dezembro 19, 2013

[Segurança] Como foram os eventos de Segurança em 2013?

Chegamos ao final do ano, e porque não refletirmos sobre quais foram os melhores eventos de segurança que tivemos (juntando os eventos do primeiro semestre e do segundo semestre)? Eu já escrevi um post semelhante sobre os eventos de 2011, então decidi repetir a dose.

Antes de mais nada, vale destacar que neste ano vimos uma grande novidade no mercado brasileiro, a chegada da Black Hat em São Paulo.

Na minha opinião, eu classifico os eventos de segurança no mercado brasileiro da seguinte forma:
  • Os melhores eventos de 2013
    • You Shot the Sheriff (YSTS), em 20/05. O YSTS continua sendo um dos eventos de segurança mais importantes no Brasil, com excelentes palestras e um clima descontraído. Certamente é um dos eventos para ver e ser visto ;)
    • GTS - Ocorre sempre duas vezes por ano, e em 2013 foi em 24/5 e 06/12. É um evento gratuito, com um conjunto de palestras técnicas de boa qualidade. Além de fornecer um ótimo ambiente para o público presente, as palestras também são transmitidas online.
    • BHack Conference, dias 22 e 23/06 - Segunda edição do evento, que está dando uma fomentada no mercado de segurança em Belo Horizonte (MG). Teve um ótimo mix de palestras técnicas e gerenciais, distribuídas em duas tracks simultâneas e com excelentes palestrantes. Só pecou em uma coisa: as salas de palestras estavam em prédios distintos, o que dificultava muito o trânsito das pessoas quando desejavam ir para outra trilha.
    • Vale Security Conference (ValeSecConf) (14 e 15/09) - Também em sua segunda edição, o evento atinge principalmente o público na região do Vale do Paraíba. Também teve um ótimo mix de palestras com temas técnicos e gerenciais, com ótimos palestrantes (e alguns nem tão bons assim).
    • SecureBrasil (22/08) - Evento muito bem organizado pela Flipside e com a chancela do (ISC)², o que atrai os principais profissionais de segurança do mercado - e, em especial, aqueles que são certificados CISSP. O evento conta com palestras direcionadas a profissionais experientes, com uma pequena área de exposições para os patrocinadores.
    • Décima edição da Hackers to Hackers Conference (H2HC) nos dias 05 e 06/10 - A H2HC é o maior, mais importante e mais tradicional evento brasileiro de segurança com foco em pesquisa, vulnerabilidades e novos ataques. Nesta décima edição, a H2HC contou com palestrantes gringos sensacionais, como Charles Miller e o FX (além de vários outros) e teve uma área de "lojinhas" muito frequentada e divertida. Só pecou, na minha opinião, pelo local: o Novotel Morumbi é longe de tudo, de difícil acesso, e com poucas opções de lugares para comer em volta.
    • Conferência O Outro Lado Security BSides São Paulo (Co0L BSidesSP) - Neste ano tivemos três edições, em 15/05 (véspera do YSYS), 06/10 (junto com a H2HC) e 24/11 (próxima a Black Hat São Paulo). Apesar de ser um dos organizadores do evento, acredito que merece o destaque por ser um evento gratuito e aberto para toda a comunidade, com diversas atividades acontecendo simultaneamente: palestras, oficinas, debates e um churrasco gratuito para os participantes. Também criamos algumas atividades novas este ano: a Hacker Job Fair, o Brazilian Arsenal e fizemos um CTF. Mas, na verdade, o que eu gosto mais da Co0L BSidesSP é que, além da qualidade das palestras e das oficinas, nós nos esforçamos por trazer um leque diversificado de assuntos, como hardware hacking e temas relacionados aos aspectos legais e psicológicos do uso da tecnologia.
  • As ótimas surpresas em 2013
    • Black Hat Regional Summit São Paulo (26 e 27/11) - A Black Hat, um dos mais importantes eventos de segurança em todo o mundo, finalmente desembarcou no Brasil, através do formato "Regional Summit", com dois dias de palestras e uma área de exposições gigantesca. O evento teve boas palestras mas, na minha opinião, se destacou pelo excelente espaço de exposições, com dezenas de stands de fornecedores que ficaram cheios quase que o tempo todo. Ok, haviam alguns expositores que nada tinham a ver com o mercado de SI, mas eram minoria.
    • CryptoParty: Mais uma grande surpresa de 2013. Foi um evento pequeno, pouco divulgado, mas que atraiu um público de cerca de 100 pessoas (estimativa minha) em pleno sábado, para assistir palestras sobre criptografia e privacidade, além de oferecer install fest de ferramentas de criptografia. O evento aconteceu em um espaço de co-working muito caprichado e bem localizado (perto da Av. Paulista), atraindo um público que representou uma excelente mistura de pessoas técnicas e curiosos. E foi mais um ótimo evento gratuito ;)
  • Ignorado pela comunidade de segurança, mas muito bom
    • Tosconf (08/06) - Evento organizado pelo pessoal do Laboratório Hacker de Campinas (LHC), o hackerspace lá de Campinas. A Tosconf tem a pretensão de ser uma "conferência tosca", mas na verdade é um evento excelente, com ótimas palestras e oficinas sobre hacking em geral, incluindo assuntos diversos como hardware hacking e segurança da informação. Isto sem falar que o evento é realizado na sede do LHC, um ambiente muito legal e acolhedor.
  • Não cheirou nem fedeu
    • CNASI São Paulo, de 16 a 18/09 - embora seja um evento tradicional, já atingindo sua 21a edição, o Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) tem atraído muito pouco os profissionais da área. Possui uma grade grande de palestras com foco principal em gestão, abrangendo temas como auditoria, compliance, riscos e segurança, com pouco ou quase nada de conteúdo técnico.
    • Silver Bullet, dias 27 e 28/09 - Mesmo em sua terceira edição, o Silver Bullet não conseguiu atrair uma grande quantidade de público. E a organização se esforçou: a grade de palestras estava boa, contou com dois espaços para oficinas dos hackerspaces (do Garoa e do SJCHC) e o The Pirates Bar estava bem animado. Mas, mesmo assim, ficou relativamente vazio. A edição deste ano estava quase do mesmo tamanho do que em 2012, que por sua vez foi bem menor do que em 2011 (em termos de espaço físico e quantidade de público presente).
  • Não vale nem a visita
    • Security Leaders: É um evento que eu não vejo a menor graça: é formado principalmente por debates que, além da platéia local, são transmitidos online. Mas os debates são bem fracos e superficiais, pois são curtos e os participantes são escolhidos entre os patrocinadores, e não entre especialistas no assunto. Tem uma área de exposição mas que é pouco frequentada, pois o evento atrai pouco público - exceto no momento da premiação, que nada mais é do que uma seqüência de pucha-saquismo para os executivos que trabalham em grandes empresas (se você não tem cargo de CSO em uma grande empresa, não adianta fazer um ótimo trabalho ou um mega-projeto, pois será ignorado).
  • Os micos e roubadas
    • Hacking Day SP (13/04) - Organizado pelo sempre polêmico Coruja de TI, o evento chamou a atenção por uma palestra que prometia mostrar como paralisar o metrô de São, Paulo, mas que foi cancelada por ordem do governo. Mas, além disso, ficou marcado pelo roubo do notebook do Gustavo Lima em cima do palco do evento (ou seja, roubaram o notebook do organizador do evento na frente de todo mundo, e ninguém viu).
    • Cancelamento do ICCyber 2013 (14 a 16/08) - A 10ª edição do ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos), o maior evento de forense da América Latina, foi cancelado repentinamente, faltando poucos dias para o evento.
    • Maratona no Vale Security Conference (ValeSecConf) - A organização se empolgou e agendou muitas palestras para o dia do evento, 14/09. Juntando a grade lotada com o atraso das palestras, o resultado é que ficamos lá até quase as 22h. Extremamente cansativo!
    • Debate sobre "Mulheres na Segurança" e encerramento do SecureBrasil (22/08) - Embora o tema do debate seja muito relevante e interessante, a inclusão e as dificuldades das mulheres no mercado, a discussão saiu poucas vezes do óbvio, e surgiram pérolas como "os meus chefes nunca me deram um aumento sem que eu fosse lá pedir e justificar"  (como se isso só acontecesse com as mulheres, e não com todo o mundo!). Ou pior, saí de lá com certeza de que abrir a porta para uma mulher ou se oferecer para carregar uma caixa para ela é machisno, e não cavalheirismo e gentileza, como sempre pensei. Mas "show de horror" mesmo foi que, logo após o debate, surgiu uma atriz fazendo um stand-up longo e extremamente chato, incluindo piadas machistas (algo surreal logo após um debate aonde discutiu-se o respeito as mulheres).
    • Black Hat Regional Summit São Paulo (26 e 27/11) - Pecou por um pouco pela desorganização (ficou confusa a divisão entre a Black Hat e a IT Expo Fórum, a entrada e mais algumas coisinhas) e pelos preços extorsivos: além da inscrição cara (que dava para pagar uma viagem de ida e volta para a Defcon), os participantes também tiveram que enfrentar o preço do restaurante e do estacionamento. Mas, o pior, foram os "Convites VIP" enviados pelos patrocinadores: Vips que não davam direito a nada.
  • Não vi e não vou opinar, mas mesmo assim acho que merecem destaque
    • RoadSec - novo evento organizado pela Flipside, que pretende ser um evento itinerante realizado em diversas cidades brasileiras. Oferece um dia com palestras previamente selecionadas, além de palestrantes locais e uma apresentação do patrocinador. Teve edições em Curitiba (21/09), Belo Horizonte (19/10) e no Rio de Janeiro (09/11). É uma excelente idéia para oferecer conteúdo de qualidade em várias cidades do Brasil, que raramente recebem eventos bons.
    • Sacicon (03 e 04/10) - Evento de segurança que tem como principal diferencial o fato da língua oficial ser o Inglês. ou seja, palestrantes e visitantes extrangeiros são bem-vindos. Além do mais, o evento tem uma agenda no mínimo surreal: começa a noite com um keynote speaker e uma festa e continua no dia seguinte com palestras após um "hangover brunch".
Além dos eventos nacionais que citei acima, acredito que vale a pena citar dois eventos novos que surgiram este ano além de nossas fronteiras: BSides Lisboa (04/10) e Angeles & Demonios (12 e 13/12).

Sem mais delongas... And the winners are...

Resumo
Melhor Evento Black Hat Regional Summit São Paulo
Melhor Novidade Black Hat Regional Summit São Paulo
Maior Surpresa CryptoParty
Maior Mico Teatrinho de encerramento do SecureBrasil
Maior Roubada Convite VIP da Black Hat Regional Summit São Paulo
Melhor Evento Brazuca H2HC
O Mais Caro Black Hat Regional Summit São Paulo
Os Patrocinadores Pira Área de exposições da Black Hat Regional Summit São Paulo
Babação de Ovo Security Leaders
Alternativo Co0L BSidesSP e Tosconf
Visual Caprichado SecureBrasil
Organização mais Caprichada YSTS e SecureBrasil
Fora do Eixo Rio-São Paulo RoadSec
Para Ver e Ser Visto Área de exposições da Black Hat Regional Summit São Paulo
Para Poucos e Bons YSTS
Para o Público Técnico H2HC
Para o Público Gerencial SecureBrasil
Não fui mas queria ter ido Angeles & Demonios
Às Moscas Silver Bullet
Melhor Palestrante Paulo Veloso
Melhor Palestrante de todos os tempos Fernando Mercês
Pior Palestrante Marcelo Lau (ValeSecConf)
Melhor Dupla Sertaneja Espinhara & Albuquerque
Em 2014 eu quero ir na... Black Hat Regional Summit São Paulo
Em 2014 eu quero viajar para... 8.8 (Chile) e Angeles & Demonios (Argentina)
Não Pode Faltar no seu Evento    The Pirates Bar


As opiniões apresentadas aqui são minhas e não refletem necessariamente a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena eu escrever sobre ele.

No ano que vem o calendário de eventos vai ser mais apertado por causa da Copa do Mundo: vários eventos do primeiro semestre estão antecipando suas datas e os do segundo semestre estão postergando as datas para próximo do final do ano. Preparem-se para o caos!

Para ficar antenado e ver uma lista bem completa com todos os eventos de TI (e segurança) no Brasil e os principais eventos no mundo, eu recomendo o site Agenda TI.

Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.