janeiro 16, 2018

[Segurança] Como foram os eventos de Segurança em 2017

Finalmente chegou a hora de comentar como foram os eventos de Segurança em 2017, uma análise  sincera e divertida que eu faço todo o ano sobre nosso mercado. Esse texto eu fico escrevendo aos poucos no decorrer do ano, por isso sempre fico feliz em vê-lo pronto!

O objetivo desse post é compartrilhar publicamente alguns elogios e críticas que eu tenho sobre os eventos no Brasil, para que juntos possamos discutir como melhorar cada vez mais o nosso mercado e nossos eventos.
Lembre-se: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.
Para começar, devo dizer que neste ano eu tive algumas felicidades e algumas frustrações pessoais relacionadas a minha participação nos eventos de segurança:
  • Pela primeira vez, finalmente consegui ir em vários Roadsecs, também fui no hackercamp que acontece a cada 4 anos na Holanda (o SHA 2017) e fui na 8.8, um evento muito legal no Chile. Adorei essas experiências!


  • Infelizmente, neste ano não pude ir no MindTheSec pois coincidiu com uma viagem a trabalho, nem na BSides Latam (que aconteceu na Colombia), na BSides Lisboa (muito próxima ao RoadsecSP) e também fiquei mais um ano sem ir ainda na Nullbyte, um evento que tenho muita vontade de conhecer pela qualidade técnica do evento, pelos excelentes organizadores e porque amo Salvador e amo o Raul Hacker Clube.
  • Outros eventos que eu gostaria muito de ter ido mas não consegui foram o Security Day em  Natal, o JampaSec, o Latinoware e o DISI da RNP #frustrado :(
Talvez o principal destaque de 2017 foi que o ano ficou marcado por um número record de tretas relacionadas aos eventos de segurança. Vejam só:
  • O pessoal da Alligator bem que tentou fazer um CFP treteiro, mas nada supera a treta sobre a paternidade da H2HC, talvez a maior treta pública na história da comunidade de infosec brasileira;
  • Pela segunda vez, o prometido John McAffee furou a sua vinda para o Brasil, e deixou o MindTheSec no Rio de Janeiro órfão de keynote speaker. Para a sorte do evento, o WannaCry tinha acontecido alguns dias antes e eles conseguiram incorporar esse tema na agenda na última hora;
  • Faltando poucos dias para o Roadsec São Paulo, surge uma série de tweets denunciando que o Capitão Crunch é um abusador sexual de jovens adolescentes. Justamente ele, uma celebridade histórica da cena hacker, que viria para o Brasil pela primeira fez para ser o keynote speaker do Roadsec! Sem nenhum alarde, outro palestrante foi colocado em seu lugar e o Roadsec São Paulo ficou seu o seu pop-star internacional;
  • Com isso, o Anderson Ramos confirmou seu pé-frio para trazer palestrantes internacionais. Mas, considerando que ele já trouxe o Mikko Hypponen e o Schneier, ele ainda está com um restinho de crédito ;)
  • Tivemos o tradicional leak na H2HC, com informações de uma pequena galerinha publicada no pastebin e até mesmo um belo poster a venda durante o evento com uma coletânea de algumas senhas. Nada de novo, pois essas senhas eram senhas velhas que foram vazadas nos leaks que aconteceram no decorrer do ano (ex: leak do Yahoo).

Indo ao que interessa,  começo compartilhando minhas principais observações sobre alguns dos eventos nacionais deste ano:
  • Os grandes destaques e novidades
    • O surgimento de uma nova safra de jovens palestrantes: Nesse ano eles surgiram e conquistaram seu espaço. Eu espero que mais novos profissionais sigam os exemplos do João Goes, do Luiz Gustavo Corrêa Filho de 15 anos (que palestrou no Roadsec Brasília e BSidesSP, entre outros) e do Matheus "Teteus Bionic", de 11 anos, que estava presente no RoadSec São Paulo. Também tivemos o Jonatas Fil, de 16 anos, vencedor da etapa São Paulo do Hackaflag;
    • Garotas competindo no CTF: A área de tecnologia e a de segurança não deveriam ser dominadas predominantemente por homens. Aos poucos as mulheres vão conquistando o seu lugar de direito e surgem exemplos de excelentes profissionais do sexo feminino. A final do Hackaflag, o campeonato nacional de CTF do Roadsec, teve a felicidade de trazer duas competidoras: a Aghata Sophia de João Pessoa e a Ingrid Spangler de Belo Horizonte;
    • Os times de CTF brasileiro começam a dominar o mundo: nos últimos poucos anos a comunidade de segurança viu uma grande popularização das competições de Capture The Flag (CTF), e a formação de vários times nacionais. Isto é excelente, pois tem ajudado a compartilhar o conhecimento de segurança, tem servido como uma ótima oportunidade de estudo e treinamento e também tem revelado novos talentos profissionais. Mas o grande destaque de 2017, para mim, foi o pessoal do time RTFM. Além de serem competidores sempre presentes em vários compeonatos, eles também organizaram CTFs para alguns eventos: adorei a competição que eles organizaram na Cryptorave, que tinha até desafio de Dumpster Diving, e eu tive o orgulho máximo de vê-los organizarem o CTF em um evento na Argentina (a Andsec) e no Chile (a 8.8). Em todos esses anos nessa indústria vital, eu jamais imaginei que algum dia teríamos Brasileiros organizando competições lá fora! Parabéns!!!
    • O CTF da BSidesSP também merece destaque pelo formato inovador aqui no Brasil: uma competição que durou 24 horas initerruptas no local do evento. Foi uma maratona para todos, para a organização e para os competidores;
    • Roadsec: O RoadSec é sem dúvida alguma o maior evento de segurança nacional, e neste ano a mega edição de encerramento em São Paulo teve 5 mil inscritos. Para ser sincero, no dia do evento o ambiente me lembrou um pouco a Defcon - guardadas as devidas proporções, claro! Em 2017 o Roadsec visitou 18 cidades brasileiras, incluindo São Paulo;
    • Trilha de AppSec no Roadsec São Paulo, organizado pela Conviso: ótima iniciativa, que deu destaque a um dos assuntos que eu acho mais importante no nosso mercado atual, a segurança de aplicações. Parabéns!
    • Os patrocinadores "ponta firme": Um dos maiores desafios para quem organiza eventos é conseguir bons patrocinadores, que topam apoiar financeiramente e, principalmente, que entendem e respeitam o espírito de cada evento. Na minha experiência, a dificuldade aumenta exponencialmente quando fazemos um evento técnico, pois todo mundo quer patrocinar qualquer coisa que tenha CSOs, mas quase ninguém quer aparecer em um evento aonde você diz que vai estudante e a "peãozada" (desculpe pelos termos, mas eu mesmo me incluo no meio da "peãozada")..Por isso, faço questão de agradecer e parabenizar, em nome da comunidade e do mercado brasileiro, a iniciativa de empresas como a Trend Micro, El Pescador, Conviso e algumas outras que sempre estão presentes. Também merece destaque o Itaú, pela iniciativa e coragem de um banco abraçar a cultura de segurança e a comunidade. Eles, o Itaú, pelo segundo ano consecutivo esteve presente como patroicinador do Roadsec e do HackaFlag.
  • Os melhores eventos de 2017
    • Acredito que tivemos vários eventos excelentes, por isso a escolha de melhor evento é bem difícil. Mas vamos lá...
    • YSTS - Novamente o pessoal do You Sh0t the Sheriff arrasou na escolha do local. Evento cheio, com palestras legais e sempre é presença obrigatória. Muita gente fica de fora, com cara de choro;
    • O Roadsec São Paulo, que se tornou o grande festival da área;
    • Security BSides São Paulo (BSidesSP) - Neste ano a BSidesSP bateu novamente seu record de público: 770 pessoas na edição de maio/2017. O evento tinha muitas atividades de qualidade acontecendo em paralelo, e não decepcionou seu público. Trouxe também um estilo de CTF inédito por aqui: uma competiçÃo que durou 24 horas initerruptas, varando a noite de sábado a domingo - pondo em prova o conhecimento técnico e a resistência física e psicológica dos competidores. O evento cresceu tanto que, infelizmente, foi obrigado a pisar no freio: o trabalho adicional fez a organização preferir realizar um evento por ano em vez de limitar o seu crescimento.
  • Os bons eventos de 2017
    • Mind The Sec - O MindTheSec é um evento para "ver e ser visto", ou seja, é a maior "vitrine" dos profissionais de segurança brazucas. Nesse ano, também merece parabenizar a iniciativa de fazer uma edição menor, no Rio de Janeiro;
    • Hackers to Hackers Conference (H2HC) - A H2HC é aquele evento que todo mundo passa o ano inteiro esperando por ele! O desafio de perguntas e respostas da El Pescador, com torta na cara, fez a alegria da galera!
    • Roadsec: As edições regionais cumprem muito bem o papel de levar bom conteúdo para o Brasil afora, atendendo uma galera enorme e sedenta de conhecimento!
    • Cryptorave: Saiu do Centro Cultural São Paulo para um espaço no centrão de São Paulo, mas novamente não decepcionou com suas palestras excelentes;
    • Não podemos nos esquecer dos bons eventos regionais, como a Nullbyte, o Jampasec, a BWCon e o Security Day em Natal.
  • As ótimas surpresas em 2017
    • Para ser sincero, neste ano não vi grandes surpresas no mercado, exceto, talvez...
    • A criatividade do pessoal da El Pescador, que fez algumas ações de marketing bem legais nos eventos. Na BSidesSP, havia uma piscina de bolinhas aonde o participante caia se não conseguisse diferenciar um phishing de um site verdadeiro, e na H2HC fizeram uma competição de perguntas e respostas com torta na cara; 
  • Sentimos saudades
    • Duas edições da BSidesSP em 2017;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, com transmissão online - mas chama pouca atenção da comunidade de infosec;
    • Security Leaders: Na minha opinião este é um evento com conteúdo fraco e sem graça, com debates superficiais. Mas ele sempre foi o queridinho dos patrocinadores, que aproveitam a premiação e sua área de exposição para contato com clientes. Afinal, o pessoal da Conteúdo Editorial é muito bom de marketing, e conseguem dar uma boa visibilidade ao evento. Neste ano eles inovaram, com o palco principal em formato "arena", integrado a área de exposições. Eles realmente sabem agradar aos patrocinadores!!!


    • CNASI São Paulo - embora seja o nosso evento mais antigo, ele continua não conseguindo chamar a atenção do público da área;
    • Workshop SegInfo (Rio de Janeiro): Esse já foi um evento sensacional, mas desde 2016 virou um evento fechado para empresas convidadas. É uma pena, pois o Rio de Janeiro merece ter um evento dessa qualidade.
  • Não vi mas vou opinar assim mesmo
    • BHack (em Belo Horizonte, MG) - Infelizmente o evento tem perdido um pouco do brilho das primeiras edições, com falhas na organização e tretas associadas a um dos organizadores (ou ex-organizadores?). Assim, aos poucos foi deixando de atrair uma boa parte da comunidade de pesquisadores em segurança de outros estados;
    • Alligator: É o melhor evento da comunidade underground, fechado a 4 chaves, com palestras de grande qualidade técnica e que faz questão de ser exclusiva;
    • Congresso da ISC2: Acaba sendo esquecido e jogado para escanteio, com tantos eventos nacionais e com o YSTS, MindTheSec e Security Leaders para atender o público corporativo.

  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • Leakon: Francamente, o pessoal cria um evento hackudão secreto, para os amiguinhos do Underground falarem mal dos outros, e convidam um repórter?
    • Hackers to Hackers Conference (H2HC) - A H2HC teve duas tretas nesse ano: uma leve, com um pessoal não identificado lançando alguns leaks e vendendo um poster no evento com algumas informações vazadas que, na verdade, eram senhas de pessoas que já tinham sido vazadas em outros leaks (os Hackers Brazuca continuam sendo especialistas em fazer leak de informação pública). Mas isso não foi nada perto da "mãe de todas as tretas", que foi uma discussão pública no Linkedin sobre quem foram os fundadores da H2HC. O assunto virou piada entre a comunidade e deu origem a vários memes, com stickers sendo distribuídos na RoadsecSP. Só para manter a tradição dos meus posts nos anos anteriores, eu considero o Novotel Morumbi um péssimo local para o evento (é longe de tudo, de difícil acesso, com poucas opções próximas para comer e com um espaço muito pequeno e desajeitado para o evento);
    • Painel do Montanaro no Security Leaders: pelo que me disseram, durante a palestra não teve nenhuma treta, mas se eu fosse o organizador do evento eu teria retirado silenciosamente da programação por causa da grande discussão que a precedeu;

    • Cano pela 2a vez do John McAfee, no MindTheSec Rio de Janeiro É óbvio que a organização do evento não teve culpa, mas para todos rolou um sentimento de frustração;
    • Defcon 25 anos: OK, não é um evento Brazuca, mas quero deixar registrado aqui a minha frustração. Por mais que o evento seja fodástico, o melhor evento de segurança do universo conhecido, ele não se adaptou bem na infra-estrutura do Caesars Palace, e o pior prejudicado foi o CTF, que ficou exprimido em uma salinha minúscula. Mas nada foi mais frustrante e criticado do que o crachá de plástico xexelento entregue aos participantes. Também eu não vi nada de mega-especial que mostrasse que o evento estava comemorando sua 25a edição.

Segue então um resumo e minha "premiação" para os destaques dos eventos brasileiros no ano de 2017...


Resumão 2017
Melhores Eventos Brasileiros YSTS, RoadsecSP, H2HC e BSidesSP
Melhor Novidade 24hs de CTF na BSidesSP
Maior Surpresa Vencedoras femininas no CTF do Roadsec (HackFlag)
Maior Roubada Convidar o John McAffee como speaker
New kid in the block Leakon
Festa estranha com gente esquisita A festa da SaciCon, claro :)
Maior Mico Ausência do John McAffee no MindtheSec Rio
Maior WTF? Chamar um repórter em um evento secreto
Maior Polêmica Quem fundou a H2HC?
Maior Sem Noção Discutir no Linkedin a paternidade da H2HC
Os Patrocinadores Pira Security Leaders
Alternativo BSidesSP e Criptorave
Visual e Infra Caprichados YSTS e MindTheSec
Organização Caprichada YSTS e Flipside (MindTheSec e Roadsec)
Melhor Local YSTS
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Não Pode Faltar no seu Evento Uma competição de CTF organizada pelo CTF-BR ou pelo RTFM
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC
Para o Público Underground Alligator e Leakon
Para o Público Gerencial MindTheSec e Security Leaders
Para a Baixa Gerencia e Público de TI Leigo em SI CNASI e Security Leaders
Para o CSO Gartner Security & Risk Management Summit
Para o Usuário Final DISI e CriptoRave
Para o Povão Roadsec SP
Para quem está começando BSidesSP, Roadsec e H2HC University
Para Crianças BSidesSP (com a BSides 4 Kidz)
Para Competir no CTF RoadSec, CTF 24H da BSidesSP
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP. Bônus se você conseguir 4 ou mais pulseiras de cores diferentes.
Para ver palestrante gringo e não entender nada H2HC e SaciCon
Para ir de Graça BSidesSP e GTS
Para pagar caro para ver evento ruim Security Leaders
(se você não é de empresa "usuário final", eles cobram R$ 1.000 ou R$ 1.500 de ingresso)
Para Assistir de Casa GTS, DISI, Edições regionais do Roadsec
Evento Hostil H2HC e Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Nullbyte, Jampasec, Security Day (Natal)
Palestrante mais Pica Grossa Stuart McClure
Melhor Palestrante do ano Kelvin Clark
Palestrante de destaque Luiz Gustavo Corrêa Filho
Melhores Palestrantes de todos os tempos Fernando Mercês, Nelson Brito e Rodrigo Rubira Branco
Palestrante para dar IBOPE no seu evento Diego Aranha
Palestrante arroz-de-festa Eugene Kaspersky
Em 2018 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, AndSec, Ekoparty e 8.8
Em 2018 eu quero ir na... Nullbyte
Em 2018 eu quero viajar para... Defcon (US), 8.8 (Chile), Eko e AndSec (Argentina), BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp (Alemanha)
Patrocinadores "ponta firme" El Pescador e Trend Micro
Melhor atividade de patrocinador El Pescador (piscina de bolinha na BSidesSP e quiz com torna na cara na H2HC)

Para saber mais:
  • Veja quais foram os principais eventos de segurança no primeiro e segundo semestres de 2017;
  • Veja meus posts sobre os eventos de segurança nos anos anteriores: 2011, 2013, 2014, 2015, 2016.

Importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes, para o bem ou para o mal ;) Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

OBS: Post atualizado em 17/01 com alguns pequenos ajustes no texto e com a inclusão de um parágrado valorizando os patrocinadores dos eventos. Também aproveitei para incluir um comentário sobre a trilha de AppSec no RoadsecSP.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.