aí (C|EH) que popularizou o termo "ethical hacker" (e o resto é derivação deste) na área de segurança mas isso é viagem total. Hacking e segurança não é a mesma coisa. Só porque a pessoa trabalha na área de segurança não quer dizer que seja "hacker", essa é uma visão completamente distorcida do termo. Sugiro a leitura deste "How to", que reflete bem o significado correto do termo: http://www.catb.org/~esr/faqs/hacker-howto.html Pessoal distorce muito o signficado de "hacker", principalmente no Brasil.
vitorcrdiashá 11 meses
Tudo bem todo esse papo de seriedade, confiança e contrato... Mas não soa um tanto preconceituoso achar que uma pessoa freelancer não tem a competência/honestidade e comprometimento para executar uma tarefa? Eu mesmo, apesar de entender de programação Java, Python, C#, diagramação, levantamento de requisitos e desenvolvimento Full Stack não ofereceria serviço em nada que eu realmente não fosse capaz de dominar 100%. Justamente por isso estou desempregado, fiquei obsoleto após passar por dificuldades pessoais e não poder evoluir dentro da TI.
Silva97há 11 meses
> Mas não soa um tanto preconceituoso achar que uma pessoa freelancer não tem a competência/honestidade e comprometimento para executar uma tarefa? Eu não disse nada sequer parecido com isso. Imagina um estranho que você nunca viu na vida se oferecendo para carregar suas compras até sua casa. Você deixaria ele te seguir até sua casa? Você confiaria em um estranho que você nem sequer sabe o nome? Seria "preconceito" não confiar? A questão da confiança é sobre você conhecer a pessoa, e não sobre ela ser honesta ou não. Não tá escrito na testa das pessoas se elas são honestas ou não, não dá para adivinhar. Mas além dessa questão de confiança: não se contrata "freelancer" para fazer trabalho de segurança, ponto. Não é por preconceito mas sim porque exige um comprometimento constante com a segurança da informação. Não é como em desenvolvimento que tu pode contratar um freelancer pra fazer uma tarefa X ou corrigir um bug Y. Em segurança da informação o trabalho é constante, não há margem para trabalho freelance. E mesmo trabalhos como o de pentest ou coisa do tipo, não é o tipo de trabalho que se contrata como freelance mas sim como prestação de serviço. Pentest é um serviço sério e **caro**, não dá para contratar qualquer um. Só para você ter uma noção, a média de um pentest varia de R\$ 300,00 à R\$ 600,00 **por hora**. Um Pentest, dos **mais baratos**, vai custar cerca de 15 mil reais. Isso lhe parece o valor de um "freelance"? Lhe parece ser o tipo de trabalho que dá para se pagar sem um contrato e termo de confidencialidade? As pessoas confiam em freelance quando o pagamento é baixo, valor alto assim ninguém vai contratar freelancer não. Vai contratar empresa, prestadora de serviço, que vai ter advogado, criar contratos, termos de confidencialidade etc. Tudo dentro da lei. Não existe "bico" na área de segurança, bro. Profissional de segurança é caro.
vitorcrdiashá 11 meses
Quanto a história de confiança, acho que fui muito radical... rsrsrs Até porque nenhum funcionário precisaria assinar acordos de confidencialidade se fossem confiáveis. Agora quanto a freelance na área eu tenho que discordar em partes... o que mais vejo na internet é analistas de segurançada informação formados se oferecendo pra fazer freelance em projetos ou empresas buscando esses tais... Acho que a questão nesse sentido é a qualidade da mão de obra e o valor em relação ao país onde o projeto está implantado ou vai ser implantado. Acredito que plataformas web especialistas em oferecer uma ponte entre mão de obra qualificada e empresas solicitantes discordariam de você... Pois certamente eles fazem teste de conhecimento específico e dão certificado atestando suas habilidades que podem ser endossadas por outros que talvez tenham conhecimento de você e do teu trabalho, como antigos colegas de equipe ou ex-professores(graduação, pós ou tecnólogo).
Silva97há 11 meses
Cara, o que pessoas falam ou fazem na internet não é uma boa métrica para definir como a área funciona. Não existe freelance na área de segurança, ponto final. Não importa o que te disseram ou o que você viu, essa é a realidade e você tem a opção de aceitá-la ou continuar com sua crença. Na melhor das hipóteses, provavelmente você tá confundindo prestação de serviço com freelance. Que não é a mesma coisa. Na pior das hipóteses você simplesmente conheceu gente desesperada para entrar na área, que não faz a menor ideia como ela funciona e tentou atirar para todo lado. Entenda, colega: na área de segurança não tem tarefinha ou bugzinho para ser resolvido de maneira pontual por um freelancer. Segurança exige análise, análise exige (muito) tempo e conhecimentos internos do projeto. Primeiro que as empresas não querem esse conhecimento com qualquer freelancer aleatório na internet, por motivos óbvios. Segundo que obter esse conhecimento pode levar meses. Quem diabos esperaria 3 meses para um freelancer concluir sua única tarefa pontual? Eu já disse, bro. Segurança não funciona como desenvolvimento. Não vai ter uma tarefa no JIRA que vão pagar um freelancer para fazer, não é assim que funciona. Já que você não trabalha na área e não sabe como a área funciona, então no mínimo você deveria ter **dúvida** sobre a sua atual crença sobre o assunto. E um detalhe importante: a pessoa ser formada não significa que ela sabe o que está falando/fazendo. Principalmente formação em segurança da informação onde você **não** aprende sobre segurança lá. Uma Ciência da Computação é muito mais útil para este fim do que a faculdade que supostamente é "focada" neste assunto. Isso porque faculdade de segurança da informação é voltada para cargos de gestão, então você não vai aprender um conhecimento técnico sério. É tudo muito superficial.
vitorcrdiashá 11 meses
Obrigado por compartilhar conosco. Eu insisti porque notei que você domina o assunto e queria que você reforçasse seu ponto de vista para deixar bem claro para as pessoas leigas no assunto ou iniciantes que vivem confundindo as coisas... Abraço.