Pesquisar

30 de dez de 2015

Cursos com "hacker" no nome e a modinha dos cursos baratos

Lendo umas críticas da Bozo Security, da unk-BR e da Coruja de TI, juntamente a outras postagens como a do Anchises e a crítica do Gustavo Lima sobre, decidi escrever uma crítica similar, relacionada aos cursos de segurança da informação que colocam "Hacker" no nome, e também aos cursos que custam menos de R$ 300,00 (descartáveis, que você pode aprender na internet de graça) e possuem instrutores poucos experientes, e até menores de idade!

Presenciamos nesta década um aumento considerável de cursos de segurança da informação com relação à década passada. Cursos fuleiros, com professores mais desqualificados do que nunca ainda são vistos por toda a parte. Cursos como os da "Escola de Hacker" do Thompson, os do Alan Sanches (dito um ex-anonymous - ahn?), e do Fraga. por exemplo, rolam solto. Cursos são mal feitos e horríveis em questões de didática - principalmente na forma  de ensinar. Já tive o desprazer de ver aulas deles quando baixadas em torrent distribuídas por aí, para ver se o curso era bom e valeria a pena fazer, vi reclamações no "Reclame Aqui", e escutei até reclamações vindas de profissionais que trabalham/trabalhavam comigo. Fica aí minha opinião.

Por favor, se você está lendo esse post, e deseja fazer um curso na área de segurança da informação e não consegue nenhuma graduação e nem pós graduação relacionada, opte por escolher locais de treinamento adequados (eu havia descrito uma lista deles, porém achei melhor não fazer marketing nem para um nem para outro - que acabaria sendo).

Ao escolher uma instituição para aprender, veja se os instrutores têm no mínimo uns 8 anos de
experiência com TI e segurança da informação. Sobretudo, não esqueça de focar em certificações como CEH, CHFI, CISSP, CISA, CompTIA Security+, CCNA Security e afins. Isso é muito importante para sua carreira profissional.

Opinião: Não aceite cursos baratos, comece a desconfiar quando for um curso em uma área grande e específica (tal qual a de Pentest, ou Forense) e este for menos de 500 reais. Além de demonstrar muitas vezes a baixa capacidade de ensinar, mostra diversas vezes o desamparo financeiro que o instrutor se encontra, como foi o caso de um colega meu desqualificado querendo dar aulas de Infosec. Há uma vantagem também dos cursos serem caros: ao menos você não vai precisar tropeçar no meio do caminho com um script kiddie que não pensa em investir na carreira dele e que pensa unicamente em cometer crimes e fraudes. Afinal quase qualquer um pode pagar 250 reais num curso de segurança, certo?

Como a postagem da Bozo Security já disse, veja bem quem vai ser seu instrutor, quantos alunos têm e já teve a instituição e quanto tempo durará o curso, e claro: o que você irá aprender!

Espero que o quanto antes, (tomara que já no começo de 2016) comecem a ser extintos aos poucos esses cursos. O problema não está no ato de transmitir conhecimento e ensinar (como dito pelo Gustavo lima em outras palavras, "é necessário ser muito bom para ensinar") , e sim no ato de cobrar e ensinar coisas que podem ser facilmente aprendidas na internet de graça - e outra - muitas vezes ensinado coisas que tendenciam a pessoa a cometer crimes e fraudes, sem um consentimento anterior do que tais ensinamentos podem causar. Não quero que entenda que apenas os cursos extremamente detalhados ou os que tem um conhecimento que quase ninguém sabe é que devem ser cobrados, não! Quero dizer que para cobrar, é ético e ideal quando a pessoa que irá ensinar é muito boa nisso, quando o conteúdo é rico, bem explicado e que acima de tudo satisfaça e preencha as veredas do conhecimento do seu cliente. Afinal, bons pentests, análises forenses, análises de malwares são trabalhos minuciosos e que precisam muitas vezes de um conhecimento bem amplo, porém aprofundado naquilo que se detalha e observa, além do mais, não são trabalhos para qualquer um fazer, precisa gostar e MUITO dessas coisas, sem contar que é bem difícil achar bons profissionais na área - agora imagina achar um bom profissional e bom professor ao mesmo tempo!

Por fim, espero que tenha entendido a mensagem de forma clara e objetiva e que isso foi uma crítica direta, qualquer coisa, poste sua dúvida, critique ou deixe seu comentário sobre.

14 comentários:

  1. Legal o artigo, já fiz um punhado de cursos com esse pessoal e joguei dinheiro fora:

    O Alan (eSecurity) parece que aprende no Youtube para aplicar nas aulas;
    O Ricardo (DESEC) quer fazer diferente mostrando programas em Python, mas ele nem sabe falar direito;
    O pessoal da Treinamento Linux é muito desorganizado;
    A Clavis, seus cursos são muito caros e você paga para ver o Rafael esfregando aquele nariz ranhento;
    A Solyd é fraco;
    O Fraga, creio que ele deve competir com o Edir Macedo, horrível;
    O Gustavo Lima, não fiz curso com ele, mas é outro, cheio dos papos;

    Está faltando humildade! Quer fazer cursos de qualidade? Então procure a Offensive Security, SecurityTube, ISECOM etc.

    ResponderExcluir
    Respostas
    1. Concordo 100% no que diz, amigo, gostei da crítica haha, obrigado pelo comentário.

      Excluir
    2. Pelo que você diz deixa claro que você nunca fez o curso da Desec Security. Só viu os vídeos no Youtube, que NÃO se trata do conteúdo do curso e sim apenas uma demonstração.
      (Demonstração essa, que tem mais qualidade que cursos completos e pagos por ai)

      Obviamente nesses vídeos ele não vai explicar muita coisa, apenas demonstrar o que você pode aprender fazendo o curso.

      O curso da Desec é o melhor que já encontrei até hoje.

      Excluir
  2. Estou fazendo o curso de Advanced Pentest da esecurity, não sei mais eu gostei da didática do Alan, pouca teoria e muita prática, além dele ficar contando suas experiências e fatos que aconteceram, algo que acredito auxiliar muito a ir entendendo como funciona o dia a dia de um profissional.
    Mania que o brasileiro tem de reclamar de tudo que é feito aqui, parece que só o que feito em outros países é que presta. Existem cursos ruins? sim, existe, e muitos, mais também existe coisa boa, não é só porcaria.

    ResponderExcluir
    Respostas
    1. Esse é seu professor, um cara que usou o termo "Ex-Anonymous" para ganhar fama:

      http://blog.corujadeti.com.br/hackingdaymanaus/imagens/participacao2.jpg

      Dá licença né! Chega ao nível de ser ridículo... O Sanches tá vendendo cursinho por 200 reais, se acho o pentester da nasa. O cara nem formado em alguma faculdade é, tem só LPI1. Eu não gasto nem 1 centavo nos cursos dele... Mas é minha opinião.

      Excluir
    2. precisa ter um diploma de Ensino Superior pra provar que sabe algo? Bill Gates, Mark Zuckerberg, Steve Jobs, Michael Dell, Silvio Santos não tiveram diploma de alguma faculdade e se tornaram pessoas de referência em suas áreas de atuação.

      Excluir
  3. Excelente post ! Parabéns pelo site !

    ResponderExcluir
  4. Concordo contigo e venho humildemente pedir ajuda, já estudo segurança e tenho muito material baixado porém é pouco produtivo pois os cursos querem te ensinar a ser um "hackudo", por favor me ajude: Onde vou para seguir o verdadeiro caminho das pedras? Como faço para aprender hacking de forma séria? Quais os cursos me recomenda? Como faço pra pegar o CEH? Desde já obrigado pela atenção

    ResponderExcluir
    Respostas
    1. Vá direto para o tópico nesse post que diz "Segurança da Informação"

      http://sandsec.blogspot.com.br/2014/02/como-estudar-programacao-e-hacking-guia.html

      Excluir
    2. Já que estou por aqui e fui citado em alguns posts, permita-me comentar. Li tudo o que o sujeito sugere para ser hacker e digo o seguinte, pode estudar tudo aquilo mas só vai se tornar hacker se pensar como hacker. Aí você consegue hackear com qualquer sistema, qualquer tecnologia.

      A lista é grande e não inclui Apache, IIS, Android, JavaScript. Não inclui Windows Server, nem nada de Windows, o que já demonstra uma tendenciosidade. Também não vi nada específico sobre phreaking e redes sem fio. Ser hacker sem saber invadir um celular? Como vai fazer se a maioria das pessoas está acessando a Web por celular?

      Sugere-se até aprender Fortran, Lisp e Assembly. Ou seja, é a lista para você não ser hacker. Pois além de ser o conteúdo além do que se ensina até na graduação em TI, tem muita coisa ali completamente desnecessária para quem pretende apenas ser hacker.

      A informática é muito ampla, se o sujeito tiver que aprender tudo sobre tudo para só depois pensar em ser hacker ou achando que só com esse monte de cursos vai ser hacker, vai morrer velho vendo um monte de gente que foi direito ao que interessa invadindo, fazendo pentest ou dando trabalho aos administradores de site.

      O tal How To é de 2001 com a última atualização mínima em 2008. Estamos em 2017, a IoT está batendo na porta, o Raspberry Pi é a nova plataforma portátil de invasão, o Watson junto com a URA está infernizando a vida das pessoas com mensagens de cobrança que parece gente, não um robô. E o sujeito vem falar em Fortran e Lisp? Deve estar de sacanagem.

      O que sempre digo aos meus alunos é o seguinte. Rastreie as suas ideias para ver quem anda botando merda na sua cabeça.

      Se você quiser uma segunda opinião sobre como ser hacker, procure no Clube de Autores A Bíblia Hacker Volume 1 e clique na capa. Vai dar para ler as primeiras páginas e conhecer uma opinião um pouco diferente sobre o assunto, de alguém que é hacker na realidade do Brasil desde 1987.

      Excluir
  5. Eu comparei as ementas dos cursos de Pentest das seguintes empresas:

    - Esecurity

    - Desec Security

    - Clavis

    - Escola de Hacker

    - Técnicas de Invasão - Bruno Fraga

    - Solyd

    Na minha opinião, todos os cursos são para uma mesma área de pentest porém eles abordam coisas por vezes diferentes, veja bem, o curso da Esecurity é muito bom porém o Alan Sanches enrola muito nas aulas, ele dá muita volta e assusta muito no quesito de mercado de trabalho, o curso da Desec aborda a linguagem C o que seria um ponto forte, porém a parte de wirelesse é muito curta, não aborda coisas do tipo pixie dust, não vi muito sobre ataque MITM também, o Clavis é um lixo, nem vale a pena comentar. O da Escola de hacker do professor Marco Aurélio Thompson seria muito bom se abordasse de forma séria e atual, o cara explica bem mas não tem nada de novo nem sonha com Kali Linux. o Bruno Fraga é tipo um Edir Macedo, totalmente marketeiro, pode colocar no site do Reclame aqui para dar uma olhada, o cara ensina um pouco de bash script, python e google hacking e se acha o Mr Robot, Agora o da Solyd pela ementa e pela objetividade de passagem de conhecimento fica sendo ao meu ver o melhor até agora, mas falha pois não aborda linguagem C, e C ++, o que seria um diferencial monstruoso, então na minha visão seria.

    Solyd, Esecurity, Desec. O resto não presta.

    ResponderExcluir
    Respostas
    1. Olá. Existe um equivoco em seu comentário sobre a Escola de Hackers e até na sua análise, ao dizer que um treinamento com C e C++ seria um diferencial monstruoso. Sendo um pentest uma metodologia baseada em protocolos, saber C ou C++ não faz a menor diferença. A não ser que o sujeito queira ele mesmo criar ferramentas de teste, aí o melhor seria aprender Python ou Java, que oferecem mais recursos e contam com vasta literatura e códigos de ferramentas. Mas desenvolver as próprias ferramentas para pentest é algo muito avançado para quem está iniciando. Sugerimos primeiro aprender e dominar o pentest, depois pensar em criar ferramentas.

      A Escola de Hackers não funciona a anos, eram cursos diversos de formação hacker, dentro da nossa concepção de hacker, que é a original, do cara que encontra atalhos. A escola de Hackers não visava formar profissionais de pentest.

      Eram cursos gratuitos e chegamos a ter 40 mil alunos matriculados no Moodle. Mas quando pedimos doações para ajudar a manter o projeto liberando cursos especiais para os doadores, os não doadores encheram a Internet com ofensas dizendo que doação era golpe e coisa do tipo. O melhor que fizemos foi acabar com a Escola de Hackers, não precisa mais fazer doação, mas também não tem mais curso gratuito para ninguém, quem quiser que compre. Resolvido o problema.

      Em 2016 e até meados de 2017 tivemos o Curso de Pentest, mas o foco do nosso curso é a pequena e média empresa que não é contemplada pelas metodologias de pentest criadas para as grandes empresas. Meu TCC do MBA em Gestão de TI foi sobre isso e recebeu 10.

      Nossa proposta de pentest tem o apoio do Sebrae. Eles tem interesse em fazer parceria conosco para criar uma metodologia de pentest nacional aplicada ao pequeno negócio. Talvez comecemos com um check list de segurança, só lembrando que o COBIT começou assim. Como isso não é prioridade não tem data.

      Percebemos alguns equívocos relacionados a aprender pentest e técnicas, ferramentas, etc. Pentest é metodologia, protocolo, etapas. Usa-se o que quiser, o que souber ou o que a metodologia adotada sugerir.

      Outro equivoco é dizer que não ensino Linux. Nosso curso de Linux é de 2003, como parte do antigo Curso de Hacker e vem sendo atualizado ano a ano. Na Bíblia Hacker por exemplo falamos nele o tempo todo, incluindo Metasploit e Armitage.

      Estamos deixando de criar cursos e estamos lançando livros. Cursos em videoaulas são pirateados, livros não tanto.

      Também ensinamos phreaking e hacking com Android, afinal, as pessoas estão usando mais o celular do que o computador para acessar a Internet. Em nosso curso de Invasão de Redes sem fio ensinamos invasão de drones. Não achei isso em lugar nenhum do mundo, nem curso de phreaker que só nós temos.

      O que costuma acontecer é a pessoa que nunca comprou nenhum curso assistir no Youtube vídeo pirata de 2005 e achar que nosso trabalho se resume aquilo ou parou por ali.

      Mero engano. Sou quem mais escreve sobre hacker no mundo (88 livros) e não sou apenas alguém que ensina, sou professor formado e com muitas licenciaturas. Por isso identifiquei alguns enganos na sua proposta de querer que o curso tenha isso ou aquilo, quando na verdade ele só precisa ter a metodologia para ser um curso de pentest.

      O isso ou aquilo sempre vai depender de quem criou o curso e nunca será igual a nenhum outro curso.

      Eu tenho curso de C e C++, mas não incluo no curso de pentest porque meu público alvo é o sujeito que está iniciando. Ele quer primeiro aprender a fazer pentest antes de criar as próprias ferramentas hacker. Pode fazer pentest com Windows ou Linux, o importante é chegar a um relatório que o cliente tenha prazer em pagar. Mas se quiser e seguir meu conselho vai aprender Python e Java, não C ou C++.

      Espero ter esclarecido a parte que a mim se refere. Obrigado.

      Excluir
  6. Eu acredito que o certo é, antes de procurar um curso em uma área tão específica e tão ampla como a de pentest, devesse verificar a qualidade e o conhecimento do instrutor, quanto tempo ele atua na área quais as suas qualificações e certificações na área. O curso da Esecurity aparenta ser bom( embora eu não tenha curtido muito a didática do autor), mas tomem cuidado muita coisa é desmembrada para diferentes tópicos só para ter uma ementa maior e atrair o público. A Solyd nunca fiz nenhum curso e não tenho muito conhecimento sobre o autor, mas dizem ser bom. A Desec tenho um colega que fez o curso na primeira turma e depois da atualização as aulas passaram a ser apenas 25% fora o Vlab do curso, além de ter sido adicionando a fase de pesquisa(Corp Network) uma rede recheada de servidores com diferentes sistemas baseados em pentests reais, onde o aluno não terá ajuda do instrutor para resolver. E por último A prova da certificação(Dita no curso como a primeira da América Latina) muito parecida com a OSCP da Offensive Security, onde o aluno tem que concluir 100% em 24 horas para receber a certificação além de não ser permitido usar ferramentas automatizadas como Metasploit e meteprerter. Enfim por não conhecer o curso da Solyd eu colocaria em segundo se fosse escolher um curso para fazer escolheria o da Desec.

    ResponderExcluir
  7. Olá. Gostaria de esclarecer alguns pontos relacionados ao post, meu nome foi citado. Sou o professor Marco Aurélio Thompson, formado em Pedagogia, pós em Psicopedagogia. Também sou jornalista, licenciatura em Letras, bacharel em Sistemas de Informação, MBA em Gestão de TI, estou cursando duas licenciaturas em Matemática e Administração de Empresas. Pesquise meu Lattes do CNPq.
    Meu contato com o mundo hacker se deu em 1987 fazendo phreaking em telefones no quartel em que fui paraquedista militar. Sou da época em que para ter computador precisava saber programar no mínimo em Basic.
    A Internet conheci acessando BBS. O BBS limitava o acesso a 1h/dia. Foi hackeando contas de usuários nos BBSs que comecei a ser hacker Uma hora por dia era pouco para mim.
    Depois a Embratel ofereceu 100 mil contas por sorteio, dez-1994. Não ganhei nenhuma. Mas hackeei várias contas usando password guessing. Isso em uma época que se o sujeito soubesse tirar vírus de computador já era considerado o bambambã, imagine saber password guessing.
    Minha produção intelectual inclui mais de 80 livros e cerca de 200 cursos em videoaulas, a maioria sobre hacking. Sou quem mais escreve sobre hacking no mundo. Também sou o primeiro no mundo a escrever sobre Windows Server em língua portuguesa, desde a versão 2008 (pela Editora Saraiva o livro tem o Windows server 2016). Sou autor do único Curso de Phreaker do mundo e relancei A Bíblia Hacker com 1.800 páginas em 12 volumes, o maior livro hacker do mundo.
    Uma coisa que sempre ensino aos meus alunos é que rastreiem suas ideias para ver quem está colocando merda em suas cabeças. Alguns desavisados ao lerem esse post poderão pensar que sou a pior pessoa do mundo e meus cursos são ruins, coisa que não é verdade.
    “Ao escolher uma instituição para aprender, veja se os instrutores têm no mínimo uns 8 anos de experiência”
    O problema não é ter 30 ou 8 anos de experiência, o problema é não saber ensinar. Professor é quem é formado em Pedagogia ou fez Licenciatura. Se não tiver isso não é professor. Tente prestar o concurso para professor e ver se consegue se não tiver Pedagogia ou Licenciatura.
    Nem isso é garantia de nada. O sujeito pode ter duzentos anos de experiência e não saber ensinar.
    O que funciona é isso. Assista algumas aulas. Gostou da forma como o cara ensina? Ótimo. É esse cara que você tem que usar para te ensinar. Mas se procura por experiência estou a 30 anos na área.
    Após ler a comparação entre a Escola de Hackers e certos cursos de formação em segurança da informação, a Escola de Hackers, meus livros e cursos são para formar hackers, não profissionais de segurança desses que vão trabalhar nas grandes empresas e precisam dominar coisas inúteis para hackers, como ITIL, COBIT, etc.
    O autor fala em modismo e inclui meu curso. Meu Curso de Hacker foi lançado em 2003, vai para 15 anos desde então, está longe de ser modismo.
    Por favor não tratem meus cursos como cursos para formar profissionais de segurança. A intenção é formar hackers. E hacker na minha concepção é o cara dos macetes. Uma espécie de MacGyver, não um abestalhado que só pensa em invadir computadores.
    O cara que impediu a proliferação do WannaCry. Foi um sujeito que entendeu como o vírus se propagava, tentando se conectar com um determinado domínio. O que ele fez foi registrar o domínio e configurá-lo para interromper a propagação. Isso é ser hacker. “Anos de experiência”, certificações, graduações, não formam hackers. Ou você tem a mente hacker ou a desenvolve ou não conseguirá fazer as coisas que o hacker faz.
    Quanto ao preço é outro equívoco. Dizer que se custa menos que X é ruim, não é critério de análise. Por isso as empresas de certificação e Pós em Segurança da Informação estão ganhando dinheiro em cima dos otários e desavisados.
    A Escola de Hackers é um projeto de 2012. Foi uma boa ideia contaminada por haters e outros trastes que perambulam pela Internet. Era para ser de cursos grátis com a opção de doação. Como no Brasil doação é sinônimo de golpe, decidimos encerrar o projeto e quem quiser algum curso ou livro que pague por ele.

    ResponderExcluir