Boa parte dos leitores do Blog e seguidores nas redes sociais já estão sabendo que nos dias 5 e 6 de Outubro ocorreu em paralelo os eventos Hackers to Hackers Conference (H2HC) e BSides SP, e que dois membros da equipe da Brutal Security estavam presentes.
Antes de seguirmos em frente, precisamos especificar o nível de conhecimento dos participantes. Os dois membros começaram a estudar juntos, por conta própria, segurança da informação e outros assuntos derivados a 3 anos atrás. Isso quer dizer, relativamente novos na área e com percepções bem limitadas deste universo.
Estes foram os primeiros eventos que participamos, então tudo era novidade, e justamente por isso escrevo este post. Muitos que leem o blog são novatos ou pretendem iniciar seus estudos em Segurança da Informação e com isso podemos passar algumas experiências.
Os eventos ocorreram no Hotel Novotel Morumbi em São Paulo, onde no sábado o H2HC ocorreu com duas palestras simultâneas e no domingo dividindo a grade com a BSides e oficinas do pessoal do Garoa Hacker Clube. Veja no post a agenda dos eventos (algumas palestras mudaram de horário).
Pelo fato das palestras acontecerem simultaneamente em duas salas não podemos assistir a todas, mas conseguimos absorver muito conhecimento das mais diversas áreas, e veremos isso logo abaixo.
A abertura do evento foi realizada pelo Rodrigo Rubira onde deu as boas vindas aos participantes, uma breve descrição do evento e um vídeo comemorativo dos 10 anos do evento.
Logo após a apresentação do evento, foi chamado ao palco para a primeira palestra o pesquisador/consultor de grande renome mundial Felix “FX” Linder, o qual não conhecíamos até aquele momento. FX é bem conhecido na comunidade de segurança da informação, onde já apresentou sua pesquisa em conferências como BlackHat e DEFCON. Em paralelo ocorria, ou deveria ocorrer, o painel H2CSO, que ocupava os três primeiros horários da agenda do dia no auditório secundário, mas o papo foi adiado por falta de público, já que todos estavam vendo a palestra do FX. Não que o papo da H2CSO não seja bom, mas não tinham como concorrer em popularidade contra a palestra do FX, mas falaremos disso depois. A palestra foi bem simples, FX falou de coisas que é de conhecimento comum e algo mais avançado, tratando temas como política, segurança em diversos níveis, experiências, espionagem e outros assuntos. Ao final da palestra passamos a conhecer e respeitar o FX, usar PGP e fugir do Google :).
A segunda parada do dia foi no auditório secundário para acompanhar a H2CSO, que estava com um belo atraso por ter evitado a palestra do FX, como comentado acima. O motivo do painel era colocar assuntos pertinentes do universo de segurança para serem debatidos entre 6 dos Chief Security Officers (CSO) que mais se destacaram no mercado e 6 famosos hackers brasileiros. Os assuntos tratados no debate variaram bastante, indo desde o polêmico PRISM até as ferramentas de segurança e a sua importância, levando em consideração a experiência do profissional que as manipula e os desafios que os dois lados encontram em suas escolhas. Um dos tópicos mais interessantes que é onde se pode notar a deficiência das empresas no assunto de segurança, a dificuldade de comunicação. Muitas empresas não investem em segurança por não achar necessário por não conhecer ou não saber interpretar e prever a grandeza dessas ações. Neste momento foram discutidos experiências dos participantes da mesa sobre este tema onde como poderia ser levada a informação dos técnicos e peritos para os administradores , de um modo que os principais objetivos não sejam perdidos. Na minha opinião pessoal, este foi um dos pontos mais altos dos eventos, já que nós da Brutal Security estamos passando por situações semelhantes as descritas e exemplificadas no debate.
Outro ponto forte do painel foi o lançamento do CSO CLUB, iniciativa que valorizará o trabalho de profissionais e líderes de Segurança e Risco das grandes empresas brasileiras.
“O painel foi pensado para proporcionar um ambiente onde não apenas os profissionais técnicos tem a chance de expor suas idéias e preocupações sobre um tema, mas também observamos o ponto de vista dos gestores das áreas de segurança, afinal o mercado é formado por dois lados de uma mesma moeda”, diz Paulo Veloso, mestre de cerimônias, a revista H2HC.
Já na parte da tarde, acompanhamos duas palestras muito interessantes, sobre Hacking em sistemas SCADA, onde percebemos a fragilidade e a importância de manter estes sistemas seguros, e a segunda sobre conceitos e métodos Anti anti-forenses, mas pela falta de conhecimento na área acabamos perdendo um pouco a imersão.
No segundo dia de evento pudemos acompanhar a grande palestra do famoso Charles Miller, falando sobre segurança em dispositivos móveis, onde resumindo a história, falou que grandes ameaças e malwares não chegarão nos dias atuais aos dispositivos móveis, pela dificuldade de atacá-los. Demonstrou com exemplos teóricos como a plataforma da Apple é consideravelmente segura e a da Google nem tanto. Na sequência, a próxima parada, e onde passamos mais tempo, foi a oficina de Lockpicking promovida pelo Garoa. Nesta brincadeira vimos na prática como abrir simples cadeados, cadeados um pouco mais complexos, fechaduras, fechaduras de carros, algemas e muito mais.
Seguindo em frente, voltamos para o auditório para a palestra sobre Pentest com dispositivo Android como pivô, onde foi demonstrado algo simples e prático, mas com possibilidades catastróficas. Deixando a mensagem no final de que não adianta apenas proteger sua rede de ataques externos, mas sim, tratar da mesma forma ameaças que possam vir de dentro da rede.
E para finalizar o evento com chave de ouro, tivemos o Bozo Security, que fez piada com todo e qualquer profissional, empresa, entidade e tema relacionado a Segurança da Informação. O ponto forte foi os resultados da votação, que pelo que vimos poucos souberam que existiu, e teve resultados surpreendentes, chegando a uma diferença esmagadora quase unanimidade de votos para algumas pessoas em algumas categorias. (sem tomar lado e sem se comprometer :)
É incrível quanto podemos aprender com a troca de informação por mais básica que seja, seja assistindo a palestras ou acompanhando em tempo real o capture the flag, todos tem algo a acrescentar e algo a aprender, juntando isso em um lugar apropriado temos um evento desses que serviu para ampliar nossos horizontes e marcar como uma nova marca alcançada.
0 comentários:
Postar um comentário