Páginas

janeiro 26, 2017

[Segurança] Como foram os eventos de Segurança em 2016

Eu confesso que este já se tornou o meu post favorito do ano (seguido dos posts em que eu listo os eventos do próximo semestre -até porque eu criei a rotina de escrever estes posts para eu planejar o meu calendário).

O objetivo desse texto é trazer uma crítica aberta e sincera, alem de elogios, permitindo discutir como podemos melhorar cada vez mais os nossos eventos. Eu me considero um "rato de eventos"; desde o início de minha carreira sempre gostei de frequentar eventos da área, e esta sempre foi uma forma de aprendizagem e networking para mim. Já fui em muitos eventos, palestrei em alguns e organizei um punhadinho.

Lembrete: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.

A minha primeira observação é que este foi um ano ingrato para os fãs e organizadores de eventos pois a agenda ficou bem maluca - por culpa das Olimpíadas na metade do ano, que pararam o Brasil. Alguns eventos não seguiram suas datas tradicionais, e alguns outros mudaram a data no decorrer do ano. Isso exigiu uma dose extra de atenção do pessoal para não se perder.

Inicialmente, seguem minhas observações sobre alguns dos eventos que tivemos este ano, e que eu acho que merecem ser comentados:
  • Os grandes destaques e novidades
    • A grande quantidade de eventos de excelente qualidade, de vários portes e em diversas localidades: Chegamos em um momento em que fica difícil escolher qual seria o melhor evento de Infosec, ou qual evento priorizar a sua agenda, pois temos vários eventos de diferentes portes e para diferentes públicos (técnico, gerencial, underground) que se consolidaram e estão com excelente qualidade. Estou falando desde as tradicionais H2HC e YSTS, além do novato e gigantesco MindtheSec, da BSidesSP, até os caçulas e competentes Nullbyte (Salvador, BA) e Jampasec (João Pessoa, PB). A única desvantagem no cenário atual é o grande acúmulo de eventos no segundo semestre;
    • Eventos no Nordeste: a região Nordeste está ganhando força, com o terceiro ano da Nullbyte  em Salvador (BA), a segunda Jampasec em João Pessoa (PB) e o surgimento do BWCON (Broken Wall Security Conference), em Recife (PE); 
    • Roadsec: O RoadSec é o maior evento de segurança nacional, tanto se contarmos apenas a mega edição de encerramento em São Paulo ou se contarmos o público de todas as edições. E isso o torna também um dos maiores do mundo - mas não se engane, ainda estão longe de superar uma RSA Conference, Black Hat, Defcon e CCC aonde a quantidade de participantes é na ordem de dezenas de milhares. Em 2016 o Roadsec esteve em 17 cidades brasileiras (incluindo São Paulo), com cerca de 10 mil participantes (mais de 7 mil inscritos nas edições regionais e cerca de 3 mil em São P. O evento também tem o mérito de levar ao grande público um mix diversificado de atividades, juntando palestras de segurança com atividades multidisciplinares (incluindo lockpicking, robótica, eletrônica e drones). Também popularizaram de vez as competições de Capture The Flag (CTF);
  • Os melhores eventos de 2016
    • A lista desse ano é grande, pois acredito que tivemos vários eventos excelentes (vide meu comentário acima). Por isso, a escolha de melhor evento é bem difícil...
    • YSTS X - Nós tivemos a décima edição do You Sh0t the Sheriff este ano, um dos principais eventos do nosso mercado. Pelo capricho em realizar esta edição, ela merece um lugar especial no panteão dos grandes eventos de 2016 - com boas palestras e uma infra-estrutura de cair o queixo;
    • Security BSides São Paulo (BSidesSP) - Este ano foi marcante para a BSidesSP por dois motivos: em junho realizamos a primeira BSides Latam, evento co-organizado com os responsáveis pelas outras BSides na América Latina e com a presença de palestrantes e público de outros países. Além disso, a edição do segundo semestre bateu o record de público: tivemos cerca de 550 participantes, mesmo quando tentamos limitar as inscrições para recebermos apenas 450 presentes. Ou seja, tentamos fazer um evento menor, mais o público não deixou. O evento sempre é muito bem elogiado por todos que participam, e mantemos uma grade variada de temas e atividades. Mas acredito que hoje o grande diferencial é atrair também as crianças, com diversas atividades o dia inteiro na trilha BSides 4 Kids;
  • Os bons eventos de 2016
    • Mind The Sec - O MindTheSec, em sua terceira edição, já se consolidou como o evento de referência para os profissionais do mercado de segurança. Nem mesmo a frustração causada pelo furo de última hora de seu tão esperado keynote speaker (o John McAffee) afetou o brilho e a importância do evento. Merecem destaque a organização caprichada, o excelente local (o hotel Hyatt) e a condução do evento pelo Anderson Ramos: no melhor estilo Jô Soares, ele faz pergunta para os palestrantes e painelistas que ele mesmo responde;
    • Hackers to Hackers Conference (H2HC) - A H2HC está cada vez melhor, tanto em público quanto em qualidade das palestras - a propósito, não tem evento brasileiro com palestras mais top do que eles!
    • Roadsec: enquanto as edições regionais cumprem muito bem o papel de levar bom conteúdo para o Brasil afora, atendendo uma galera enorme e sedenta de conhecimento, a edição de São Paulo se tornou o grande festival da área, com palestras, oficinas, food trucks e shows;
  • As ótimas surpresas em 2016
    • A BSidesLatam contando com palestrantes da América Latina, responsáveis por quase 1/3 das atividades. Em geral, eventos brasileiros que se entitulam "latinoamericanos" nunca tem e nunca tiveram participação pessoas de fora do país. Como resultado, tivemos quase 650 pessoas presentes, o nosso record histórico de público em 5 anos e 13 edições da BSidesSP;
    • Dia Internacional de Segurança em Informática (DISI) - embora seja um evento da RNP usuários finais, a grade de palestras estava muito bem organizada e conseguiu tratar de forma muito madura o assunto de segurança para "Internet das Coisas" (IoT). Ótimos palestrantes, ótimo conteúdo e as palestras estavam dentro de uma sequência lógica bem encaixada;
    • O Itaú patrocinando o RoadSec São Paulo e a final da Hackaflag - além do fato inédito de um grande banco patrocinar um evento de segurança, eles fizeram uma ação de marketing bem legal, com uma pequena "escape room" no evento;
    • O local do YSTS, com uma tela que circulava todo o espaço, fazendo um efeito sensacional;
  • Os destaques de 2016
    • Rubira Branco como keynote speaker em diversos eventos - bem merecido, pelo conhecimento, carisma e competência do Rubira. Mas ele foi escalado como keynote em diversos eventos, de Roadsec até Security Leaders. Ou seja, se você quer chamar a atenção do público para o seu evento e garantir pelo menos uma palestra de qualidade, convide o Rubira (mas não necessariamente o público vai entender o que ele está falando);
    • A área vip da Trustwave na H2HC - uma ação de marketing bem bolada, em favor do público do evento;
  • Sentimos saudades
    • Security Day (Natal, RN) - neste ano ele foi atropelado pelos eventos no segundo semestre e acabou não acontecendo;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, com transmissão online - mas chama pouca atenção da maioria do público de infosec;
    • Security Leaders: Na minha opinião este é um evento com conteúdo fraco e sem graça, com debates superficiais. Mas ele sempre foi o queridinho dos patrocinadores, que aproveitam a sua área de exposição para contato com clientes. Além disso, justiça seja feita: o pessoal da Conteúdo Editorial é muito bom de marketing, e conseguem dar uma boa visibilidade ao evento. Eles oferecem o que os patrocinadores gostam: presença no palco (com representante dos patrocinadores nos debates), um punhado de executivos na platéia, e exposição na mídia;
    • CNASI São Paulo - embora seja o evento mais antigo de todos, ele não atrai o público técnico nem experiente na área, deixando a audiência do evento para a média gerência, os profissionais que trabalham mais com riscos ou profissonais tradicionalmente de TI que tem interesse em segurança. Mas, ao contrário do Security Leaders, o CNASI tenta manter uma grade de atividades mais bem selecionada, embora a grande maioria da spalestras tenham um tom mais de marketing e pouco conteúdo técnico;
  • Não vi mas vou opinar assim mesmo
    • ISC2 Security Congress Latin America - Com tantos eventos no segundo semestre, esse evento do ISC2 quase passa desapercebido. Eu, particularmente, não tive tempo nem intresse de ir, por isso nem sei dizer se foi bom;
    • BHack (em Belo Horizonte, MG) - Em sua quarta edição, o evento desse ano teve a data alterada (de junho para novembro) e a data final só foi atualizada no site com cerca de 2 semanas antes do evento. Pior: coincidiu com o final de semana do RoadSecSP + BSidesSP. O evento teve as 2 primeiras edições muito boas, e a do ano passado com alguns problemas, então além da confusão de datas havia também a dúvida se o evento se recuperaria;
    • Workshop SegInfo (Rio de Janeiro): Merece o prêmio "Walking Dead" do ano... em seus 10 anos de existência, o evento cresceu, encolheu e morreu no ano passado, mas voltou este ano. Ótimo, pois o Rio de Janeiro merece ter um evento de qualidade;
  • Não vi, será que morreu?
    • Congresso de Crimes Eletrônicos da Fecomércio/SP;
  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • Hackers to Hackers Conference (H2HC) - A H2HC, fazendo jus a sua fama de evento hostil, protagonizou o incidente mais polêmico do ano (novamente, pois no ano passsado tivemos o episódio do ataque DAUTH na competição de CTF atribuído ao time do Exército Brasileiro): o organizador do bar do evento destratou alguns participantes e, em troca, foi ownado. Passados quase dois meses do evento, o incidente continuava causando polêmica na comunidade. Além desse fato, vou novamente criticar o local: o Novotel Morumbi é longe de tudo, de difícil acesso, com poucas opções de lugares para comer em volta e com um espaço muito pequeno para o evento. O Rubira justificou para mim os motivos deles pela escolha do local, e faz todo o sentido do ponto de vista dele, mas mesmo assim eu continuo achando o local inadequado para o público do evento;
    • Cano de keynote speakers internacionais: o pessoal da Flipside deu um grande azar este ano: primeiro, o John McAfee deu o cano no MindTheSec. No final do ano, o Jeff Moss também furou no Roadsec São Paulo. É óbvio que a organização do evento não teve culpa, mas para os participantes rolou um sentimento de frustração em ambos os eventos;
    • Roadsec São Paulo: Talvez engolidos pela monstruosidade que o evento se tornou, ou pelo ego ou pela vontade exagerada de se auto-promover, eles passaram a se intitular "Festival Hacker". Para mim, soa muito cafoa e oportunista. Mas sim, de certa forma, o RoadsecSP é isso, um grande festival sobre segurança e cultura hacker. Mas na minha opinião essa expressão soa muito pedante, ainda mais se colocada em um poster no Metrô de São Paulo. Eles também pecaram na área de comunidades, pois estava muito apertada e de difícil circulação. Outras críticas que se repetem do ano passado para esse foi a quantidade exagerada e confusa de pulseiras VIp e a proibição de sair e voltar do evento (algo muito ruim para um evento que se propõe a durar quase 20 horas).

Segue então um resumo e uma "premiação" para os destaques em nossos eventos no ano de 2016.

Resumo
Melhor Evento Brasileiro YSTS, RoadsecSP
Melhor Novidade BSides Latam
Maior Surpresa A infra-estrutura do local do YSTS
Darth Vader e Storm Troopers na BSides Latam
Maior Roubada Vida de sardinha na área de comunidades do RoadsecSP
New kid in the block BWCON
Festa estranha com gente esquisita Festa da SaciCon sem energia elétrica
Maior Mico Ausência do John McAffee no MindtheSec e do Jeff Moss no RoadSec SP
Maior WTF? Destratar os participantes do H2HC e ser ownado na semana seguinte
Maior Polêmica O Owned da H2HC
Maior Sem Noção Se auto-intitular "Festival Hacker" e fazer propaganda no metrô (RoadsecSP)
Os Patrocinadores Pira Security Leaders
Alternativo BSidesSP e Criptorave
"Walking Dead" Workshop SegInfo
Visual e Infra Caprichados YSTS, GTS e MindTheSec
Organização Caprichada YSTS e Flipside (MindTheSec e Roadsec)
Melhor Local Vila Bisutti (YSTS)
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC
Para o Público Underground Alligator
Para o Público Gerencial MindTheSec e Security Leaders
Para a Média Gerencia e Público Leigo CNASI e Security Leaders
Para o CSO Gartner Security & Risk Management Summit
Para o Usuário Final DISI
Para quem está começando BSidesSP, Roadsec e H2HC University
Para Crianças BSidesSP
Para Competir no CTF RoadSec
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP. Bônus se você conseguir 3 ou mais pulseiras diferentes.
Para ver palestrante gringo e não entender nada do que ele fala H2HC
Para ir de Graça BSidesSP, GTS
Para Assistir de Casa GTS, DISI
Evento Hostil H2HC e Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Nullbyte e Jampasec
Palestrante mais Pica Grossa John McAffee (MindTheSec) (*) - pena que ele não veio :(
Melhor Palestrante do ano Ricardo Iramar, Willian Costa e Geolado
Melhor Palestrante de todos os tempos Fernando Mercês e Rodigo Rubira Branco
Palestrante para dar IBOPE no seu evento Rodigo Rubira Branco
Em 2017 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty, SHA
Em 2017 eu quero ir na... Nullbyte
Em 2017 eu quero viajar para... Defcon (US), 8.8 (Chile), Eko (Argentina), SHA (Holanda), BSides Latam (Colombia), BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp (Alemanha)
Não Pode Faltar no seu Evento Uma competição de CTF organizada pelo CTF-BR ou pelo RTFM
Patrocinadores "ponta firme" Trend Micro

(*) Nem é tão "pica grossa" assim, mas por suas constantes polêmicas, era o palestrante mais esperado do ano!!!

Para saber mais:

Importante: As opiniões apresentadas aqui são minhas somente e não refletem a opinião dos organizadores nem dos demais participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes. Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

OBS: Pequena atualização em 02/02 para incluir o link do Workshop SegInfo e incluir uma referência ao ótimo Agenda de TI.

4 comentários:

  1. Anchises, a página do Workshop SegInfo é a workshop.seginfo.com.br.

    Obrigado. (=
    Bruno

    ResponderExcluir
  2. Esperamos que esse ano aconteça o Security Day. :)

    Izabel.

    ResponderExcluir