No texto de hoje você conhece um pouco mais sobre a rotina de um especialista da BugHunt!

Batemos um papo com o primeiro colocado no ranking de bughunters, Jonathan Coradi, falando sobre os desafios da profissão, assim como suas opiniões sobre o setor de cibersegurança.

Uma ótima oportunidade para quem quer entender mais sobre o mundo dos hackers-éticos, ou até mesmo para quem pretende seguir essa carreira. Confira!

1 - Fale um pouco sobre você, para te conhecermos melhor?

Meu nome é Jonathan Coradi, tenho 32 anos, casado e pai da Betina. Dentro da área de tecnologia, gosto mais de atuar na área de segurança ofensiva web, focando em vulnerabilidades que impactam o negócio e também em exercícios de RedTeam. Sou formado em Técnico Mecatrônico, mas decidi partir para a área de tecnologia onde atualmente estou cursando Defesa Cibernética.

Como background técnico, trabalhei por seis  anos em redes, possuo a certificação DCPT da Desec, NSE 1 e 2, Offensive Mobile Hacking e sigo estudando para a certificação RedTeam Ops da Zero Point.

2 - Como e por que você se interessou pela área de cibersegurança?

A área de segurança veio como uma responsabilidade que não sabia por onde começar.

Em uma das empresas que trabalhei, fomos atingidos por um ataque ransomware e nessa época estava traçando meus objetivos profissionais na área de redes.

Após o ataque ser contido e conseguirmos restaurar a tempo o sistema, vi a segurança da informação como uma oportunidade para mim. Desde então comecei os estudos e nunca mais parei.

3 - Quais áreas de cibersegurança você gosta mais? E quem são os profissionais que te inspiram?

Particularmente sempre curti a área de Pentest e Red Team (o qual estou me especializando no momento).

Sem dúvida, minha admiração nessas áreas vem da admiração que sinto pelos profissionais: Henrique Scocco (Meliuz), Marcos Almeida (RedBelt) e Bruno Salgado (Banco Safra), Guilherme (AMSDA) Carlos da CrowSec, Igor Rincon (Rocket Chat) e Ataíde Júnior (Ofjaaah).

4 - O interesse por Bug Bounty começou junto com o de cibersegurança? Se não, quando conheceu e começou a participar de programas?

Sinceramente, o interesse inicial pelo Bug Bounty foi mais pelo dinheiro do que qualquer outra coisa. Ou seja, uma motivação totalmente errada.

Depois de ver que esse não era o caminho, decidi estudar por cerca de dois anos de forma focada, antes de ir para os programas. Então, então as coisas começaram a caminhar corretamente.

5 - Como você começou a se tornar um especialista? Quais são suas fontes de conhecimento sobre o assunto?

O termo especialista foi um dos alvos profissionais que eu tinha almejado para a minha carreira, o que demorou mais ou menos uns 5 anos.

Comecei a me ver como especialista quando outros profissionais passaram a reconhecer isso devido ao meu nível de maturidade em certos assuntos. Ao contrário do que  muitos pensam, ser especialista não é saber de tudo, mas sim dominar o assunto.

6 - Além da sua experiência com Bug Bounty, você trabalha em qual área da cibersegurança? Acredita que o Bug Bounty pode ser o "pontapé inicial” para essas aspirações?

Atualmente faço parte do time de Red Team do Banco Safra, atuando como especialista ofensivo. O Bug Bounty foi meu start prático na área de segurança e considero, sem dúvida, uma das melhores maneiras de começar.

7 - Quais fontes de conhecimento você recomendaria para um iniciante em cibersegurança e Bug Bounty?

Para atuação em Bug Bounty eu indico fortemente que as bases de redes, cloud e programação estejam bem estabelecidas. As bases são realmente necessárias.

8 - Como são os processos de busca por falhas em empresas? Quais métodos mais particulares que você utiliza no trabalho?

Cada profissional possui uma linha a seguir na questão de busca de vulnerabilidades. Conceitos básicos como reconhecimento, fuzzing, scans, etc., são comuns nas minhas análises.

Porém, particularmente, eu gosto de entender o funcionamento e o propósito da aplicação antes de fazer qualquer ataque.

9 - Como você se encaixa na busca por vulnerabilidades na sua rotina?

Procuro entender como as coisas funcionam antes de tomar alguma decisão, e essa é minha rotina: entender como funciona para então manipular. Acaba sendo muito natural.

10 - Quais você acredita que são os próximos passos da evolução em cibersegurança e das tecnologias no geral?

Acredito que a principal fonte de evolução em cibersegurança será o amadurecimento sobre o conceito de segurança no Brasil.

Aqui muitos ainda enxergam a segurança da informação como uma realidade bem distante e quando essa visão for alterada, acredito fielmente que a cibersegurança será vista como uma área importante

11 - Como você enxerga o mercado de trabalho para especialistas em cibersegurança?

Sem dúvida, o mercado está com uma deficiência enorme em suprir essas oportunidades. Assim como eu tive a oportunidade lá atrás, quem quiser vir para a área de segurança tem todas as chances de se tornar um profissional bem sucedido.

12 - Além de fontes de estudos, quais conselhos você daria para alguém que quer se tornar um especialista em cibersegurança?

Estudar sempre os conceitos, entender como as coisas funcionam, analisar  os processos de como as coisas acontecem e praticar. A prática leva a perfeição.

14 - Na sua opinião, quais são os benefícios que o investimento em Bug Bounty pode trazer para uma empresa?

O Bug Bounty vem para somar na camada de testes das empresas, contando com a expertise dos profissionais de segurança e com um único objetivo: ajudar as empresas.

15 - Você acredita que a cibersegurança pode estar à frente dos ciberataques nos próximos anos?

Sim. Isso é um processo gradual que vai aumentando com o tempo e, com a colaboração da comunidade, acredito fielmente nessa realidade.

Curtiu o papo com o Jonathan? Então não deixe de conferir os conteúdos do nosso blog para mais assuntos ligados a Bug Bounty e cibersegurança!