julho 08, 2025

[Segurança] O Básico Bem Feito

Um infográfico publicado em um artigo na Revista da Pesquisa FAPESP resume muito bem quais as medidas básicas de segurança que ajudam a melhorar a postura de proteção das organizações;


O infográfico foi criado a partir do Relatório Anual de Segurança de 2023 do CAIS-RNP, que tem uma página batizada de "guia essencial de segurança da RNP", em que mostra as principais medidas a serem adotadas no processo de segurança da informação:
  • Defesa em profundidade: Um ataque cibernético é composto de diversas etapas. Aplicar o conceito de defesa em profundidade impõe barreiras contínuas ao invasor, o que aumenta a chance de um incidente ser detectado e tratado antes que ele cause efeitos adversos.
  • Backup: Cópias de segurança garantem a disponibilidade da informação, deixando sistemas mais resilientes. Medida essencial tanto contra os ransomwares como para falhas rotineiras de hardware.
  • Proteção contra vulnerabilidade: Monitorar sistemas, realizar varreduras, configurar atualizações automáticas e acompanhar canais de informação para criar um processo completo de gestão de vulnerabilidades.
  • Segmentação e controle de acesso: Segmentar a infraestrutura, adotar múltiplos fatores de autenticação (MFA) e modelar a infraestrutura de acordo com o conceito de Zero Trust (confiança zero) ajuda a conter danos e prevenir incidentes mais graves.
  • Conscientização: Programas de conscientização e treinamento ajudam a transformar o colaborador em uma barreira de segurança.
  • Continuidade de negócios: O processo de formulação e adoção de um plano de continuidade de negócios ajuda a organização a enxergar oportunidades de melhorias e maneiras de aprimorar a maturidade de segurança.
  • Resposta e cooperação: Construir processos que integrem especialistas externos ajuda a organização a responder incidentes de maneira adequada.
Sem dúvida são medidas básicas que garantem um nível minimamente razoável de proteção contra ciberataques e uma capacidade inicial de responder a incidentes.

Para saber mais:

julho 04, 2025

[Segurança] O maior crime cibernético da história do Brasil (com memes)

Sim, como alguns portais de notícias já disseram, estamos frente ao maior caso de crime cibernético da história do Brasil, um ciberataque que pode ter gerado perdas na casa de alguns bilhões de reais.

O portal Brazil Journal foi o primeiro a noticiar, no final da terça-feira (01 de julho), que "um criminoso explorou a vulnerabilidade de um prestador de serviços e roubou mais de R$ 1 bilhão da conta de uma empresa que oferece soluções de conta transacional ao sistema financeiro".

A título de comparação, no famoso assalto ao cofre do Banco Central do Brasil em Fortaleza, em 2005, foram roubados "apenas" 164 milhões de reais (o equivalente a 75 milhões de dólares, na cotação da época).

Na fraude bilionária em questão, um típico caso de ataque à cadeia de suprimentos ("supply chain attack"), os criminosos invadiram os sistemas da empresa C&M Software e tiveram acesso não autorizado a plataforma de seis instituições financeiras, a partir das quais acessaram as contas de reserva delas no Banco Central do Brasil. A partir daí, eles conseguiram sacar o dinheiro para contas de laranjas.

A C&M Software, no caso, é uma empresa que presta serviços financeiros a bancos e fintechs, autorizada e supervisionada pelo Banco Central do Brasil - no jargão do mercado, ela é uma "Provedora de Serviços de Tecnologia da Informação" (PSTI). Segundo o Brazil Journal, ela é uma das "sete empresas deste tipo, autorizadas e supervisionadas pelo BC, que conectam 293 instituições à autoridade monetária". Ela disponibiliza acesso ao Sistema de Pagamentos Brasileiro (SPB), através de APIs e webservices, para realizar o processamento de transações financeiras entre bancos - como transferências via Pix, emissão e pagamento de boletos, DDAs, TEDs, etc. Segundo as reportagens sobre o caso, a empresa mais afetada pelo golpe foi a BMP, uma fintech que fornece serviços de "banking as a service", entre eles um sistema bancário "white label".


Tudo indica que o ataque ocorreu na madrugada do dia 30 de junho, foi detectado e contido no mesmo dia. Uma nota da BMP, compartilhada posteriormente em alguns grupos de whatsapp, indicou que nesse dia houve a interrupção temporária nas transações PIX em função de um ataque cibernético a um provedor de serviços - a C&M Sistemas, no caso. Assim que o ataque foi detectado, o Banco Central desligou a C&M do sistema, paralisando as transações PIX de alguns de seus clientes. A Polícia de São Paulo e a Polícia Federal foram acionadas.

Segundo reportagens da Brazil Journal e da Cointelegraph:
  • Às 00:18 do dia 30 de junho as plataformas da SmartPay e Truther identificaram um movimento atípico de compra de criptomoedas;
  • Às 04:00 do dia 30 de junho um executivo da BMP é notificado, por um executivo de outro banco, sobre um PIX de R$ 18 milhões realizados naquele momento.
No dia seguinte (01/07) a notícia surgiu primeiro no portal Brazil Journal e na sequencia pipocou em vários jornais país afora, e surgiram novos relatos de que o prejuízo estimado seria de R$ 400 milhões, um número bem abaixo do que foi apontado inicialmente. Entretanto, uma reportagem do UOL, citando fontes ligadas a investigação, disse que os números ainda estão sendo auferidos, mas especula-se que o prejuízo seja ainda maior, de até R$ 3 bilhões.

Uma reportagem do Brazil Journal dá uma luz melhor sobre essas estimativas: apenas da fintech BMP foram extraviados R$ 400 milhões, e na ocasião, a matéria destacou que as estimativas do Banco Central eram de que a estimativa do total roubado, de todas as instituições financeiras envolvidas, seria de R$ 800 milhões. A BMP alega que conseguiu recuperar R$ 160 milhões.

O vazamento do dinheiro se deu via PIX para diversas contas de laranja, que na sequencia foram enviados para exchanges de criptomoedas. O Banco Central identificou e suspendeu do Pix três instituições de pagamento que receberam a maior parte dos fundos roubados e não bloquearam os valores: Transfeera, Nuoro Pay e Soffy.

Segundo a Cointelegraph, os criminosos tentaram converter o dinheiro roubado em Bitcoin e USDT, mas em alguns casos não tiveram sucesso e chegaram a ter o dinheiro retido e retornado às vítimas. A matéria destaca que "após roubar o dinheiro, o hacker começou a movimentar os valores para diferentes provedores de criptomoedas que trabalham com Pix, como exchanges, gateways, sistemas de swap para cripto integrados com pix e mesas OTC, para comprar USDT e Bitcoin" - mas muitas delas negaram o cadastro e as transações. Citando o CEO da SmartPay e Truther, as duas plataformas identificaram um movimento atípico às 00:18 do dia 30 de junho - o que dá uma boa pista do horário do ataque: na madrugada de domingo para segunda-feira!

A Polícia Civil de São Paulo prendeu na noite de quinta-feira (03/07) o homem suspeito de facilitar ataque ao sistema financeiro. Segundo o Departamento Estadual de Investigações Criminais (Deic), o preso, João Nazareno Roque, é funcionário da empresa de tecnologia C&M Software, atuando como desenvolvedor back-end júnior, e deu acesso pela máquina dele ao sistema da empresa para os criminosos que efetuaram o ataque. Segundo a polícia, ele vendeu por R$ 5 mil a sua senha de acesso e depois, por mais R$ 10 mil, realizou comandos nos sistemas à mando dos crimnosos para permitir os desvios. Ele relatou ainda que só se comunicava com os criminosos por celular e não os conhece pessoalmente. O primeiro contato aconteceu em março desse ano, quando foi abordado na saída de um bar. Os comandos foram executados em maio desse ano. O salário dele, na empresa, era de apenas R$ 2.500, e agora ele vai ele responder por associação criminosa, um furto qualificado mediante fraude e abuso de confiança.

Pela característica do ataque, essa foi uma operação que foi cuidadosamente planejada e exigiu participação de pessoas com conhecimento especializado do funcionamento do sistema financeiro brasileiro - tanto do ponto de vista técnico como processual. é um ataque que envolveu o acesso irregular ao "coração" do SPB, injetando transações fraudulentas diretamente nos sistemas. Tal ataque dificilmente poderia ser realizado por um grupo criminoso de fora, por exigir tanto conhecimento das particularidades de um sistema que só funciona no Brasil. As investigações mostram que o ataque estava sendo planejado desde, pelo menos, março desse ano. Além do mais, eles escolheram a dedo o horário do "bote": a madrugada de domingo para segunda-feira, 30/06, um horário que provavelmente haveria menor monitoramento dos sistemas.

Vale lembrar que o sistema financeiro, por dentro, é extremamente complexo, com muitas partes envolvidas e tecnologias distintas. Para um simples PIX ou um pagamento de boleto ocorrer, diversas empresas são envolvidas, com papéis distintos.

A grosso modo, o Banco Central possui uma rede que interconecta todos os bancos, a Rede do Sistema Financeiro Nacional (RSFN), utilizada para a troca de informações das transações entre os bancos. Essa rede é quem faz a comunicação do Sistema de Pagamentos Brasileiro (SPB). Os bancos se conectam à RSFN diretamente ou através de empresas que vendem o serviço de conectividade, outras que possuem plataformas que fazem a troca de mensagens ("messageria"), e por aí vai.


Segundo o Banco Central, o problema foi contido. A BMP declarou que nenhum cliente foi afetado e que o impacto se restringiu aos próprios fundos operacionais.

Vale destacar, com um pequeno tom de sarcasmo, o posicionamento da comunidade de segurança. Felizmente não vi qualquer profissional realmente sério e conhecido dando depoimentos imprecisos na imprensa. Mas surgiram relatórios e depoimentos de especialistas bem fora da realidade. Nos grupos de whatsapp, pipocavam os comentários mais aleatórios possíveis, com muito palpite e adivinhação, uma pitada de fofoca ("conheço alguém envolvido na investigação que disse que...") mas pouca base real. Como sempre, nosso mercado se alimenta e retroalimenta de muito FUD e desinformação. Em casos de grande atenção, como esse, há uma histeria coletiva em compartilhar qualquer tipo de informação sobre o caso, sem preocupação em verificar a fonte ou analisar a veracidade.


Rapidamente logo nos primeiros dias alguns "especialistas" apontaram que o ataque teria sido realizado pelo grupo "Plump Spider", e que todo o modus operandi condizia com o grupo (detalhe: na ocasião, não havia qualquer indicação de como o ataque teria ocorrido).


Ou seja, dentre centenas (ou milhares?) de grupos cibercriminosos brasileiros, alguns com ligações com o crime organizado, existem apenas 2 ou 3 catalogados pela gringolândia. Será que essa pressa de algumas pessoas ao atribuir o ataque ao Plump Spider é fruto de análise precisa, ou puro comodismo?

Um relatório sem qualquer conexão com a realidade foi compartilhado em diversos grupos e virou tema de podcasts. Um relatório que até apontava qual seria a vulnerabilidade (CVE) responsável pela invasão à C&M. Um youtuber, uma pessoa que se declara especialista de segurança, destilou diversas groselhas sobre o caso e fez um video inteiro sobre o tal relatório fantasioso, como se ele tivesse descoberto como foi o ataque (não vou citar o canal e nem colocar o vídeo aqui por vergonha alheia).

Atualização (06/07): Conforme as investigações sérias, da polícia, avançam, surgem novas informações na Imprensa sobre o ataque ao sistema financeiro, e a C&M finalmente publicou uma nota oficial sobre o incidente. A C&M, além de reforçar que a fraude ocorreu por uso de uma credencial de funcionário e que não houve vulnerabilidade no seu sistema, relatou na nota que utilizou o MED para recuperar parte dos valores!

Vejam algumas novidades nesses últimos dias:
  • A Polícia Civil de São Paulo informou que a BMP, uma das instituições afetadas pelo ataque hacker ao sistema financeiro, perdeu R$ 541 milhões. Ela foi a única empresa afetada que registrou boletim de ocorrência e que se manifestou publicamente;
  • Segundo o inquérito da Polícia Civil de São Paulo, após acessar a conta reserva da BMP, os criminosos desviaram R$ 541 milhões através de 166 transferências para 29 diferentes instituições financeiras. Parte das instituições identificadas, que inclui bancos tradicionais e instituições conhecidas, já estornou o dinheiro por meio do sistema de devolução do Pix (MED);
  • O Banco Central suspendeu o acesso ao sistema Pix de seis instituições de pagamento: Voluti Gestão Financeira, Brasil Cash, S3 Bank, Transfeera, Nuoro Pay e Soffy;
  • Uma das fintechs que estão na mira da polícia, a Soffy, recebeu 270 milhões desviados do BMP em 69 transferências. Ela não aparece no cadastro do Banco Central com autorização para operar como instituição de pagamento.
Para saber mais:


PS: A Apura, Axur e Tempest produziram relatórios de inteligência sobre o incidente, que foram compartilhados com a comunidade.

PS/2: Sim, já temos memes!

  

PS3: Post atualizado em 06 e 07/07.

junho 24, 2025

[Humor] Os melhores (piores) golpes

O comediante Afonso Padilha tem um vídeo muito legal, no YouTube, de um standup onde ele conversou com a platéia sobre diversos golpes que aconteceram: "AFONSO PADILHA - MELHORES (piores) GOLPES #1".

O vídeo tem 23 minutos e vale a pena assistir, é bem divertido:


E vale a pena compartilhar esse vídeo com os usuários finais, como parte de campanhas de conscientização.

Ah, tem esses dois videos que também são bem legais:

junho 20, 2025

[Segurança] Livro infantil | “Cyber Safe: Dicas de uma cachorrinha para segurança na Internet”

A Fortinet lançou em janeiro desse ano, para toda América Latina, o livro infantil “Cyber Safe: Dicas de uma cachorrinha para segurança na Internet“. O livro está disponível on-line gratuitamente para conscientizar as crianças, e pretende ajudar a tornar o mundo digital mais seguro para todas as crianças 

Nos dias de hoje, as crianças começam a acessar a Internet antes mesmo de aprender a ler, e muitas vezes sem o necessário cuidado. 

O livro da Fortinet conta a história da Lacey e Gabbi em uma aventura cibernética divertida e segura! O livro "Cyber Safe" é uma maneira divertida e lúdica de explicar o mundo digital para as crianças, aprendendo como se comportar e como se manter seguro on-line.

Veja um pequeno vídeo promocional do livro:

O livro foi criado por duas autoras. Renee Tarun é uma mãe com mais de 20 anos de experiência em segurança cibernética, é vice Chief Information Security Officer (CISO) na Fortinet e teve passagem na Agência de Segurança Nacional (NSA) dos Estados Unidos. Susan Burg é professora certificada pelo Conselho Nacional dos EUA, com 24 anos de experiência em ensino.

Para saber mais:

junho 18, 2025

[Segurança] Um raio X do sequestro de contas

A Flare produziu um relatório interessante com várias estatísticas sobre os ciberataques de sequestro de contas ("Account Takeover", ou "ATO")

Um ataque de sequestro de conta ocorre quando um cibercriminoso ou agente de ameaça obtém acesso não autorizado a uma conta de um usuário, seja em uma rede, site ou aplicativo - seja uma conta pessoal ou corporativa. A partir do acesso não autorizado, os invasores têm inúmeras maneiras de explorar ou monetizar esse ataque.

Os cibercriminosos têm usado diversos métodos para realizar o sequestro de contas, incluindo o tradicional phishing, engenharia social, obtenção de dados através de vazamentos de credenciais, ataques de força bruta ou simplesmente a adivinhação de senhas fracas. Também existem os malwares especializados em roubo de credenciais, que chamamos genericamente de infostealers.

Veja algumas das principais conclusões do relatório da Flare:
  • A exposição aos ataques de sequestro de contas varia de acordo com o setor, com mídias sociais, aplicativos em nuvem e plataformas de entretenimento apresentando o maior número médio de sessões comprometidas mensalmente;
  • A taxa média de crescimento anual de casos de contas expostas é de 28%, o que está amplamente ligado à proliferação de malwares infostealer;
  • O impacto econômico do ATO e do sequestro de sessão é significativo, e considera:
    • Custos de mão de obra para investigações de segurança (~US$ 26,2 milhões anuais para uma grande plataforma de streaming).
    • Perdas por fraude com sequestros de contas (~US$ 7,5 milhões anuais).
    • Risco de rotatividade de clientes, que pode levar a dezenas de milhões em perda de receita a cada ano.
  • Os malwares do tipo infostealer são uma das principais fontes de credenciais e tokens de sessão roubados

  • As estimativas da Flare apontam que a maioria dos casos de roubo de sessão acontecem com sites de mídias sociais, seguido por grandes provedores de serviços de Nuvem e SaaS:
  • Essa informação é bem interessante: As perdas decorrentes de atividades fraudulentas após uma invasão de conta podem variar bastante, dependendo do setor e do tipo de aplicativo web envolvido. Por exemplo, contas de serviços de streaming geralmente apresentam riscos de fraude menores, mais ou menos limitados ao valor de suas assinaturas mensais. Por outro lado, contas de comerciantes em plataformas de e-commerce podem resultar em perdas na ordem de dezenas de milhares de dólares ou mais. Eles criaram um gráfico que resume as perdas estimadas por setor e as diversas maneiras de explorar uma conta comprometida:

Para saber mais:

junho 16, 2025

[Segurança] "Hacker Summer Camp" 2025 em Vegas

Já programou a sua ida para Las Vegas nesse ano?

Se engana quem pensa apenas na Defcon e Black Hat, dois dos maiores de eventos de segurança do mundo. A primeira semana de agosto concentra tantos eventos de cibersegurança em sequência que costuma ser chamada de "Hacker Summer Camp". De fato, a Defcon e a BlackHat acabaram atraindo outros eventos, no decorrer dos anos, tornando a semana inteira uma experiência única e imperdível - um mergulho na cultura hacker.

Veja só a agenda da primeira semana de agosto desse ano:

(*) De 02 a 05/08 a Black Hat oferece seus treinamentos, uma grade recheada de treinamentos de alto nível - e alto custo, claro, rs.

Ou seja, tem evento para todos os públicos, do hackudão ao CISO.

Nesse ano a grande novidade é que a BSidesLV será estendida para dois dias e meio, começando na segunda-feira (até então, eles começavam na 3a feira e o segundo dia encavalava com a Black Hat - o que não era um problema para quem tinha pouca grana e não iria na Black Hat)! Mas a BSidesLV desse ano terá dois dias inteiros de conteúdo e atividades na segunda e terça-feira, com meio dia de sessões na quarta-feira. A famosa pool party deles continuará acontecendo na quarta-feira à noite.

Para quem não conhece, a The Diana Initiative é uma conferência voltada para a diversidade, comprometida em ajudar todas as pessoas sub-representadas em Segurança da Informação. Vale lembrar que, desde o ano passado, temos também a La Villa Hacker, uma village dentro da Defcon, organizada pelo pessoal da América Latina.

PS: Post atualizado em 18/06.

junho 11, 2025

[Segurança] Vamos relembrar a BSidesSP 2025

Acabamos de publicar, no nosso novo canal no YouTube, um vídeo com um breve resumo da vigésima edição da BSidesSP:


O vídeo, produzido pela PUB Produções, conseguiu sintetizar em 9 minutos o que foi aquele domingo incrível da BSidesSP. A descrição do evento, feita pelo Thiago Bordini, se mesclou com imagens e depoimentos dos participantes. O Bordini arrasou na sua narrativa sobre a BSidesSP!

Eu só quero deixar registrado uma pequena correção, por puro preciosismo (aos 46 segundos): nós entramos para a família BSides global na nossa 3a edição, em março de 2012. Nós realizamos as duas primeiras edições em 2011 já seguindo mesmo o formato e modelo da BSides, mas inicialmente com outro nome: "Conferência O Outro Lado (Co0L)".

Aproveite e veja os vídeos das palestras da BSidesSP 2025. Estamos subindo alguns vídeos no decorrer dos próximos dias.

Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.

A BSidesSP 2025 aconteceu nos dias 17 e 18 de Maio de 2025 e contou com o patrocínio da Apura Cyber IntelligenceElytronGeminaGoogleHacker RangersHekateLogicalIT e Tata Consultancy Services (TCS), além da AzionBunker Cyber SecurityCheckmarxClavisCymulateForcepointHakai SecurityHPE / Aruba NetworkingLeonnes CybersecurityPurpleBird SecuritySnykStrikeTempest Security Intelligence e a Webdefense. Também patrocinaram o evento a Nova8, a BeephishBugHuntHatbashTailor Security TechThallium e Vantico. A competição de Capture The Flag (CTF) foi realizada graças ao apoio e organização da comunidade Hack in Cariri e contou com o patrocínio da Defcon1 e da LUMU (o que nos permitiu fazer um troféu lindo e pagar parte dos custos de viagem do pessoal da Hack in Cariri). A realização do evento contou com o apoio sensacional da Hekate. A BSidesSP jamais seria possível ser realizada se não fosse por essas empresas.

junho 10, 2025

[Segurança] Vem aí a MBConf

Anote na sua agenda: no dia 01 de agosto acontecerá aqui, em São Paulo, a MBConf, a conferência da Mente Binária - realizada em parceria com a Google.

A MBConf 2025 será um evento direcionado a estudantes de todas as áreas de TI, presencial e 100% gratuito, pensado para quem quer mergulhar de vez no universo da cibersegurança. A MBConf foi criada para equilibrar conteúdo técnico de qualidade com experiências práticas e interativas, com atividades hands-on.


O que esperar da MBConf?
  • Palestras técnicas com especialistas da área
  • Atividades hands-on para colocar o conhecimento em prática
  • Conteúdo introdutório baseado no Certificado Profissional de Segurança Cibernética do Google 
  • Realização conjunta do Google e da Mente Binária
  • Espaço para networking e troca de ideias com gente que respira tecnologia
  • Inclui Welcome Coffee, Almoço e Happy Hour 
O evento terá palestras do Marcello Zillo, Jarcy de Azevedo e da incrível Chris Borges, além de atividades hands-on de exploração de vulnerabilidades com o Rafael Choko e detecção e resposta a incidentes com o Osmany Arruda.

Lembre-se, é necessário fazer a sua inscrição, as vagas são limitadas!
  • Garanta sua vaga agora: https://menteb.in/mbconf
  • Evento restrito a estudantes de graduação na área de tecnologia com interesse em segurança da informação;
  • É necessário ser maior de 18 anos;
  • Os participantes devem selvar um computador próprio com VMware instalado (veja os requisitos no site do evento).
Anote na sua agenda:
  • Dia 01/08/2025 das 8h às 19h
  • Presencial no escritório do Google: Av. Pres. Juscelino Kubitschek, 1909 - Vila Nova Conceição
A MBConf surgiu durante a pandemia de COVID, como uma iniciativa da Mente Binária para compartilhar conhecimento. A edição de 2025 é fruto de uma parceria entre o Google e a Mente Binária.

junho 06, 2025

[Segurança] BSidesSP 2026 já tem data!!!

Que a vigésima edição da Conferência Security BSides São Paulo (BSidesSP) foi um sucesso, a gente não tem dúvidas!

E a régua subiu!!!

Então, já anota na sua agenda a data da BSidesSP no ano que vem:


A BSidesSP sempre acontece no final de semana antes do You Sh0t the Sheriff (YSTS). Fiquem atentos pois, geralmente no final do ano nós começamos a buscar patrocinadores e, entre janeiro e fevereiro, abrimos a chamada de palestras ("call for papers").  Normalmente abrimos as inscrições no mesmo dia em que anunciamos a grade preliminar do evento, o que acontece geralmente um mês antes do evento. Para acompanhar as novidades, fique de olho nas nossas redes sociais (incluindo o nosso novo canal no YouTube), o nosso grupo no Telegram e o nosso site.

Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.

junho 05, 2025

[Segurança] Os números da vigésima BSidesSP

Com muito alto astral, espírito de comunidade e troca de conhecimento, mais de 2.300 pessoas comemoraram a vigésima edição da BSidesSP no final de semana dos dias 17 e 18 de maio. Foi um momento para celebrar a força da nossa comunidade!

Sim, você leu direito! No domingo, dia 18/05, tivemos...


2.307 pessoas presentes na BSidesSP!


Esse é o número de total de checkins, de pessoas que compareceram e foram credenciadas na entrada do evento. Fora isso, tivemos mais de 4.400 inscritos no domingo. Somando os dois dias da Conferência Security BSides São Paulo (BSidesSP), tivemos 5.529 inscritos e 2.725 pessoas no evento.

Sim, crescemos de cerca de 1.800 pessoas em 2024 para praticamente 2.300 nesse ano!!!

Foram dois dias intensos, com 32 palestras nas trilhas principais do domingo, 17 villages temáticas, 17 times jogando nosso campeonato de CTF, 880 pastéis, 500 litros de chopp, 3 dinossauros, 2 pikachus, 1 pé torcido e 1 canela ralada.

  

  

E, para fechar com chave de ouro essa edição tão especial: a pessoa que ganhou o penúltimo prêmio no sorteio durante a cerimônia de encerramento, participou da Village 4Kidz da BSidesSP em 2013, quando criança! Sim, os eventos de comunidade são sobre formar pessoas!!!

Essa foi uma edição que se mostrava grande antes mesmo de começar! Nós tivemos uma quantidade recorde de palestras submetidas para o evento, 109 (a maioria no final do prazo). Por isso, decidimos alterar a grade do evento, diminuindo o tempo de cada palestra de 50 para 40 minutos, além de ajustar os horários dos intervalos. Assim, conseguimos colocar 8 palestras por sala, em vez de 6, então a quantidade total de palestras na grade oficial do evento desse ano pulou de 24 para 32 slots - e, assim, conseguimos receber um pouco mais de palestrantes no evento.



A BSidesSP 2025 contou com 418 pessoas presentes no sábado (37% dos inscritos) e 2.307 pessoas no domingo (52% dos inscritos), além de 286 pessoas cadastradas para assistir o streaming do palco principal no domingo, online.

Veja os nossos números:
  • 109 propostas de palestras
  • 32 palestras aprovadas
  • 286 inscritos na transmissão online
  • 1.122 inscritos nas atividades de sábado, 17/05
  • 4.407 inscritos no domingo, 18/05
  • 418 presentes no sábado
  • 2.307 presentes no domingo
  • 202 voluntários
  • 29 patrocinadores!
  • 25 times jogaram o nosso Escape Room, mas apenas 6 deles conseguiram sair!
  • 17 times jogando o campeonato de CTF
  • 12 implantes de biochip realizados pelo Leonardo Akira (@mybiochip)
  • 7 tatuagens realizadas
  • 20 minutos para fazer o checkin das mais de 1.000 pessoas que estavam na porta, no início do evento
  • 880 pastéis servidos para o pessoal no domingo
  • 500 litros de chopp
  • 3 dinossauros
  • 2 pikachus
  • 1 palestrante com celular furtado por um cara de bike, quando ia entrar no Uber em frente ao hotel
  • 1 pé torcido
  • 1 canela ralada
  

                  

  

  

Nós estávamos esperando 2.100 pessoas para essa edição da BSidesSP - inicialmente havíamos previsto 2 mil, mas como as inscrições gratuitas esgotaram em poucos dias, aumentamos nossa estimativa e produzimos "apenas" 2.200 kits para os participantes (sacolinha, crachá e cordão, brindes e folders). Mas o sucesso foi além da nossa expectativa e as últimas pessoas que chegaram já não ganharam o kit, infelizmente :(

E tivemos várias coisas legais nessa edição:
  • Nós lançamos um slogan para a BSidesSP, que representa o nosso espírito e o sentido que damos para o evento: "Da comunidade para a comunidade";
  • No domingo, todos ganharam um brigadeiro, afinal não existe aniversário no Brasil sem brigadeiro, não é!? E os palestrantes ganharam um cupcake comemorativo;
  • Pela primeira vez, fizemos transmissão ao vivo das palestras no palco principal e gravamos as palestras nas 4 trilhas - que em breve vamos subir para nosso novo canal no YouTube;
  • Tivemos algumas villages novas nesse ano, a maioria delas inéditas, que aconteceram pela primeira vez: Apple Red Team, Carreira, Exploit Village, Humint e a Jurassic Village;
  
  • Criamos uma sala para as comunidades e podcasters gravarem entrevistas :)
  • O Alcyon Júnior fez a transmissão ao vivo e comentada do nosso CTF em seu canal no YouTube (veja a parte 1 e parte 2)!
  • A Mente Binária lançou, na BSidesSP, um novo curso sobre inteligência de ameaças, online e gratuito, o Curso de Inteligência de Ameaças Cibernéticas Online (veja o meu post sobre isso);
  • Pela primeira vez, tivemos uma área de exposição dos patrocinadores, no primeiro piso, com estandes para eles interagirem com o nosso público;
  • Gostaram do nosso Escape Room? Foi uma criação da Hekate, uma idéia que nos apaixonamos e fizemos questão de trazer para o evento <3

  • Por ser uma edição comemorativa, nós convidamos 5 pessoas muito especiais para serem os nossos Keynote Speakers, mas dois deles não puderam vir na BSidesSP pois já tinham compromisso profissional na mesma data (e merecem nossa homenagem, carinho e respeito). Eles são apenas uma parte da "ponta do iceberg", alguns entre as várias pessoas que diariamente tem se dedicado a nossa comunidade e a compartilhar o conhecimento. Esses 5 queridos são pessoas que representam a nossa comunidade de cibersegurança e tem uma história de dedicação e apoio a ela:
    • Alexos: Sempre que vem para São Paulo, ele está na BSidesSP e na H2HC. O Alexos tem um papel fundamental na construção da nossa comunidade na região Nordeste. No ano passado a Nullbyte comemorou 10 anos de muito sucesso e hacking raiz;
    • Fernando Mercês: O mundo precisa de mais Mercês <3 A Mente Binária é a melhor referência para a nossa comunidade, simples assim. O Mercês sempre esteve presente e já subiu nos nossos palcos várias vezes;
    • Nelson Brito: Sempre apoiou a BSidesSP e veio em quase todas as edições. Ele foi um dos que mais apoiou o grupo de voluntários que, durante vários anos, prepraram a feijoada ou o dogão que era servido gratuitamente para os participantes. Inclusive, as receitas da feijoada e do dogão eram dele!
    • Nelson Novaes Neto: além de já ter palestrado diversas vezes na BSidesSP, também era um dos maiores incentivadores dos voluntários que preparavam a feijoada e o dogão, na nossa época na PUC;
    • Rodrigo Rubira Branco (BSDaemon): nossa comunidade não seria tão forte se não fosse pelo Rubira e pela H2HC, que abriu caminhos e formou gerações de profissionais. O Rubira também esteve em quase todas as BSidesSP e palestrou várias vezes.
Assim como no ano passado, nos esforçamos em não só realizar uma competição de Capture The Flag (CTF), mas também em educar e atrair pessoas para a atividade. Fizemos três competições de "esquenta": duas ao vivo na sede do Garoa Hacker Clube em março (uma focada apenas para as mulheres e outra dedicada ao tema da Inteligência Artificial) e uma competição online alguns dias antes do evento. Por falar em CTF, fizemos um troféu lindão para registrar todos os vencedores de todos os anos (a partir do ano passado), além de troféus individuais para cada competidor dos 3 primeiros colocados - esses troféus foram criados em homenagem ao Oscar que o Brasil ganhou nesse ano!

  

  
      .       

Também merecem um parabéns muito especial os nossos voluntários, que realmente fizeram o evento acontecer, com muita energia e dedicação. Foram mais de 200 pessoas nos dois dias de evento.

  

  


Nesse ano tivemos 29 patrocinadores, mais um recorde! Como nossas contas de patrocínio tem valor baixo e os custos são altos, precisamos fazer um esforço muito grande para fechar as contas. Felizmente tivemos muitas empresas que toparam nos apoiar, algumas delas entrando na última semana! Graças a esses patrocínios conseguimos bancar a tradução de libras, transmissão e gravação das palestras, o escape room (que foi bancado por nós mesmos e pela Hekate, já que nenhum patrocinador se interessou por essa ativação) e alguns brindes extras para os participantes.


Essa foi a vigésima edição da BSidesSP. O evento começou pequeno, em 15 de maio de 2011, usando o espaço do Garoa Hacker Clube, e contou com 84 participantes. Nos primeiros anos realizávamos 2 ou 3 edições por ano, mas em 2017, quando atingimos 770 pessoas, percebemos que o evento já tinha crescido o suficiente para que conseguíssemos organizar apenas uma edição por ano. No ano seguinte, em 2018, superamos a marca de mil participantes, com folga, quando tivemos 1.245 pessoas na BSidesSP. Fizemos uma pausa durante a pandemia e, no final de 2022, retornamos!

Também não podemos falar da BSidesSP desse ano sem lembrar do nosso amigo Sickeira, um grande apoiador da comunidade e sempre presente em vários eventos. Um dos fundadores do ABC Makerspace, o Sickeira sempre ajudava a organizar atividades dos hackerspaces em diversos eventos. Por um feliz capricho do destino, ele subiu no palco da BSidesSP super feliz por ter ganho um brinde no sorteio durante a cerimônia de encerramento. Suas fotos no palco da BSidesSP estão gravadas em nossos corações.

obrigado Sickeira!

Agradecemos imensamente o apoio de todos vocês, sem os quais não seria possível realizar um evento tão grandioso como foi essa vigésima edição da BSidesSP.


A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.

A BSidesSP 2025 aconteceu nos dias 17 e 18 de Maio de 2025 e contou com o patrocínio da Apura Cyber Intelligence, Elytron, Gemina, Google, Hacker Rangers, Hekate, LogicalIT e Tata Consultancy Services (TCS), além da Azion, Bunker Cyber Security, CheckmarxClavis, Cymulate, Forcepoint, Hakai Security, HPE / Aruba Networking, Leonnes Cybersecurity, PurpleBird Security, Snyk, Strike, Tempest Security Intelligence e a Webdefense. Também patrocinaram o evento a Nova8, a Beephish, BugHunt, Hatbash, Tailor Security Tech, Thallium e Vantico. A competição de Capture The Flag (CTF) foi realizada graças ao apoio e organização da comunidade Hack in Cariri e contou com o patrocínio da Defcon1 e da LUMU (o que nos permitiu fazer um troféu lindo e pagar parte dos custos de viagem do pessoal da Hack in Cariri). A realização do evento contou com o apoio sensacional da Hekate. A BSidesSP jamais seria possível ser realizada se não fosse por essas empresas.

Obrigado às empresas que acreditam e apoiam a nossa comunidade!!!

Fique de olho nas nossas redes sociais (incluindo nosso novo canal no YouTube), no nosso grupo no Telegram e no nosso site.


Vejam também:
PS: Post atualizado em 06/05.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.