Cibersegurança

Conversas com Hackers: Jesse McGraw (GhostExodus), de Hacker Blackhat à Redenção

Jesse McGraw não se considera mais um hacker, pelo menos não pela própria definição. Ele reconhece que foi um hacker, e um blackhat, e que ainda mantém a mentalidade de hacker. Mas, segundo ele, não é mais um hacker. Ele descobriu que era um hacker ainda no ensino médio, quando o único amigo que tinha programava durante a aula de matemática e acessava sistemas protegidos da escola.


Kevin Townsend Segunda - 13 de Julho de 2026 às 19:09
SecurityWeek

Jesse McGraw não se considera mais um hacker, pelo menos não pela própria definição. Ele reconhece que foi um hacker, e um blackhat, e que ainda mantém a mentalidade de hacker. Mas, segundo ele, não é mais um hacker.

Os primeiros passos

Ele descobriu que era um hacker ainda no ensino médio. "Meu único e exclusivo amigo era um hacker, e eu nunca tinha visto nada parecido com o que ele fazia." Até então, McGraw achava que computadores eram apenas algo usado para processamento de texto, uma ferramenta que podia ser usada para sua finalidade prevista. Até que viu alguém programando na aula de matemática.

"Ele estava programando, e eu nunca tinha visto nada igual. Aí ele usou uma ferramenta que ele mesmo tinha programado na aula de matemática para se movimentar pela rede e acessar algum tipo de sistema de arquivos protegido usado pela escola. E eu simplesmente pensei: 'O que você está fazendo?'"

Essa foi a primeira introdução de McGraw ao universo do hacking, mesmo sem ele entender do que se tratava. "Ele e eu nos tornamos amigos, e quanto mais tempo eu passava perto dele, mais eu comecei a entender que a tecnologia, à falta de uma expressão melhor, pode ser dobrada à vontade de alguém. Ela pode ser contornada. Todas as regras podem ser quebradas."

Ele logo percebeu que, na verdade, não precisava de ferramentas para fazer isso. "No começo, eu usava engenharia social para conseguir acesso a sistemas remotos quando eu era apenas um adolescente. Mas foi essa mentalidade que me ajudou a entender que sistemas baseados em regras podem ter essas regras quebradas para produzir resultados inesperados."

Mas como e por que ele evoluiu dessa introdução relativamente inocente para se tornar o hacker blackhat que depois foi condenado e preso por onze anos?

Para contextualizar, vale destacar que a infância de McGraw foi semelhante à de muitos outros hackers: um forte sentimento de isolamento. Em alguns casos, isso vinha do TEA (Transtorno do Espectro Autista). McGraw também é neurodivergente (como discutiremos mais adiante), mas atribui seu próprio isolamento principalmente à falta de vínculo com os pais.

Quando ele nasceu, "meu pai era traficante de heroína. Minha mãe era dançarina. Os dois eram pais muito jovens, muito irresponsáveis. E eu acho que dá para dizer que eu não me conectei de verdade com meus pais. Eu não tinha uma ligação emocional com eles." Quando chegou à escola, "eu não sabia parecer normal. Fui recebido no ensino médio como alguém que não pertencia àquele lugar."

Isso explica o comentário anterior dele, 'meu único e exclusivo amigo...', e a importância daquele relacionamento para o seu desenvolvimento como hacker.

"Conforme os hackers crescem em habilidade e experiência", ele explica, "eles começam a expandir e mirar alvos maiores. Eu nunca invadi sistemas por ganho financeiro, nunca roubei identidades ou dados de ninguém, eu fazia isso pela emoção de andar de carona nos sistemas dos outros." Naquela época, ele não tinha noção de moralidade no que fazia: "Eu não tinha nenhum conjunto de padrões que me dissesse: 'Ei, é aqui que eu estaria cruzando a linha'."

Isso é interessante por dois motivos. Em primeiro lugar, muitos hackers não têm uma percepção inicial de moralidade ou imoralidade no que fazem: simplesmente não lhes ocorre.

"Fundamentalmente, eu ainda era um blackhat porque eu não tinha regras. Mas se eu pudesse fazer, eu fazia — essa era a mentalidade que eu tinha. Tinha muito a ver com ser jovem e não entender completamente as consequências dos meus atos, as repercussões legais, o impacto, o impacto sobre as vítimas. Essas são coisas que os hackers frequentemente não consideram, porque estão sentados atrás de um computador. Eles não veem o ser humano do outro lado da máquina, a vida que foi prejudicada. Então, sabe, os hackers fazem essas coisas porque não veem o impacto sobre as vítimas."

Em segundo lugar, isso ajuda a explicar a percepção dele sobre hacking mais tarde. Hackear é simplesmente quebrar regras. Intenção ou motivação são irrelevantes. Quebrar regras é a característica definidora. Intenção e motivação indicam subclasses de hacker usadas para influenciar o desejo da sociedade por rótulos complexos, de modo que boa intenção é 'whitehat' e má intenção é 'blackhat'. Isso fica um pouco mais complicado pela sugestão de que, se as regras sendo quebradas são regras legais em vez de regras de tecnologia, trata-se de hacking blackhat independentemente da intenção ou da motivação.

A definição dele se complica ainda mais pela 'subjetividade': ações são frequentemente categorizadas pelo ponto de vista do observador. Pense no ativismo. Uma descrição de ativismo, por si só, vai depender da posição do próprio observador, seja ele apoiador de mudanças ou defensor do status quo. Hacktivismo é ativismo por computador que incorpora a quebra das regras da computação. Esse tipo de hacktivismo é, automaticamente, hacking. Mas a intenção é subjetiva para o observador, e apenas aqueles contrários à intenção tendem a considerá-lo automaticamente ruim.

Mas, para McGraw, a coisa é simples: "Fundamentalmente, continua sendo crime, independentemente de o ataque parecer justificado ou não; então, ainda se encaixaria no rótulo de blackhat." Embora o ativismo não seja automaticamente ruim, o hacktivismo sempre é.

O elemento da subjetividade fica ainda mais complexo se o ato envolve duas jurisdições distintas, com duas regras legais possivelmente diferentes. Em 2017, Putin afirmou que "cidadãos russos patriotas agindo de forma independente" poderiam ter estado envolvidos na suposta interferência russa na eleição presidencial dos Estados Unidos de 2016. Se eram russos patriotas ou atacantes de elite de um Estado-nação, tratava-se, na prática, de hacktivismo em escala industrial.

"Para os americanos, seriam os bandidos vindos da Rússia. Mas, se fôssemos russos, provavelmente os veríamos como mocinhos. É difícil colocar isso em uma caixa moral, mas, no grande esquema das coisas, continua sendo hacktivismo." Que, na definição de McGraw, é um ato criminoso e, automaticamente, hacking blackhat, independentemente da jurisdição ou da motivação.

Neurodivergência

Além da amoralidade inicial, outra característica comum a muitos hackers é a neurodivergência. McGraw é neurodivergente?

"Sim, sou. E é engraçado você perguntar isso, porque é algo que eu fico de olho. Em todos os espaços de hacker que eu observo ou com os quais interajo, a maioria das pessoas que encontro é neurodivergente. Acho que a neurodivergência é um componente importante do que encontramos nos espaços de hacker." Neurodivergentes às vezes chamam pessoas neurotípicas simplesmente de 'normies' (pessoas comuns).

Dada a alta porcentagem de neurodivergência entre hackers, é fácil especular sobre uma possível relação entre os dois. A maioria dos hackers não aceita que exista qualquer relação causal envolvida — mas isso influencia a direção de indivíduos, de hackers em geral e de McGraw em particular? "Provavelmente sim", sugere ele.

"Uma das coisas que mantém os hackers ativos é a adrenalina do prêmio máximo, o efeito dopamina que você sente quando acerta um alvo enorme. É uma sensação absolutamente incrível, mas aí você precisa fazer de novo, e de novo, e de novo, até essa dopamina começar a diminuir. Então, você tenta acertar alvos maiores, aumenta a barra e corre atrás da emoção, mirando em alvos cada vez maiores."

Um elemento importante aqui é que a maioria dos neurodivergentes acredita que a diferença entrega um 'superpoder': a capacidade de hiperfocar em um único assunto por um longo período. Se uma pessoa tem interesse em como os computadores se comunicam, um neurodivergente hiperfocado pode obcecar, e um hacker neurodivergente pode encontrar falhas que um 'normie' deixaria passar.

"Minha capacidade de hiperfocar e ficar obcecado por dias a fio sem dormir... eu conseguia ficar dias acordado. Sem droga nenhuma." (Talvez à parte cafeína e açúcar.) "Eu ficava acordado só na excitação e na adrenalina pura, e continuava aprendendo, até pegar um burnout, e aí recomeçava." A implicação é que a neurodivergência não cria hackers, mas ajuda os hackers a hackear — e, para McGraw, foi uma parte importante de perseguir sua dose de dopamina em alvos cada vez maiores.

A redenção de um blackhat

Jesse McGraw foi redimido ao ser preso. Seus ataques estavam ficando cada vez maiores, e os riscos cada vez mais absurdos. Na época de sua prisão, era conhecido online como GhostExodus e liderava um grupo de hackers chamado Electronik Tribulation Army (ETA). Um grupo separado, o Anonymous — ou partes dele que têm pouca relação com a visão um tanto romantizada que se formou em torno do Anonymous — estava atacando a ETA e chegou a expor um dos membros, vazando dados pessoais da família, incluindo o SSN (Número de Seguro Social), registros judiciais, detalhes de divórcio, endereço, entre outros.

Isso foi demais. A ETA precisava responder, mas precisava de uma botnet (rede de computadores zumbis) poderosa para isso. Naquela época, McGraw trabalhava como vigia noturno no North Central Medical Plaza, em Dallas. Muitos computadores e ninguém por perto. Ele invadiu com facilidade mais de 14 computadores individuais, incluindo o computador do sistema HVAC (climatização), que era um sistema SCADA (Sistema de Controle e Aquisição de Dados). Deveria ter sido um ataque interno bem-sucedido — não fosse o risco que ele assumiu: "o vídeo infame, ridículo e estupidamente impossível que eu fiz", publicado no YouTube. Esses vídeos eram prática comum entre hackers; mas ele acabou expondo o próprio rosto.

Enquanto isso, Wesley McGrew era pesquisador. "Ele estava fazendo o doutorado — acho que na Mississippi State University — e estava elaborando uma tese sobre sistemas SCADA, enquanto eu, de fato, atacava um sistema SCADA." McGrew reconheceu o equipamento no fundo do vídeo, percebeu que se tratava de uma instalação médica real e entrou em contato com o FBI. "Ele usou inteligência de fontes abertas para ajudar o FBI a desanonimizar minha identidade da melhor forma possível, e o FBI fez o resto."

Ele tinha planejado o ataque para 4 de julho de 2009. A ETA chamava 4 de julho de 'Devil's Night' (Noite do Diabo), "o dia em que celebraríamos nossa independência do governo, da tirania e de todo esse resto que os anarquistas idealizam." Por isso ele precisava do vídeo, para tornar a resposta da ETA ao Anonymous algo grande, viral.

Mas ele foi preso poucos dias antes do Devil's Day, e em 2011 foi condenado a 110 meses, o que totalizou 11 anos somando a prisão preventiva. Foi uma pena pesada para um caso de hacking, mas, na prática, ele não foi condenado pelo que fez, nem pelo motivo, mas pelo potencial de dano à clínica médica e aos pacientes caso algo desse errado.

Então, foi o medo da lei que o impediu de continuar como blackhat? "Não", diz ele. "Eu não tenho medo da lei. O que eu diria é que foi uma compreensão consequente da mecânica da causalidade. Essa não é uma mentalidade que eu tinha na juventude. Eu nunca questionei quais poderiam ser as consequências legais, ou quem poderia ser afetado. O impacto sobre as vítimas agora é central no que eu faço hoje."

A compreensão da consequência da causalidade não apenas fez McGraw parar de hackear, mas inverteu a parte da motivação da sua mentalidade. As vítimas agora estão em primeiro plano na mente dele, e seu propósito é prevenir a vitimização e proteger as vítimas. Ele faz isso inteiramente sem hackear, ou seja, sem quebrar nenhuma regra em torno dos computadores e do seu uso. E ele usa os mesmos métodos para expor os piores predadores que Wesley McGrew (que ele agora considera amigo) usou para expô-lo: OSINT (inteligência de fontes abertas), não hacking.

"Meu grupo é especializado exclusivamente em inteligência de fontes abertas para o trabalho de segurança infantil online. Então, tentamos empoderar crianças vítimas. Identificamos predadores na internet e os denunciamos às autoridades. Também fornecemos material educativo para pais e crianças."

Ele acrescenta: "Em vez de obter acesso não autorizado, eu apenas uso OSINT para reunir dados de informações que já estão em domínio público, em vez de roubá-las. Não tenho desejo de ser meu eu antigo e me chamar de hacker ou de infringir a lei." Se alguma coisa, ele se descreve como um 'red hat' (chapéu vermelho), um termo emergente que não é nem blackhat nem whitehat porque não envolve hacking, mas, mesmo assim, 'mira' pessoas más ou potencialmente más.

"Eu tenho quarenta e um anos agora, e meus dias de carona nos computadores dos outros expiraram há muito. Hoje, uso meu conhecimento para ajudar pessoas, para empoderar vítimas e para ajudar ativistas atuais a entenderem o que a lei diz e o que não devem fazer — para ajudar a evitar que pessoas ataquem sistemas de controle industrial, o setor de saúde, a educação e coisas do tipo."

Ele se tornou um defensor do uso legal e responsável de computadores, atuando como ponte entre a indústria de segurança legítima e o submundo hacker. Faz podcasts. Participa de um documentário longa-metrado sobre ciberguerra produzido pela Semperis, e que conta também com David Petraeus, Jen Easterly, Richard Stiennon, Marcus Hutchins e outros.

"Eu encontrei meu lugar no mundo depois do tempo que passei na prisão e agora sou pesquisador e defensor da cibersegurança. Ainda penso fora da caixa como um adversário, mas parte do que faço agora é entender a infraestrutura da qual dependemos diariamente, para protegê-la."

Jesse McGraw foi redimido. Ele não é mais um hacker blackhat e não se considera um hacker. Mas ainda mantém a mentalidade de hacker, e a usa em sua plenitude em sua defesa da causa. Eu seria tentado a dizer que ele ainda é um hacker — a mentalidade de hacker basta — apenas não é mais um hacker de computadores.

Cibersegurança Hackers Redenção

FONTE

SecurityWeek