5 years of cybersecurity experience - what did I learn so far as a criminologist?

Yes, time flies. One second we are looking for our first job and then, without noticing, some years have passed and we already have good experience in the field. But not everything is good as far as it seems.

For those who don't know me, like many of you I had opted for a degree, hoping that it would give me everything to get a job and start learning something new every day and, above all, being happy! I had to learn along the way, by exploring things, trying things out, messing up with a lot of stuff, and networking.

A lot of projects came up, which did lead me to research more and more. As a criminologist by degree, I had to adopt an early sense for researching and adapt my curiosity to as many situations as possible. Now, (almost) everyone has an idea of how hard it is to reconcile an exact science (computers) with a social science (criminology). That's one of the reasons why at the time I felt I should create a blog with every information I could find related to cybersecurity and what exactly we could do (people in a similar situation) to join the field.

Now, this post's goal is not to put emphasis on this path, the projects, and so on. I couldn't help but notice so many situations where people just don't question what they see and accept whatever they are given. And in this field (cybersecurity), because of that mentality, they fall prey to so many dangerous situations. Nowadays, phishing has become the main topic, as an attack through which so many people lost their money, their life savings, etc. All because of a simple mistake - to believe what their eyes could see. Everyone is vulnerable to this, as humans. We all have desires, we all seek some sort of pleasure and something that will fulfill our instant needs. We all are susceptible to what's easy before our eyes, we go and choose the easiest path. To prevent this from happening, we all know what we should do, right? The question is always so much more important than the answer. I've mentioned a couple of times already, but when it comes to preventing phishing and doing some bare minimums:

- Check what's the matter of urgency of the email you received

- Check how well are the words spelled, if there are any grammar errors

- Is it demanding something from you, like money, availability, and so on?

- Does the person ask whether you want "free" anything?

Take a look again from this perspective and, above all, DON'T rush. Take a deep breath, read the email again, take another deep breath, and ask yourself "do I really need this? Do I even use this". If you really want to make sure the situation is legit, just go get your phone and call your bank or the company whose image is being used. Also, these indicators are the most basic ones.

Another hot topic that seems to constantly sit between computers and the law: ethical hacking. That topic, which attracts a lot of attention from everyone, but at the same time everyone seems to go away from it the moment they see it's just too hard to understand, or they just give up once they see they don't get the instant result back. Of course, in cybersecurity, there are several fields one can take a look at during his/her career. But this searching for what's easy never ends. You have to remind yourself this: "if this was easy, everyone would be doing it". And you don't want easy things in your life. You want something worth living for. If you ask me what I most enjoy about hacking, I would say is the way it taught me to think about things. It's not the way society taught us that must be our path, but more important the path we choose for ourselves. Do you want to learn how to ride a bike? What's the best way to do it? You will never learn unless you actually go and put yourself on it and start riding it. It's quite simple, apparently. The problem is when we start losing our balance and fall. But after?hours of practice, it becomes our best friend. Hacking is not just something you can teach someone and is learned. You must do the opposite, you must hack something to learn how it works; from there, you become aware of how it's built and it can be disassembled again and again. And I'll ask you again: is this an easy task? Now you tell me!

My apologies for quite a long writing on this one, but I felt I needed to put this out and maybe raise some more awareness for you out there, maybe with some doubts regarding your profession, your life, your choices, and your curiosity.

Just take care of yourself!

-- Português --

5 anos de experiência em ciberseguran?a - o que aprendi até agora como criminólogo?

Sim, o tempo voa. Num segundo, estamos à procura do primeiro trabalho e depois, sem repararmos, alguns anos passam e já temos alguma experiência na área. Mas nem tudo é bom como parece.

Para os que n?o me conhecem, como muitos tinha optado um curso de licenciatura, na esperan?a que me pudesse dar tudo para obter trabalho e come?ar a aprender algo novo todos os dias e, acima de tudo, ser feliz! Tive de aprender ao longo do percurso, explorando coisas, tentando coisas, brincar bastante com muita coisa, e criar muitos contactos.

Muitos projetos surgiram, que me levaram a investigar mais e mais. Enquanto criminólogo de curso, tive de adotar um sentido desde cedo de investiga??o e adaptar a minha curiosidade ao máximo possível de situa??es. Agora, (quase) toda a gente tem uma ideia do qu?o difícil é conciliar uma ciência exata (computa??o) com uma ciência social (criminologia). é uma das raz?es pelas quais, na altura, senti que devia criar um blogue com toda a informa??o que conseguisse arranjar relacionada com ciberseguran?a e o que exatamente poderíamos fazer (pessoas numa situa??o semelhante) para entrar na área. Agora, o objetivo deste post n?o é colocar o ênfase neste trajeto, os projetos, etc. N?o pude deixar de reparar que há tantas situa??es em que simplesmente as pessoas n?o questionam o que veem ou aceitam o que lhes é dado. E nesta área (ciberseguran?a), por causa dessa mentalidade, caem em muitas situa??es perigosas. Hoje em dia, o phishing tornou-se o tópico principal, como sendo um ataque através do qual muita gente perdeu o dinheiro, poupan?as de vida, etc. Tudo por causa de um simples erro - o de acreditar no que os olhos viam. Toda a gente é vulnerável a isto, como seres humanos. Todos temos desejos, todos procuramos algum tipo de prazer e algo que vá de encontro às nossas necessidades imediadas. Todos somos suscetíveis ao que é visilmente fácil, nós vamos e escolhemos o caminho mais fácil. De forma a prevenir que isto aconte?a, todos sabemos o que deveríamos fazer, certo? A pergunta é sempre mais importante que a resposta. Já o mencionei algumas vezes, mas no que toca à preven??o do phishing e o fazer alguns mínimos:

- Verificar a urgência do email que acabou de receber

- Verificar o qu?o bem est?o as palavras escritas, se há erros gramaticais

- Está a pedir alguma coisa de si, como dinheiro, disponibilidade, etc?

- A pessoa pergunta se você quer algo "gratuito"?

Tome novamente uma olhada desta perspetiva e, acima de tudo, n?o tenha pressa. Respire fundo, leia de novo o email, respire fundo novamente, e pergunte a si mesmo "preciso mesmo disto? Uso mesmo isto", Se realmente quiser ter a certeza que a situa??o é legítima, pegue no telemóvel e ligue ao seu banco ou à empresa cuja imagem está a ser usada. Além disso, estes indicadores s?o os mais básicos.

Outro hot topic que parece estar constantemente entre os computadores e a lei: hacking ético. O tópico, que atrai muita aten??o de muitas pessoas, mas ao tempo toda a gente parece afastar-se a partir do momento que veem que é demasiado complicado para se perceber, ou simplesmente desistem a partir do momento que n?o têm o resultado instantaneo. Claro que em ciberseguran?a há diversos campos para onde podemos olhar durante a carreira. Mas esta procura pelo que é fácil nunca acaba. Tem de se lembrar isto: "se fosse fácil, toda a gente o faria". E n?o quer coisas fáceis na sua vida. Quer algo pelo qual valha a pena viver. Se me perguntarem o porquê de gostar de hacking, responderia que é a forma como isso me ensina a pensar sobre as coisas. N?o é a forma como a sociedade nos ensina pensar que deve ser o nosso caminho, mas mais importante o percurso que escolhemos para nós. Quer aprender a andar de bicicleta? Qual a melhor forma de o fazer? Nunca irá aprender nada a n?o ser que realmente coloque as m?os na massa e comece a andar. é muito simples, aparentemente. O problema é quando come?amos a perder o equilíbrio e caimos. Mas depois de horas de prática, a bicicleta torna-se o nosso melhor amigo. O hacking n?o é algo que simplesmente podemos ensinar alguém. Deve fazer o contrário, deve hackear algo para aprender como funciona; daí, torna-se ciente de como é construído e pode ser descontruído outra e outra vez. E agora pergunto-lhe novamente: é algo fácil? Diga-me você!

As minhas desculpas por uma escrita assim t?o longa, mas senti que tinha de expor isto e talvez aumentar alguma consciencializa??o, talvez para algumas dúvidas sobre a vossa profiss?o, a vossa vida, escolhas, curiosidade.



