janeiro 20, 2015

[Segurança] Como foram os eventos de Segurança em 2014?

No final do ano passado e em 2011 eu escrevi um post comentando sobre os eventos de segurança que tivemos, quais foram os melhores, e quais os seus pontos fortes e fracos. Este ano, novamente, eu decidi opinar sobre os eventos de 2014, embora desta vez eu tenha faltado em vários eventos que aconteceram este ano por motivos profissionais (viagem a trabalho) ou pessoais (ex: minhas férias neste ano coincidiram com alguns eventos importantes). Por isso, em alguns casos, as minhas opiniões expressas abaixo foram baseadas em relatos que ouvi de amigos.

Começando, vou comentar sobre os eventos mais relevantes de 2014 (bons ou não), na minha opinião:
  • As grandes novidades
    • Roadsec: O RoadSec cresceu e virou um gigante. Eles foram em nada menos do que 9 cidades brasileiras, com palestras, oficinas e uma grande competição de Capture The Flag. E ainda fizeram um mega-evento de encerramento em São Paulo, em um lugar super legal, o Audio Clube (um clube/balada bem espaçoso perto da Barra Funda). Além do mais, eles deram uma grande revigorada nas competições de CTF. Ganhamos um evento que conseguiu atender os profissionais espalhados pelo país;
    • Nullbyte: A Bahia merecia um evento de segurança, e ganhou um evento que, ao que tudo indica, foi muito bom, com excelentes palestrantes;
  • Os melhores eventos de 2014
    • You Shot the Sheriff (YSTS). Sem dúvida nenhuma, o YSTS continua sendo um dos eventos de segurança mais importantes no Brasil. A qualidade do evento e o ar de exclusividade (a grande maioria dos ingressos é oferecida somente pelos patrocinadores) torna o evento altamente "desejável" pela comunidade de segurança. Após uma desastrosa tentativa de aumentar o tamanho do evento há 2 anos atrás, eles voltaram a utilizar um espaço relativamente pequeno, com uma platéia formada por poucos e bons. Também conta com excelentes palestras e um clima descontraído (em parte potencializado pelo open bar após o almoço). Certamente é um dos eventos para ver e ser visto ;)
    • Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Novamente realizamos três edições neste ano: em 13/4 (véspera do YSYS), 06/10 (junto com a Copa do Mundo) e a décima edição em 23/11 (próxima a Black Hat São Paulo). Lógico que eu gosto do evento, pois sou um dos organizadores - mas mesmo assim, acredito que merecemos destaque por ser um evento gratuito, com um leque diversificado de assuntos e com diversas atividades de excelente qualidade acontecendo simultaneamente: palestras, oficinas, Lightning Talks e um churrasco gratuito para os participantes. Neste ano uma das principais novidades foram as competições de robótica, que aos poucos tem atraído mais e mais pessoas. O feedback que recebemos do público sempre é muito bom, o que nos mantém motivados a melhorar sempre ;)
  • As ótimas surpresas em 2014
    • O SecureBrasil megalomaníaco, no hotel Grand Hyatt, com dois dias e várias trilhas de palestras (gerencial, técnico e soluções). O evento muito bem organizado pela Flipside e com a chancela do (ISC)², atrai a galera CISSP e, consequentemente, os principais profissionais do mercado. Este ano o evento também trouxe um super-hiper keynote speaker: o Mikko Hypponen, rockstar da F-Secure;
    • A gigantesca expansão do Roadsec, alcançando 9 cidades em 2014 e com uma edição de encerramento em São Paulo sensacional, com palestras e oficinas em um espaço excelente (e diferente do usual), finalizando com um show muito bom do Ira!
  • Ignorado pela comunidade de segurança, mas muito bom
    • Tosconf - Evento pequeno, organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace de lá. A Tosconf tem a pretensão de ser uma "conferência tosca", mas na verdade é um evento excelente, com ótimas palestras e oficinas sobre hacking em geral, incluindo assuntos diversos tais como "como fazer um machado". Isto sem falar que o evento foi realizado na nova sede do LHC, uma casa espaçosa perto da rodoviária da cidade;
  • Continua na mesma
    • GTS - Continua sendo um bom evento. Ocorre sempre duas vezes por ano, no 1o e no 2o semestre. É um evento gratuito, com um conjunto de palestras técnicas de boa qualidade, embora claramente eles tiveram dificuldade de conseguir palestrantes este ano. Além de fornecer um ambiente confortável para o público presente, as palestras também são transmitidas online e disponibilizadas posteriormente;
  • Não cheirou nem fedeu
    • CNASI São Paulo - embora seja um evento tradicional, já atingindo sua 21a edição, o Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) tem um bom público, embora atraia muito pouco os profissionais da área. Possui uma grade grande de palestras com foco principal em gestão, abrangendo temas como auditoria, compliance, riscos e segurança, com pouco ou quase nada de conteúdo técnico. Em alguns aspectos, parece que o evento parou no tempo;
  • Não vale nem a visita
    • Security Leaders: É um evento que eu não vejo a menor graça: é formado por debates bem fracos e superficiais, aonde os participantes são escolhidos entre os patrocinadores, e não entre especialistas no assunto. Além do mais, o palco do debate fica lotado de debatedores, e assim cada participante tem muito pouco tempo para falar qualquer coisa (o que as vezes é um alívio...). Tem uma área de exposição mas que é pouco frequentada, pois o evento atrai pouco público presencial - exceto no momento da premiação, que nada mais é do que uma seqüência de babarão de ovo para os executivos de segurança que trabalham em grandes empresas (basta ter cargo de CSO em uma grande empresa para ter grande chance de ganhar o prêmio);
  • Micos e roubadas
    • Black Hat Regional Summit São Paulo - Em seu segundo ano no Brasil, a Black Hat já começou a campengar, infelizmente. De cara, repetiu alguns dos problemas do ano passado: os conhecidos preços extorsivos, e quem não pagou pelo ingresso do congresso se deparou novamente com a "pegadinha" dos "Convites VIP" enviados pelos patrocinadores: assim como aconteceu no ano passado, eram credenciais de "Convidados Exclusivos Vip" que não davam direito a nada. A área de exposição pareceu ser bem menor e mais apertada do que no ano passado. E a opinião geral foi de que teve muito menos gente do que em 2013 - embora, ainda assim, o evento me pareceu bem movimentado. As salas de palestras foram surreais: como não havia isolamento acústico entre elas, apenas um pequeno biombo, todo mundo tinha que usar fones de ouvido para ouvir o palestrante. Assim, quem parasse em frente a um dos auditórios iria ver um palestrante falando com a platéia bem baixinho, quase inaudível. A cena parecia de um congresso de surdo-mudos. Se continuar nesse ritmo, daqui a 2 ou 3 anos o evento desaparece :(
    • Roadsec - Nem mesmo um evento tão bom e tão bem organizado como o Roadsec escapou de algumas poucas roubadas - que não comprometeram a qualidade do evento, mas que merecem ser ditas aqui só para ninguém dizer que eu babei demais neles... Eu ouvi uma crítica, de uma fonte confiável, de que o evento regional teve várias palestras com jabá (ou seja, palestras de produtos). Acredito que isto não desmerece a iniciativa e a qualidade geral do evento, pois afinal os eventos dependem dos patrocinadores para ocorrer - e os patrocinadores patrocinam em troca de ter exposição. Na mega-edição de São Paulo, a roubada ficou por conta do longo intervalo de 3 horas entre o final das palestras e o show do Ira! - Foi um tédio sem fim! Poderiam ter extendido as atividades em outro palco, ou ter organizado algo para o pessoal fazer. Foi legal para botar o papo com os amigos em dia, mas eu não sou sociável o suficiente para aguentar 3 horas de bate-papo, mesmo cercado de tantos amigos excelentes e sensacionais. Mas, mico mesmo foi colocar o Jovem Nerd para comentar sei-lá-o-quê no intervalo das palestras. Os caras não são jovens, não tem nada de nerds (só isso já seria suficiente para um processo por propaganda enganosa) e, o que é pior: não são nem um pouco divertidos;
  • Não vi e não vou opinar, mas mesmo assim acho que merecem destaque
    • Hackers to Hackers Conference (H2HC) - A H2HC é o mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa, vulnerabilidades e novos ataques. De alguns anos para cá a H2HC começou a investir pesado em trazer palestrantes gringos de alta qualidade. Mas, como pouca gente consegue entender estes palestrantes, o público acaba migrando para as palestras de conteúdo menos complexo. Foi assim em 2013 com a Co0L BSidesSP e neste ano com a H2HC University, pelo que me contaram. Na minha opinião, pecou em duas coisas: pelo tema cafona ("H2HC na selva" - wtf?) e, novamente, pelo local: o Novotel Morumbi é longe de tudo, de difícil acesso, e com poucas opções de lugares para comer em volta;
    • Sacicon - Pequeno evento de segurança que tem como principal diferencial o fato da língua oficial ser o Inglês, pegando carona na vinda dos palestrantes extrangeiros da H2HC. O mais interessante é que o evento tem uma agenda diferenciada: começa a noite com uma pequena festa e continua no dia seguinte com palestras após um "hangover brunch";
  • Senti saudades em 2014
  • Sumiu? Será que alguém sentiu falta?
    • Silver Bullet.

Além dos eventos nacionais acima, vale destacar que em 2014 vimos o surgimento de duas BSides na América Latina, as primeiras fora do Brasil: a BSides Colômbia e a BSides Chile.

Sem mais delongas... and the Oscar goes to...

Resumo
Melhor Evento SecureBrasil
Melhor Novidade RoadSec em várias cidades e a H2HC University
Maior Surpresa RoadSec São Paulo com show do Ira!
Maior Roubada Convite "Convidado Especial VIP" da Black Hat São Paulo
Festa estranha com gente esquisita O sistema de som da Black Hat Brasil
Maior Mico "O Cobol Acabou. Não Acabou?" (frase de palestrante no Roadsec Rio)
Maior WTF? O tema da H2HC: "na selva"
Maior Sem Noção Jovens Nerds no Roadsec SP
O Mais Caro Black Hat Regional Summit São Paulo
Os Patrocinadores Pira Babar no ovo do pessoal no Security Leaders
Alternativo Co0L BSidesSP e Tosconf
Visual Caprichado SecureBrasil
Organização mais Caprichada Flipside (SecureBrasil e Roadsec)
Melhor Local Roadsec São Paulo (Audio Clube)
Pior Local H2HC (Novotel do Morumbi)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Para Ver e Ser Visto SecureBrasil e YSTS
Para Poucos e Bons YSTS
Para o Público Técnico H2HC
Para o Público Gerencial SecureBrasil
Para quem está começando Co0L BSidesSP e H2HC University
Para competir no CTF RoadSec
Para ver os amigos H2HC
Para Beber com os amigos YSTS, Co0L BSidesSP, Roadsec SP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP: tinha 3 níveis diferentes de VIPs
Para levar a família Co0L BSidesSP
Não fui mas queria ter ido SecureBrasil, H2HC e Ekoparty
Às Moscas Black Hat São Paulo
Tédio do Ano Ficar 3 horas sem fazer nada, entre o fim das palestras do Roadsec SP e o show do Ira!
Palestrante mais pica grossa Mikko Hypponen (SecureBrasil)
Melhor Palestrante Nacional Crash (presente em diversos eventos no Brasil e no mundo!)
Melhor Palestrante de todos os tempos Fernando Mercês
Em 2015 eu quero ir na... SecureBrasil e H2HC (muito chateado por não ter ido este ano)
Em 2015 eu quero viajar para... Defcon, CCC Camp, 8.8 (Chile), Eko e Angeles & Demonios (Argentina)
Não Pode Faltar no seu Evento The Pirates Bar
Patrocinadores "ponta firme" Conviso e Trend Micro


Importante: As opiniões apresentadas aqui são minhas e não refletem necessariamente a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

Neste ano o agendamento dos eventos foi afetado pela Copa do Mundo: vários eventos a anteciparam suas datas no primeiro semestre e os eventos do segundo semestre atrasaram suas datas para longe da metade do ano. Isso causou um enorme congestionamento de eventos entre o final de setembro e o começo de novembro. Foi punk! Com tantos eventos próximos, fica difícil conseguir participar deles e, para quem organiza eventos, dificulta conseguir patrocinadores e palestrantes.

Para ficar antenado e ver uma lista bem completa com os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site Agenda TI.

Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

2 comentários:

Derneval disse...

Chocante.. eu parei de ir nos eventos durante um tempo mas o dia em que resolver aceitar um convite (eu não tenho condições de pagar) vou checar essa lista antes..

Jairo Willian disse...

. O SecureLeaders tem um algoritmo de escolha dos profissionais/cases bem duvidoso. Tenho dúvida se alguns palestrantes/escolhidos são realmente da área de Segurança.
. EkoParty em 2014 não perdeu nada - foi terrível. Espero que não repitam o "novo" formato 2015. Sem trilhas paralelas você era obrigado assistir alguns absurdos (sem mencionar a semana inteira problemática com voos em BA).
. As palestras Jabás não foram poucas, e algumas em excesso de exposição.
. O que é um patrocinador ponta firme? Fiquei curioso.
. O evento de BH não foi realizado em função da agenda copa (custos de locação inviáveis).

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.