maio 27, 2011

[Segurança] Como foi o InfoSec Arena no YSTS 5

A conferência You Sh0t the Sheriff (YSTS) foi um sucesso. Foi uma grande oportunidade para encontrar excelentes amigos no meio da gigantesca platéia (foi record de público, com certeza!) e muitas das palestras foram sensacionais. O público e os palestrantes foram bem selecionados! Talvez quem mais chamou a atenção do pessoal foi o Deviant Ollam, da TOOOL, que abriu o evento com uma apresentação sobre conceitos básicos de lockpicking (um termo bonito para "abrir fechadura", ou "trampo de chaveiro", se preferir) e vendeu vários kits para a galera presente. Eu mesmo me diverti prendendo o pessoal com uma algema e ensinando (isto é, tentando ensinar) eles a se soltarem.

Quero também deixar registrado aqui minha admiração pela excelente palestra do Fabio Assolini, analista da Kaspersky, que falou muito bem como os ciber criminosos brasileiros usam informações pessoais roubadas em suas atividades criminosas. Ele já tinha proferido outra excelente palestra doois dias antes, no GTS, sobre o histórico dos trojans bancários brasileiros.

Conforme eu já tinha anunciado, pela segunda vez o YSTS organizou o InfoSec Arena, um debate que criamos especialmente para o evento aonde todo o público presente participa, de uma forma dinâmica e, ao mesmo tempo, descontraída. Os temas debatidos foram sugerios pelo público (através de Twitter e de formulários distribuídos durante o evento) e escolhidos aleatoriamente através de sorteio. Dependendo do tema, eu escolhia alguém da platéia para comentar e muitas vezes o próprio pessoal se manifestava.

As perguntas ou questionamentos poderiam ser sobre qualquer assunto relacionado a segurança da informação, auditoria, mercado, boas práticas, etc. Mas, como seria de se esperar, os temas que mais levantaram polêmica foram certificação e ética do profissional de segurança - embora não sejam temas novos. Surgiram temas bem interessantes também, como segurança de sistemas embarcados, e aí eu pergunto: qual será o risco de, no futuro, encontrarmos uma botnet hospedada em computadores nos carros, eletrodomésticos, etc?

Eu recebi várias perguntas, que faço questão de compartilhar com todos:
  • Desde o ano passado, quantos pentesters perderam o emprego para o Backtrack? O medo ainda continua? (pergunta clássica sobre os "profissionais" que vendem consultoria baseado em rodar ferramentas automatizadas)
  • Todo "hacker ético" já foi um hacker não ético? Ou já teve seu momento não ético? (esta pergunta gerou muita discussão sobre a relatividade do conceito de ética)
  • Saber o basico de muitas ferramentas e ter capacidade de se aprofundar na que precisa hora da H é mais válido que ser especialista em uma ou duas ferramentas?
  • Por que as pessoas procuram uma certificação antes de realmente dominarem o assunto? (viu, eu não disse que esse tema é polêmico?)
  • O que vocês acham da grande quantidade de empresas brasileiras de segurança da informação que entregam "relatórios finals" de pentest que mais parecem discursos políticos? (falam muito, mas não querem dizer nada)
  • Quando a Compliance vai deixar de ser "para inglês ver" no Brasil?
  • Qual é o primeiro fanzine hacker do Brasil? (Essa pergunta é um ótimo gancho para questionarmos a produção de material de qualidade no Brasil)
  • Com a morte do Bin Laden, os ataques terroristas tendem a ser cibernéticos?
  • Você que tem acompanhado o Anonymous, existe alguma outra atuação do grupo, além dos que temos vistos na mídia? (interessante levantarem a questão do hacktivismo!)
  • Existe alguma esperança que o DNSSEC será largamente usado no Brasil?
  • Em segurança privada, está começando uma onda chamada "segurametria", para se criar indicadores para propósitos gerais, porém principalmente para se justificar investimentos e custos. O que tem sido feito na segurança da informação neste sentido? (ótima pergunta, que levanta a importância de construirmos métricas para justificar o funcionamento e os investimentos em segurança. É importante lembrar que os altos executivos são guiados por métricas)
  • O quanto o Wikileaks afetou a economia? (a economia eu não sei, mas que muitos fabricantes estão vendendo soluções milagrosas para proteger as empresas contra vazamento de dados para o wikileaks, ah, isso eu não tenho dúvida)
  • O que falta para os novos profissionais de SI?
  • No atual cenário, aonde a computação está transcendendo os hosts radicionais, quais são os esforços de segurança da informação nas áreas de telemática, como na área automotiva e de rastreadores?
  • Qual é o ponto de vista sobre o risco de vírus nos aparelhos de som nos automóveis?
  • Quem povoará as botnets do futuro, os zumbis ou as nuvens? (ótima pergunta para fomentar o debate sobre o uso malicioso de Cloud Computing)
  • Diante do nosso mercado de trabalho e ferramentas de resposta a incidentes, vocês acham que estamos preparados para uma cyber war? (pergunta interessante, que mereceria uma discussão mais profunda sobre como se proteger contra ameaças avançadas, tipicamente usadas em um ataque direcionado: como se proteger contra um zero-day, um spear phishing, etc?)
  • A visão das mulheres no mundo da segurança: ainda existe preconceito? (interessante... infelizmente há poucas mulheres na nossa área. Porque será?)
  • Como difundir as informações de segurança no Brasil? (e quem produz informação de qualidade? O Brasileiro tem uma vantagem: nós compartilhamos informação entre os profissionais através de grupos de trabalho e associações mais facilmente que nossos colegas no exterior, por uma questão cultural e de sobrevivência.)
  • A migração profissional vale a pena, ou o Brasil tem futuro? (futuro tem, só não sei se é bom... por outro lado, o mercado de trabalho está aquecido em várias partes do mundo, de forma que é relativamente fácil para um profissional da nossa área buscar empregos no exterior)


A quinta edição do You Shot the Sheriff (YSTS) aconteceu no dia 16 de Maio de 2011 em São Paulo, e já se tornou um evento tradicional sobre segurança da informação no mercado brasileiro. O YSTS é um evento único, que privilegia palestras de excelente qualidade com um clima descontraído que valoriza o networking. Os organizadores do YSTS também são responsáveis pelo podcast I Shot the Sheriff.

Um comentário:

jbonagura disse...

Anchises

Realmente o YSTS eh um excelente evento de segurança da informação no Brasil. Quem não conhece ou nunca foi, não pode falar que sabe sobre SI...

Quanto ao Arena já tornou parte indispensável da conferência. Parabéns pelo seu trabalho!!

Se voce realmente tem uma duvida sobre SI e quer os melhores profissionais de segurança debatendo, voce precisa estar aqui.

Congratz! Anchises e Organizadores YSTS

Abs
Bonagura

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.