janeiro 19, 2016

[Segurança] Como foram os eventos de Segurança em 2015

Mais um ano vai, e se passaram algumas dezenas de eventos de segurança no primeiro e segundo semestres de 2015. Dando continuidade a minha pequena "tradição" iniciada em 2011, vou deixar aqui a minha opinião sincera, sarcástica e baba-ovo (quando merecido) sobre os principais eventos do ano.
Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

Para começar este post, vou fazer comentários específicos sobre alguns dos eventos que tivemos este ano, e que eu acho que valem a pena ser comentados:
  • Os grandes destaques e novidades
    • Popularização dos eventos fora de São Paulo: É um prazer ver eventos independentes surgindo e se consolidando pelo Brasilzão afora. Incluo nessa lista a Nullbyte (em Salvador, BA), o Security Day (Natal, RN - em sua oitava edição, se não me engano), o Jampasec (João Pessoa, PB) e a terceira edição da BHack (em Belo Horizonte, MG);
    • Roadsec: O RoadSec se consolidou como, sem dúvida nenhuma, o maior evento de segurança nacional e um dos maiores do mundo. Eles foram em nada menos do que 15 cidades brasileiras neste ano, com um público estimado de 10 mil pessoas (até aonde eu sei, eles não divulgaram o número exato de participantes, apenas o arredondado). O evento conta com palestras, várias oficinas bem legais e multidisciplinares e competições aonde destaca-se o Hack4Flag, a grande competição de Capture The Flag (CTF), patrocinada novamente pela Symantec. E novamente fizeram um super-hiper-mega-evento de encerramento em São Paulo, com um show sensacional e indescritível dos Titãs. Eles estão sempre de parabéns por levar conteúdo de qualidade pelo Brasil afora e pela grande revigorada nas competições de CTF. Me arrisco a dizer que, no Brasil, as competições de CTF se dividem em "antes do Roadsec" e "depois do Roadsec": antes elas eram raras e muitas vezes com poucos competidores, e agora existem competições com sucesso em vários eventos, com muita gente começando a entrar nesse mundo e apreendendo muito sobre segurança;


  • Os melhores eventos de 2015
    • Apesar do YSTS e da H2HC serem, tradicionalmente, os eventos mais importantes do mercado nacional, quando penso no que seria "o melhor evento do ano", há muito o que considerar. Por isso, meus votos vão para um evento novo, mas que nasceu grande (o Mind The Sec) atraindo os profissionais da área, e no outro extremo um evento pequeno, mas que atrai o público novo e velho de mercado, em pé de igualdade, com uma ótima grade de atividades e um ótimo ambiente (a BSidesSP):
    • Mind The Sec - Evento da Flipside que surgiu em substituição do SecureBrasil, o evento bombou este ano com a presença do pop-star Bruce Schneier - sem desmerecer os demais palestrante da grade caprichada, mas o Schneier é o Schneier, né !? A galera de SI fazia tietagem e fila para conseguir um autógrafo em algum de seus livros. Certamente foi um daqueles eventos para ver e ser visto;
    • Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Evento muito bem elogiado por todos que participam. Realizamos duas edições neste ano: em 13/4 (véspera do YSYS) e em 23/11 (próxima a H2HC). Lógico que eu gosto e sempre vou falar bem do evento, pois sou um dos organizadores, mas mesmo assim acredito que merecemos destaque por ser um evento gratuito, com um leque diversificado de temas e com diversas atividades de excelente qualidade acontecendo simultaneamente: palestras, oficinas, Lightning Talks e um churrasco gratuito para os participantes. Neste ano duas das principais novidades foram a BSides 4 Kids e a campanha "Bloody Hacker";
  • As ótimas surpresas em 2015
    • A Cryptorave voltou com força total, e foi parcialmente bancada pela comunidade, através de Crowdfunding :)
    • O show dos Titãs no Roadsec São Paulo ;)
  • RIP :(
    • Tosconf - Evento pequeno, organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace de lá. Foi cancelando faltando poucos dias para o evento, pois o principal organizador cansou de ter que tocar tudo sozinho e com pouco apoio;
    • Black Hat São Paulo - Depois de duas edições em 2013 e 2014, a Black Hat resolveu pedir um tempo. Talvez volte neste ano ou em algum dia;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura sensacional. É um evento gratuito que ocorre sempre duas vezes por ano, no 1o e no 2o semestre. Todas as palestras são transmitidas online e disponibilizadas posteriormente;
  • Não valeu nem a visita
    • CSO Summit - Evento novo, realizado pela primeira vez este ano, que prometeu muito e entregou quase nada. Com uma grade de atividades confusas (os participantes foram convidados a palestrar, mas faltando poucos dias do evento descobriram que participariam de painéis) e uma infra-estrutura simples, até mesmo o tipo de público desapontou: pequeno e formado principalmente pelos estudantes do Mackenzie - não tenho nada contra estudantes irem em eventos, mas quando um evento chama-se "CSO Summit" e anuncia que vai ter executivos da área, ficamos desapontados ao ter a impressão que 99% da platéia era formada por estudantes. A única coisa que salvou foi a qualidade dos palestrantes;
    • Security Leaders: Todo ano eu repito a mesma coisa: este é um evento sem graça, formado por debates bem fracos e superficiais, com um palco lotado de participantes. O que salva é a área de exposição e o momento da premiação, que servem para babar no ovo de executivos que trabalham em grandes empresas;
  • Micos e roubadas
    • BHack Conference, em Belo Horizonte (MG) - embora bem intencionado e com um clima de camaradagem sensacional, o pessoal errou feio na organização do evento este ano, com atraso muito grande das palestras e uma grade de atividades confusa, com palestras mudando de local e horário sem ninguém saber. Mas valeu a visita assim mesmo, com ótimas palestras e excelente oportunidade de encontrar o pessoal mais influente na área de segurança;
    • Hackers to Hackers Conference (H2HC) - A H2HC é o mais importante e mais tradicional evento brasileiro de pesquisa em segurança, mas continua atraindo muito menos público do que merecia. Novamente, falha feio por insistir na escolha do local: o Novotel Morumbi é longe de tudo, de difícil acesso, com poucas opções de lugares para comer em volta e com um espaço muito pequeno para o evento. A sala principal de palestras, então, é horrível: por ser longa e retangular, metade da sala fica longe do palco e o pessoal não consegue enchergar os slides do palestrante. Outro grande mico na H2HC este ano foi o famoso episódio do ataque a competição de CTF. Embora tenha tido alguns aspectos divertidos ao presenciar o bafafá na hora, o problema é que os competidores foram desrespeitados na medida que investiram seu tempo para participar mas foram impedidos por conta do incidente;
    • Roadsec São Paulo - Até mesmo um evento sensacional e bem organizado como o Roadsec dá algumas poucas escorregadas - que em pouco comprometeram a qualidade geral do evento. O principal pecado foi montar uma área de alimentação pequena, que não dava conta de atender os participantes do evento (após enfrentar filas longas e demoradas, os Food Trucks abriram o bico e ficaram sem comida) - pior ainda porque os participantes não podiam sair do Audio Clube para comer fora. Neste ano se repetiu a confusão com as diversas pulseirinhas VIP. Ninguém, nem os seguranças, sabiam direito que pulseira dava acesso a qual área do evento. Pecaram também no final do evento, após o show dos Titãs: quem queria continuar no evento não tinha para onde ir, com informações confusas da casa sobre que espaço poderíamos ficar. Quem saía da área do show e dos camarotes era proibido de voltar, o tal show do DJ motherfoca estava deserto e a área externa de fumantes estava fechada;
  • Não vi mas vou opinar assim mesmo
    • You Shot the Sheriff (YSTS) - Um dos eventos de segurança mais importantes no Brasil, neste ano eles tentaram algumas mudanças que, aparentemente, não deram certo. Tentaram fazer o evento no meio da semana (5a feira), com a festa no mesmo dia, mas para 2016 já anunciaram a volta para o modelo dos demais anos, com o evento na segunda-feira. Pelo que eu vi no vídeo do evento, o local foi bem estranho também: parecia uma Igreja Evangélica !!!

Sem mais delongas... and the Oscar goes to...

Resumo
Melhor Evento Brasileiro Roadsec e Mind The Sec
Melhor Evento do Universo CCCamp
Melhor Novidade Bloody Hacker e BSides 4 Kids (BSidesSP)
Maior Surpresa Show do Titãs no RoadSec São Paulo
Maior Roubada CSO Summit
Festa estranha com gente esquisita O local do YSTS. Pelas fotos e vídeos, parece que o pessoal estava numa igreja evangélica.
Maior Mico Derrubar os competidores no Capture The Flag da H2HC
Maior WTF? Passar fome no Roadsec São Paulo
Maior Sem Noção Discutir com o segurança do Roadsec se a sua pulseira VIP dá direito a entrar no camarote patrocinado pela sua empresa
Os Patrocinadores Pira Babar no ovo do pessoal no Security Leaders
Alternativo BSidesSP e Criptorave
Visual e infra Caprichados GTS
Organização mais Caprichada Flipside (MindTheSec e Roadsec)
Melhor Local Audio Clube (Roadsec São Paulo)
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS, sempre!!!
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC e BHack
Para o Público Gerencial MindTheSec
Para quem está começando Co0L BSidesSP, Roadsec e H2HC University
Para competir no CTF RoadSec
Para não competir no CTF H2HC
Para ver os amigos Roadsec SP, H2HC e BHack
Para Beber com os amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP: tinha 3 (ou mais?) níveis diferentes de VIPs. Melhor ainda se você conseguisse pegar várias pulseiras, cada uma de uma cor, quase dava para fechar o braço
Para levar as crianças BSidesSP
Para ver palestrante gringo e não entender nada do que ele fala H2HC
Não fui mas queria ter ido Ekoparty
Às Moscas BHack :(
Palestrante mais pica grossa Bruce Schneier, sem dúvida! (MindTheSec)
Melhor Palestrante Nacional Alexos, Flavio Shiga (ambos da iBliss) e Diego Aranha
Melhor Palestrante de todos os tempos Fernando Mercês continua imbatível
Em 2016 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty
Em 2016 eu quero ir na... YSTS
Em 2016 eu quero viajar para... Defcon, 8.8 (Chile), Eko e as BSides na América Latina - além da BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp
Não Pode Faltar no seu Evento The Pirates Bar e uma competição de CTF organizada pelo CTF-BR
Patrocinadores "ponta firme" Conviso e Trend Micro


Importante: As opiniões apresentadas aqui são minhas somente e não refletem a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci (pouco provavel) ou porque considero que nem vale a pena escrever sobre ele.

OBS: Post atualizado em 21/01 para incluir uma pequena nota sobre a Black Hat São Paulo e referência a BSides Lisboa.

3 comentários:

Flavio Shiga disse...

Show de bola, gostei da análise! Parabéns!
Como sempre Anchises referência para a nossa área!

Flávio Shiga disse...

Parabéns, uma ótima análise!!!
Como sempre o Anchises referência para nós!

Anônimo disse...

Bom post Anchises. Só vou descordar do RoadSec, pois apesar do evento ter uma abrangência nacional que é de grande valia para disseminação e conscientização de SI em terras tupiniquins seu conteúdo é de baixíssima relevância para quem já está inserido no mercado de SI, pelo menos foi o que achei. Contudo sua temática é válida para os estudantes e iniciantes.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.