Estamos chegando próximos a virada de ano, aquele ponto da translação da Terra escolhido de forma quase arbitrária para marcar mais uma volta em torno do Sol.
Mas, como manda a nossa tradição, a virada de ano é aquele momento para pensarmos e refletirmos sobre como foi nosso ano anterior e quais são os sonhos e objetivos para o ano que se inicia.
Eu não desejo muita coisa... eu gostaria "apenas" que houvesse mais respeito entre as pessoas, e que todos aceitassem a diversidade de pensamento, crenças, cores, raças, opções sexuais, músicas, humores e, até mesmo, a uva passa no arroz!
PS: Não deixe de ver esse vídeo do sensacional Eduardo Bueno:
Este ano de 2019 marcou 75 anos desde os desembarques do Dia D na Normandia, a mega-operação militar que deu início a reconquista da Europa durante a 2a guerra mundial.
O pessoal do Bletchey Park, o centro de inteligência britânico durante a guerra, lançou um hot site comemorativo e realizou uma ação muito legal durante o 75º aniversário do Dia D: no dia 6 de junho de 2019 eles compartilharam via Twitter, ao vivo minuto a minuto, as mensagens decodificadas que eles interceptaram durante a operação de 6 de junho de 1944.
Todas essas mensagens estão disponíveis no site do Bletchey Park, além das mensagens interceptadas nos 2 dias seguintes. Também publicaram um memo, uma nota curta enviado para todos os empregados por Eric Jones, Chefe da Hut 3 na véspera do Dia D.
Quais foram os fatos mais marcantes no mercado de segurança em 2019? Além dos vários posts que escrevi recentemente sobre minha "retrospectiva" do ano, eu acredito que 2019 merece destaque pelo seguinte:
Vazamentos constantes de dados, em sua grande maioria através de dados expostos de forma insegura em repositórios na nuvem. Batemos mais de 10 bilhões de dados vazados em 2019!
Cenário do ciber crime dominado pelos golpes do WhatsApp e ataques de Ransomware.
Nesse ano tivemos algumas datas e acontecimentos marcantes também:
Fim da sequência de filmes do Universo Marvel, com o Vingadores - Guerra Infinita;
Última temporada do Game of Thrones, com fial frustrante, estilo novela da Globo;
O ano de 2019 merece entrar para a história como o ano em que as mulheres começaram a ocupar seu espaço de direito no mercado de trabalho de tecnologia e de segurança!
Pelo segundo ano consecutivo, o Roadsec São Paulo conseguiu atrair uma participação feminina bem expressiva, aonde cerca de 25% do público foi composto por mulheres. E o mesmo aconteceu na BSides São Paulo: as mulheres representaram cerca de 1/3 dos palestrantes.
Além disso, vimos ganhar força alguns grupos voltados para o apoio as mulheres que trabalham ou desejam ingressar na área de segurança:
O legal é que cada uma dessas comunidades tem uma abordagem diferente, e assim todas elas se complementam :)
Segundo dados do IBGE, as mulheres representam 51,5% da população total no Brasil. Mas, no mercado profissional, só 38% das mulheres possuem cargos de chefia. Essa dificuldade das mulheres em exercer uma posição de liderança está diretamente relacionada ao preconceito histórico e cultural - algo que se repete para as mulheres que desejam trabalhar na área de tecnologia.
Nesse ano celebramos 50 anos que o homem pisou na Lua. Para homenagear este marco, eu criei uma pequena série de posts contando parte da história, e tomei o cuidado de publicá-los de acordo com a ordem cronológica em que os fatos aconteceram. Enquanto escrevia estes posts, eu fiquei espantado com a enorme quantidade de informações disponíveis online sobre o projeto Apollo, incluindo transcrições detalhadas de todas as mensagens trocadas entre o centro de comando e os astronautas!
Para nós, profissionais de tecnologia, é incrível imaginar os avanços tecnológicos que aconteceram durante os preparativos para o projeto Apollo. Pense bem: nas décadas de 60 e 70, os computadores mais modernos e poderosos eram os Mainframes, que ocupavam o espaço de, pelo menos, uma sala. Os microprocessadores ainda não existiam, não haviam sido inventados. E, mesmo assim, os engenheiros da NASA tiveram que construir um computador de bordo que coubesse no módulo espacial!
Como destacou muito bem uma reportagem da Computer Weekly:
“Prior to the Apollo lunar mission, computers were huge machines that filled entire rooms.”
Among the numerous engineering challenges the Apollo engineers and scientists faced was how such a machine could be miniaturised to work on the Columbia command and service module and Eagle lunar module. “Microprocessors had not been invented,” said Kostek, “but the engineers on the Apollo programme were able to scale a computer down to something that could be flown into space.”
The computers on the spacecraft also needed to run real-time operating systems.
Programs had to be written in low-level assembly language because high-level programming languages such as C for system programming had not yet been invented.
the computers needed a high level of reliability for a space mission”, he said, adding: “The Apollo mission used the minimal amount of code needed to launch safely. In the 1960s, software was a relatively new world."
Ou seja, os engenheiros da NASA e das empresas contratadas por eles conseguiram...
Miniaturizar os computadores da época;
Construíram um hardware robusto, capaz de funcionar no espaço;
Desenvolveram um sistema operacional que funcionasse em tempo real e multitarefa;
Desenvolveram o software de navegação que fosse resistente a falhas, que em caso de problemas podia ser reiniciado e retornar ao último status;
O sistema de navegação era .capaz de rodar rotinas secundárias, críticas e baseadas em tempo;
Em 2019 nós vimos o World Economic Forum (WEF) tratar a ciber segurança como um tema de prioridade entre os líderes mundiais.
Segundo o relatório anual de riscos do WEF ("The Global Risks Report 2019"), os ciber ataques passaram a representar, em 2019, a pior coisa que pode acontecer, logo após os desastres naturais - em termos de probabilidade e impacto.
Dando um zoom no canto superior direito, vemos os ciber ataques em 4a posição:
Fazendo uma comparação no que mudou nos últimos 10 anos, os ciber ataques representam o 4o e 5o maiores riscos em termos de probabilidade. E, há 10 anos atrás, nem os ciber ataques nem os desastres naturais estavam nessa lista - uma mudança que foi fruto das mudanças climáticas e da nossa crescente dependência das tecnologias:
Por fim, outra coisa que eu achei bem legal nesse relatório foi um gráfico que mostra como os riscos são inter-relacionados:
Nele podemos ver que os riscos de ciber ataques estão muito relacionados aos problemas de ordem econômica e social:
Há 20 anos atrás, o mundo todo estava preocupado com o "Bug do Milênio".
O medo generalizado, nessa passagem de ano de 1999 para 2000, é que muitos computadores e sistemas não identificassem a data correta após a virada de ano. Isso poderia acontecer pois muitos sistemas antigos utilizavam apenas 2 números para armazenar o ano de uma determinada data. Assim, 1999, 2000 e 2001 eram armazenados como 99, 00 e 01, respectivamente. E, consequentemente, esses sistemas não saberiam a diferença, por exemplo, entre os anos 1900 e 2000 - pois ambos eram representados como "00".
Por causa desse potencial bug e dos efeitos desastrosos que poderiam acontecer, empresas do mundo inteiro passaram os anos anteriores a virada auditando e atualizando seus sistemas, para garantir que todos armazenassem as datas corretamente, com 4 dígitos reservados para o valor do ano.
Principalmente no decorrer do ano 1999, as empresas realizaram um árduo trabalho de, primeiro, identificar e classificar todos os sistemas que utilizavam. A partir disso, os sistemas internos eram revisados por seus times de desenvolvimento ou consultores, e quando a empresa tinha sistemas de terceiros, era exigido um atestado de que a versão corrente estava compatível com o padrão de armazenamento de datas.
Quem trabalhou na área de tecnologia nesse período vivenciou esse enorme trabalho que foi feito nos bastidores das empresas, para garantir que os sistemas iriam funcionar normalmente após a virada de ano. Praticamente todos os sistemas de todas as empresas tiveram que ser revisados, e testes eram conduzidos periodicamente para garantir que nada falhasse na virada.
Também foi muito comum as empresas montarem um "war room" para acompanhar a virada de ano. Eu mesmo fiquei responsável pelo war room da empresa em que eu trabalhava na época e fiquei de plantão no datacenter. De lá acompanhamos a virada de ano em todos os países do mundo e acompanhávamos as notícias, para saber se algum lugar havia sofrido impacto com o bug, antes do horário da virada de ano chegar no Brasil.
O resultado é que, devido ao medo do bug iminente, as empresas fizeram o seu trabalho de casa e, na virada para o ano 2000 praticamente inexistiram problemas relacionados ao bug do milênio.
O lado bom dessa notícia é que a indústria de TI conseguiu superar o risco do bug do milênio.
O lado ruim é que, graças ao trabalho bem feito, existiram pouquíssimos problemas e, por isso, é comum ver comentários hoje em dia dizendo que o bug do milênio era um alarme falso, um mito. Na verdade não era! O problema não aconteceu graças aos esforços de milhares de empresas e pessoas no mundo todo.
PS: Veja aqui um vídeo com exemplo do bug do milênio acontecendo numa calculadora.
Conforme eu previ há um ano atrás, há um grande burburinho no mercado com o surgimento de diversos cursos de formação para DPO, desde cursos de pós-graduação até mesmo certificações, como a da EXIN . Faltando ainda menos de um ano para a LGPD entrar em vigor, a tendência é que aumente a procura por profissionais dispostos a encarar tal desafio.
O cargo e as funções do DPO estão previstos na GDPR e na LGPD - aqui no Brasil essa função recebeu o nome de "Encarregado pelo Tratamento de Dados Pessoais".
A LGPD descreve o encarregado como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)" (artigo 5º, item VIII). Na Seção II, o parágrafo 2º do artigo 41, são definidas as atividades sob responsabilidade do encarregado:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Aqui no Brasil, a LGPD dá margem para que a função de DPO pode ser executada por terceiros ou empresas, o que fez surgir no mercado o serviço de "DPO as a Service", voltado para as empresas que preferem contratar uma consultoria em vez de ter um profissional dedicado a cuidar disso.
Mas não pense que vai ser moleza. Além de dominar a própria LGPD, o DPO precisa juntar conhecimentos multidisciplinares envolvendo tecnologia, segurança, jurídico e negócios. Ele deve ter também dominar o mapeamento dos processos de negócio para poder estabelecer os riscos e respectivos controles de segurança e de privacidade. E, o pior: gerenciar os projetos de adequação à LGPD e saber negociar com as diversas áreas da empresa envolvidas no tratamento de dados.
Na minha humilde opinião, essa febre pela carreira de DPO só existe porque ninguém ainda sabe a "bucha" que é isso. O trabalho de mapear os fluxos de dados, convencer as áreas a aplicar os controles necessários, por si só já me parece uma responsabilidade quase inalcançável. Além disso, o DPO é o "c* de plantão", ou seja, caberá a ele responder pela empresa sobre incidentes de vazamento de dados - justamente o tipo de incidente extremamente comum hoje em dia.
Uma opção bem interessante para as empresas é não se restringir na figura do DPO. Além dele, é muito mais produtivo estabelecer um comitê de gestão de dados, com todas as áreas envolvidas. Assim você trás essas áreas para o dia-a-dia das preocupações com a proteção da privacidade, e obtém seu maior comprometimento com o assunto.
O Laboratório Hacker de Campinas (LHC) é um dos mais antigos hackerspaces brasileiros. localizado em Campinas. Eles possuem um espaço físico mantido totalmente pela comunidade desde 2011, e nesse tempo todo sempre realizaram diversas atividades, num ritmo quase constante.
Este ano o LHC se tornou uma Associação formal (com estatuto, ata de fundação, CNPJ e conta corrente em banco) e com isso abriu uma campanha para captar "Associados Fundadores". E, assim, colaborar com uma parte importante da história do LHC
Para virar um "Associado Fundador", é necessário colaborar com um aporte de R$250,00, que será utilizado para aumentar o caixa e cobrir os custos de mudança para uma nova sede. Esse aporte também vai ajudar na segurança financeira da associação, já que todas as receitas são provenientes de doações. O aporte de fundação pode ser feito através de transferência bancária ou PayPal até o dia 20/12/2019.
Converse com algum Associado Titular e marque um horário. Também te convidamos a tornar-se um Associado Titular, para ajudar a manter o LHC e ter acesso a chave do LHC, podendo utilizar o seu espaço a qualquer dia e horário. Temos os seguintes planos de mensalidade:
R$ 70,00, R$ 85,00 ou R$ 110,00.
O Laboratório Hacker de Campinas (LHC) é um hackerspace que fornece um espaço físico aberto e comunitário, mantido totalmente pela comunidade de entusiastas em tecnologia que utilizam o seu espaço para socializar, desenvolver projetos, compartilhar e adquirir conhecimentos. Visitantes são bem vindos e a visita é sempre gratuita!
A versão original da LGPD, a Lei Nº 13.709, de 14 de Agosto de 2018, que havia sido modificada pela Medida Provisória nº 869, de 2018, passou a ter um texto definitivo a partir da publicação dessa lei (13.853/2019), seguida pela análise dos vetos presidenciais. Na ocasião, a Autoridade Nacional de Proteção de Dados (ANPD) foi vinculada à Presidência da República e foi determinada como seria a sua estrutura (um Conselho diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, etc). Também houveram nove vetos a dispositivos adicionados pelo Congresso, tais como um dispositivo que proibia os órgãos públicos de compartilharem dados pessoais de cidadãos com base na Lei de Acesso à Informação, e dispositivos que aumentavam o rol de sanções administrativas aplicadas pela ANPD.
Em 2019 houve um grande boom na oferta de consultoria e serviços relacionados a LGPD, e esse foi um tema dominante na grande maioria dos eventos de segurança. Incrivelmente, algumas consultorias já ofereciam (e venderam!) serviços de adequação à LGPD antes mesmo dela ter o seu texto final, conforme definido pela lei 13.853/2019. Quando a LGPD ainda estava repleta de "remendos" definidos pela medida provisória, vários pontos poderiam (e foram alterados), mas isso não impediu muitos consultores de venderem serviços de adequação com a lei "incompleta".
Mas nem tudo são flores no caminho da LGPD, e até agosto de 2020 nossos legisladores podem propor alterações na lei! Com a desculpa de que a maioria das empresas brasileiras ainda não está pronta para a entrada em vigor da lei, já surgiu um projeto de lei (PL 5762/2019) pedindo a prorrogação por dois anos da data de início de vigência. Com isso, a LGPD iria começar a valer em 15 de agosto de 2022. Outra ementa (PL 6212/2019) propõe alterar a LGPD para permitir que os controladores ou operadores de dados pessoais elaborem regras de boas práticas e de governança sobre os dados pessoais, a serem submetidos a Autoridade Nacional de Proteção de Dados.
Mas lembre-se: até segunda ordem, a LGPD entrará em vigor em 20 de agosto de 2020.
Por isso, a ONU proclamou 2019 como o ano internacional da tabela periódica para celebrar o seu aniversário
A tabela periódica é aquela famosa disposição dos elementos químicos, organizados de acordo com seus números atômicos, configuração eletrônica, e propriedades periódicas. Este ordenamento respeita também comportamentos e propriedades químicas similares.
A história da tabela periódica começa em 1829 com a "lei das tríades" de Johann Wolfgang Döbereiner e termina em 1869 com a disposição sistemática de Dmitri Mendeleev e Lothar Meyer dos elementos químicos demonstrando a periodicidade dos mesmos em uma tabela organizada.
Os vazamentos de dados já se tornaram constantes nos últimos anos, cada vez atingindo números mais estratosféricos, impactando empresas e instituições de todos os tamanhos.
Não é de se assustar, portanto, que hoje temos uma quantidade de dados vazados que, por si só, já é maior do que a população da Terra. Isso sem falar que, em Novembro, pesquisadores encontraram um banco de dados exposto com 1,2 bilhão de registros e 622 milhões de e-mails. E a tendência é que esses vazamentos vão aumentar cada vez mais. Em 2019 vimos alguns casos de vazamento de dados que afetaram a população de todo um país, como no caso do Chile, do Equador, e até mesmo aqui no Brasil - com o site do Detran expondo os dados de todos os motoristas brasileiros.
A propósito, em 2019 os vazamentos de dados de empresas brasileiras aconteceu com uma frequência jamais vista, como por exemplo nos vazamentos recentes da Unimed, Claro (8 milhões de usuários) e Carrefour. Segundo amigos que tem um portal de notícias, eles não dão conta de noticiar todos os casos de vazamento de dados que chegam até eles.
Durante 2019, tivemos tantos vazamentos de dados expostos sem proteção em ambientes de armazenamento em nuvem que o pessoal do The Hack escreveu um pequeno tutorial de como usar e proteger o serviço Simple Storage Service (S3) na Amazon.
É isso mesmo! Com a falta de mão de obra qualificada no mercado de segurança, e uma quantidade de vagas no mercado maior do que a quantidade de profissionais disponíveis, podemos dizer que na área de segurança temos...
Taxa de desemprego igual a 0%
Falando nesses temos, o cenário parece surreal, ainda mais num país aonde a taxa de desemprego beira os 12%. Mas é verdade esse bilhete!
Em 2019, o problema de falta de mão de obra na área de tecnologia (e de segurança da informação, em particular) atingiu níveis crônicos e ficou na agenda de todos os executivos!
E esse "apagão de talentos", como é chamado, é um problema global, afetando empresas no Brasil e no mundo. Além disso, é um problema que afeta praticamente toda a área de tecnologia de informação. Segundo dados levantados pela Cybersecurity Ventures estima-se que o número de posições não preenchidas na indústria de segurança chegaria a 3,5 milhões em 2021. Nos EUA, a estimativa é que existam 715 mil pessoas trabalhando na área de ciber segurança e 314 mil posições em aberto. Ou seja, aproximadamente 2/3 do mercado americano está empregado, e o resto 1/3 é formado por vagas que não tem como serem preenchidas!
Não é a toa que, em 2019, vimos um "boom" de eventos de segurança discutindo esse assunto. Principalmente nos eventos voltados para o público executivo, vimos frequentemente palestras e painéis sobre a escassez de força de trabalho na área de segurança.
Na minha opinião, essa situação é causada e retroalimentado por vários problemas, principalmente:
Falta de incentivo para novos talentos: toda empresa quer contratar um profissional sênior, especialista, mas ninguém quer contratar um júnior e formar esse profissional. Se nenhuma empresa dá oportunidade para novos talentos, nós não estimulamos a renovação do mercado;
Evasão de profissionais qualificados: com a alta demanda global por profissionais de tecnologia e de segurança, hoje é fácil para um profissional conseguir emprego lá fora. Na verdade, arrisco a dizer que "só não sai do Brasil quem não quer";
Inchaço artificial dos cargos e salários: com a alta demanda por profissionais e mercado super aquecido, ficou muito fácil buscar recolocação e, a cada vez que alguém se recoloca, essa pessoa tem um upgrade de salário e, muitas vezes, de cargo. Com isso, profissionais obtém cargos melhores sem necessariamente terem atingido o nível de experiência necessário. O resultado são salários e cargos inchados, que não condizem com a real capacidade do candidato. Já perdi as contas das vezes em que entrevistei candidatos que não tinham o conhecimento e a experiência para o cargo que pleiteavam. Surge aí a figura do "especialista júnior", ou seja, aquela pessoa que ocupa um cargo de especialista, com salário de especialista, mas não tem o conhecimento necessário para fazer o trabalho. Quando a situação aperta, esse profissional pode mudar de emprego e continuar numa posição que não condiz com sua realidade;
Facilidade de troca de emprego e dificuldade de retenção de talentos: são dois problemas similares, duas faces da mesma moeda: o profissional tem muita oferta disponível e as empresas tem dificuldade de reter bons profissionais. Com a alta oferta de empregos no mercado, os profissionais tem grande facilidade de trocar de empresa
Dificuldade de identificar bons profissionais disponíveis: como os bons profissionais tem facilidade de se colocar em bons empregos, hoje a maioria dos bons candidatos a emprego (1) estão feliz no emprego atual ou (2) acabaram de parar por um processo de recolocação. Logo, é difícil achar candidatos disponíveis. Por isso, a minha sugestão é sempre estar consultando as pessoas que você tem interesse em trazer para sua empresa. Nunca suponha que determinada pessoa está feliz no emprego atual, pois se por um breve momento ela estiver infeliz, ela pode se recolocar rapidamente e você perdeu o timing para trazer esse profissional;
Falta de estímulo para as minorias: já que temos uma falta generalizada de profissionais no mercado, que tal fazermos um esforço para trazer pessoas que, normalmente, são colocadas em 2o plano no mercado de trabalho? Sim, estou falando de trazemos mais mulheres, negros, LGBTs e idosos para o mercado!
Olhe para dentro da empresa, e estimule a migração entre as áreas. Talvez você tenha grandes talentos dentro da sua empresa que estão lá, esperando uma oportunidade para migra para a área de tecnologia ou segurança. Faça atividades, workshops e ações para promover internamente as áreas e estimular o recrutamento interno;
Automatize! Pegue os trabalhos mais simples e repetitivos e automatize, liberando força de trabalho humana para papéis mais nobres, e assim você reaproveita os talentos internos.
Paper da Microsoft: "Fundamentos do CISO: como otimizar o recrutamento e fortalecer a segurança cibernética" - PS: o paper foi simplesmente traduzido do Inglês, considerando a realidade dos EUA. Isso fica evidente na 2a recomendação, das 4 que ela oferece, que diz respeito a contratação de veteranos das forças armadas - que, nos EUA representa um contingente muito grande de profissionais, e muito presente no mercado de segurança - mas o mesmo não se aplica aqui no Brasil;
De alguns anos para cá, eu peguei o hábito de escrever um post com uma rápida retrospectiva de fim-de-ano, seguido por outro com as previsões para o ano seguinte. Neste ano, resolvi fazer um pouco diferente: em vez de um, pretendo escrever uma pequena sequência de artigos.
Por isso, no decorrer de dezembro, irei publicar vários posts comentando um pouco sobre algumas das principais tendências, notícias ou fatos que foram marcantes em 2019.
Relembre um pouco do que aconteceu nos anos anteriores:
Vimos recentemente uma onda de vazamento de dados relacionados a vários sites de relacionamento e pornografia:
Heyyo -
O aplicativo de relacionamentos Heyyo expôs dados detalhados de aproximadamente 77 mil usuários ao redor do mundo. Os dados foram identificados em um ambiente Elasticsearch que estava aberto ao público. As informações comprometidas incluem nomes de usuário, endereço de email, país, localização geográfica, tipo de dispositivo móvel usado, número do celular, profissão, gênero sexual, preferências sexuais, data de nascimento, links para outras redes sociais e histórico de atividades dentro do app (likes, dislikes, super likes, quantidade de mensagens trocadas e bloqueios);
Luscious - uma brecha nesse site adulto para compartilhamento e armazenamento de imagens pornográficas teria exposto informações privadas de aproximadamente 1,2 milhão de internautas do mundo inteiro (pelo menos 10 mil são brasileiros). As informações privadas vazadas incluem o endereço de email usado no registro, logs de atividades, localização geográfica e gênero;
3Fun - um aplicativo descrito como uma plataforma para "Curious Couples & Singles Dating", é um serviço com 1,5 milhão de usuários em todo o mundo. O aplicativo expôs, al6em de dados pessoais (como datas de nascimento, preferências sexuais e fotos privadas), também a localização quase em tempo real dos usuários e informações de bate-papo.
Outros aplicativos semelhantes também foram vítimas de vazamentos de dados, incluindo o Grindr e Romeo :( Isso sem falar do famoso caso de vazamento de dados do site de relacionamentos Ashley Madison, em 2015.
Além da exposição de informações pessoais altamente sensíveis relacionados aos hábitos sexuais dos usuários, outro problema sério de privacidade relacionads a esses aplicativos é a possibilidade de utilizar as informações de GPS nestes aplicativos para rastrear os usuários - outro risco relacionado é a capacidade de falsificar coordenadas GPS e informar localizações intencionalmente erradas ou imprecisas (imagina, por exemplo, um cenário aonde você cria uma identidade falsa para atrair uma vítima, e adulterando a localização do perfil falso, você força a vítima a ir em uma região perigosa na expectativa de ter um encontro amoroso).
A piadinha abaixo rodou em alguns grupos de segurança há pouco tempo atrás...
Brincadeiras a parte, uma boa prática dentro da estratégia de "segurança em camadas" é de misturar produtos similares de diferentes fabricantes, pois assim eles podem se complementar - uma deficiência de proteção em um produto pode ser compensada por outro fabricante.
Essa estratégia é muito comum para proteção contra vírus, usando uma solução de um fabricante no seu servidor de e-mail e/ou proxy, e outro fabricante nos endpoints (desktops e notebooks).
Mesmo no mundo de segurança de rede, também é relativamente comum utilizar o Firewall de um determinado fabricante na borda com a Internet, e uma solução de outro fabricante entre a DMZ e a rede interna.
O pessoal da CryptoRave vai realizar nesse ano um evento novo, a Criptofesta! Esse é um evento de uma tarde inteira com oficinas e palestras básicas sobre segurança digital e privacidade online, a partir das 12h do sábado, 07/12.
A Criptofesta é aberta para todos os públicos e gratuito (não é necessário se inscrever para participar das atividades). O tema é vazamentos de informação e, além de fala especial sobre o tema, vai rolar diversas atividades, tais como:
Como armazenar dados seguramente
Oficina de criptografia de email com GPG
Securizando seu sistema
Tails: Sistema operacional portatil, anônimo e amnésico
Oficina sobre anonimato online e anti-censura
SecureDrop
Relato sobre a perseguição a Ola Bini
Install Fest
Confessionário Hacker
Oficina de comunicação segura com Signal
O que seria um "Confessionário Hacker"? Também fiquei curioso e gostaria de saber!
A Criptofesta São Paulo acontece no dia 7 de dezembro, a partir das 12h, na Biblioteca Mário de Andrade, perto do metrô Anhagabaú. Será um evento mais curto do que a Cryptorave, sem virar a noite.
Essa é uma ótima notícia para todos interessados em proteção da privacidade e proteção aos dados pessoais, além das empresas que estão se preparando para a LGPD!
Segundo Ariosto Farias Jr., coordenador da Comissão de Estudo CE-021.000.027, espelho no Brasil do Comitê ISO/IEC JTC 1/SC 27, essa norma enquadra-se no conceito de "Market Driven Standard (MDS)", ou seja, é uma norma que representa os anseios do mercado e da sociedade, em decorrência das recentes regulamentações sobre privacidade de dados pessoais, principalmente o Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia (GDPR) e a nossa Lei Geral de Proteção de Dados Pessoais (LGPD) - que entrará em vigor em agosto de 2020.
Essa é uma norma internacional, direcionada aos controladores e operadores de dados pessoais. Ela apresenta requisitos e diretrizes normativos específicos relacionados a controles de privacidade, adicionando novas recomendações aos requisitos já existentes na norma 27001 e as diretrizes da 27002. Os controles e medidas de prevenção sugeridos na 27701 podem ajudar as organizações a tratar as questões de privacidade, através da implementação, operação, manutenção e melhoria contínua de um Sistema de Gestão da Privacidade da Informação (SGPI). A norma está alinhada a GDPR e a LGPD, e inclusive está adequada a terminologia local, definida na LGPD.
O evento de lançamento da 27701 será nas 15h do dia 09/12, na sede da ABNT na Rua Conselheiro Nébias, 1.131 (Campos Elísios). Na ocasião, haverá algumas edições impressas da norma disponíveis para compra.
Durante um debate sobe racismo no programa Papo de Segunda, o Emicida deu nome bem humorado a um fenômeno muito comum hoje em dia nas redes sociais:
Brasilsplaining
Segundo Emicida, "o Brasilsplaining é quando você vai explicar para o Papa o que é Catolicismo, vai explicar para os Alemão (sic) o que é Nazismo, e vai explicar para os preto (sic) o que é racismo".
Esse fenômeno foi muito frequente durante as últimas eleições presidenciais, quando o país estava dividido em dois polos extremos, quando as discussões deixaram de seguir um padrão racional para virar uma batalha de opiniões infundadas e fake news. Virou piada, por exemplo, quando brasileiros questionaram o governo Alemão sobre o significado do nazismo - ou melhor, virou vergonha mesmo ("Fremdschämen"). Não é a toa que, segundo dados de 2017, "os brasileiros ficaram em 2º lugar no ranking de ignorância sobre a realidade". Só perdemos para sul-africanos em termos de percepção distorcida sobre a realidade.
Teve um fato recente que me motivou a escrever esse post: enquanto discutia no Instagram sobre o significado do termo "hacker", quando eu citei o Jargon File e o MIT como referência, recebi como resposta de uma pessoa que, pelo jeito, conhece mais sobre o MIT do que o próprio MIT, como mostra o comentário "Por exemplo, os caras lá do mit railroad club com o lance de controlar o trem com o equipamento telefonico ... muitos dizem q ali foi a origem do termo hacking como usamos ... Na minha opinião os caras estavam apenas se divertindo". Brasilsplaining!!!
Este documentário de 2008, gravado até mesmo de um jeito um pouco tosco, fala de uma forma bem interessante sobre o que é a comunidade hacker. O vídeo inclui depoimentos de diversos profissionais da área, incluindo alguns famosos. Também percebe-se que algumas cenas foram gravadas durante a Defcon - e, para quem curte o evento, pode ver um pouquinho as diferenças e similaridades da Defcon de hoje e de 10 anos atrás.
O Novembro Azul é uma campanha para incentivar os cuidados de saúde na população masculina. Também é um ótimo momento para refletirmos sobre os desafios e dificuldades de assumir o papel de homem que nos é imposto pela sociedade e pela nossa cultura.
O vídeo é longo, dura 60 minutos, mas vale muito a pena ser assistido.
O documentário é baseado em uma pesquisa com 47.002 pessoas. Eles concluem que os homens são forçados a esconder seus problemas, em troca de manter uma figura masculina importa pela sociedade. Como resultado, eles concluem que "Os homens sofrem, mas sofrem calados e sozinhos".
Esse estudo trás várias estatísticas que são apresentadas no decorrer do documentário, além de histórias emocionantes, que nos fazem pensar sobre nosso papel na sociedade e como os homens também precisam de apoio. O fechamento emocional atua como uma camisa de força para muitos homens, tornando ainda mais difícil tudo que enfrentam no dia a dia.
Veja algumas das estatísticas:
6 em cada 10 homens entrevistados declaram lidar com algum tipo de distúrbio emocional, tais como ansiedade, depressão, insônia, vício em pornografia, álcool, drogas, comida, apostas e jogos eletrônicos;
83% das mortes por homicídios e acidentes no Brasil são de homens;
Os homens se suicidam quase 4 vezes mais do que as mulheres;
17% dos homens lida com algum nível de dependência alcoólica;
Quando sofrem um abuso sexual, os homens demoram em média 20 anos até contar isso pra alguém;
Cerca de 30% dos homens enfrentam ejaculação precoce ou disfunção erétil;
Homens são 95% da população prisional no Brasil, sendo que a maior parte dos encarcerados são jovens, periféricos e com ausência de figura paterna.
Por tudo isso, esse documentário é um convite para abrir nossos corações e termos conversas sinceras com nossos amigos, amigas, esposas, esposos, familiares, filhos, parceiros de trabalho.
Esse é um movimento de coragem, coragem para assumir responsabilidade, para escutar as mulheres, para sermos vulneráveis e nos ajudarmos a construirmos vidas melhores.
Outro vídeo muito bom do programa Papo de Segunda, relacionado com esse tema, é de um debate sobre a dificuldade de se colocar no ponto de vista dos outros: "Empatia: como praticar e entender o outro no dia a dia?". Nesse programa eles debatem o filme nacional "A Vida Invisível", de 2018, e o difícil exercício de compreender e se colocar no lugar de quem você não concorda e não gosta.
Eu já escrevi sobre a amplitude do termo hacker outras vezes. Mas, devido a uma conversa recente no grupo do telegram da H2HC, resolvi reproduzir aqui meus comentários na ocasião. É comum, dentro da comunidade de segurança, que seja recusada e hostilizada qualquer definição do termo hacker que não seja relacionado ao especialista em segurança, com conhecimentos de invasão de sistemas ou pesquisa de vulnerabilidades.
O que acontece é que a comunidade de segurança tomou para si o termo “hacker” como se o seu significado estivesse restrito exclusivamente a capacidade de invasão de sistemas. Eu imagino que talvez isso tenha acontecido por causa da mídia, quando a partir dos anos 80 ela começou a chamar de hacker qualquer tipo de crime ou ataque online.
Mas a definição do termo hacker e da cultura hacker vai muito além do mundo de segurança.
O Jargon File, um glossário de termos de tecnologia criado originalmente no MIT (o mesmo pessoal que criou a cultura hacker), lista 8 definições do termo hacker (além de uma zero-ésima definicão, do “termo original”):
[originally, someone who makes furniture with an axe]
1. A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary. RFC1392, the Internet Users' Glossary, usefully amplifies this as: A person who delights in having an intimate understanding of the internal workings of a system, computers and computer networks in particular.
2. One who programs enthusiastically (even obsessively) or who enjoys programming rather than just theorizing about programming.
3. A person capable of appreciating hack value.
4. A person who is good at programming quickly.
5. An expert at a particular program, or one who frequently does work using it or on it; as in ‘a Unix hacker’. (Definitions 1 through 5 are correlated, and people who fit them congregate.)
6. An expert or enthusiast of any kind. One might be an astronomy hacker, for example.
7. One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations.
8. [deprecated] A malicious meddler who tries to discover sensitive information by poking around. Hence password hacker, network hacker. The correct term for this sense is cracker.
Para entender a diversidade de significados, basta ver a história do surgimento da cultura hacker e do termo hacker: ele surgiu no final dos anos 1950 e início da década de 60 no Tech Model Railroad Club (TMRC) do MIT - um grupo de ferromodelismo interessado em automação eletrônica, muito antes dos computadores, da Internet.
"We at TMRC use the term "hacker" only in its original meaning, someone who applies ingenuity to create a clever result, called a "hack". The essence of a "hack" is that it is done quickly, and is usually inelegant. It accomplishes the desired goal without changing the design of the system it is embedded in. Despite often being at odds with the design of the larger system, a hack is generally quite clever and effective."
Na minha opinião, pensar em qualquer definição de hacker associada somente ao mundo de segurança limita a nossa capacidade de enxergar, compreender, viver e expandir ainda mais a cultura hacker. Além do mais, o termo hacker é genérico o suficiente para abraçar vários tipos de hackings, como os hackerspaces, o Hacktivismo, que foi moda nos anos 2010 - 2012 e o Biohacking, por exemplo, que quase ninguém falava há poucos anos atrás.
Não é a toa que eu sou fã da frase do Filipe Balestra, dita em Fevereiro de 2018 durante uma discussão no extinto grupo do Roadsec no Telegram: "Hacker Hackeia" (que, a propósito, virou uma linda camiseta da H2HC). Na minha opinião essa frase é simples e genérica o suficiente para traduzir o espírito da cultura hacker, de "hackear" tudo e qualquer coisa a nossa volta.
PS: A propósito, gostei da definição do dicionário Michaelis, que inclusive caracteriza a palavra Hacker como um "substantivo masculino e feminino" (conforme coloquei no título desse post): "Indivíduo que se dedica a entender o funcionamento interno de dispositivos, programas e redes de informática com o fim, entre outras coisas, de encontrar falhas em sua segurança ou conseguir um atalho inteligente que possa vir a resultar em um novo recurso ou ferramenta".
Como hoje (20/11) é o feriado da consciência negra, me chamou a atenção uma matéria no site Catraca Livre de Julho desse ano sobre uma ação para destacar que Machado de Assis, um dos maiores escritores brasileiros, era um homem negro.
A Faculdade Zumbi dos Palmares e a agência Grey criaram o movimento “Machado de Assis Real”, divulgando fotos do escritor com sua cor de pele original, da forma que ele deveria ser retratado nos livros de história. Mas, em algum momento, Machado de Assis foi empalidecido pela sociedade - e essa ação vem no sentido de “corrigir o racismo na literatura brasileira”. O site disponibiliza para download imagens em vários formatos do Machado de Assis negro.
"Machado de Assis.
O maior nome da história
da literatura brasileira.
Em poucas palavras, Machado de Assis (ou melhor, Joaquim Maria Machado de Assis) foi um escritor brasileiro, nascido no Rio de Janeiro em 21 de junho de 1839, falecido em 29 de setembro de 1908. É considerado um dos maiores nomes da nossa literatura, com dez romances (incluindo Memórias Póstumas de Brás Cubas, Quincas Borba e Dom Casmurro, entre outros), duzentos contos, dez peças teatrais, cinco coletâneas de poemas e sonetos, e mais de seiscentas crônicas. Além disso, ele fundou e foi o primeiro presidente unânime da Academia Brasileira de Letras. (fonte: Wikipedia)
A cor de pele é mais importante do que suas obras? Não deveria ser! Mas, o fato do Machado de Assis ter sido "esbranquiçado" nos livros de história, mostra que sua origem negra incomodou muita gente :(
Reuniões sempre foram um grande drama corporativo. Em todas as organizações, boa parte do tempo dos funcionários é despendido em reuniões - e é comum ouvir reclamações sobre isso.
Não é a toa que todo mundo odeia ser convocado uma reunião, pois é muito frequente participarmos de reuniões aonde você nada tem a ver com o assunto, ou você só é necessário em um ponto específico. Isso sem falar que é comum você ser convocado para participar em reuniões que você nem sabe o tema. O convite chega e você não tem opção a não ser aceitar e esperar para ver o que vai ser discutido. Me parece que as pessoas acham que manter o segredo sobre a pauta da reunião aumenta o interesse das pessoas, ou aumenta a expectativa... sei lá... :(
Recentemente li um artigo sobre "como tornar as reuniões de condomínio menos chatas" que traz alguns pontos muito importantes sobre como melhorar a dinâmica das reuniões, e essas dicas podem ser aplicadas para qualquer reunião:
Antes de mais nada: toda reunião tem que ter uma pauta e uma ata. A pauta serve para descrever, com antecedência, quais assuntos serão discutidos na reunião. Quanto mais detalhada for a pauta, melhor as pessoas podem se preparar para a reunião e, acredite, isso torna as discussões mais rápidas e objetivas;
Durante a reunião, faça a ata, transcrevendo o que está sendo discutido e, principalmente, as conclusões e próximas tarefas. Ao final, compartilhe a ata com todos os participantes. A ata serve para formalizar as decisões que foram tomadas, e pode ser utilizada para cobrar uma ação ou, simplesmente, dar continuidade ao assunto na próxima reunião Além do mais, a ata permite que as pessoas que não estavam presentes possam acompanhar o que foi discutido e decidido, evitando que um determinado assunto sempre volte nas reuniões seguintes;
Ritmo: a pauta precisa ser listada com antecedência e os assuntos devem ser organizados por prioridade e similaridade. Durante a reunião, todos devem colaborar para que os assuntos sejam debatidos e definidos sem enrolação;
Descontração: não é necessário falar com rigor e vocabulário formal. O bom senso deve prevalecer na hora de descontrair o ambiente. Mas cuidado, porque descontração em excesso causa distração;
Empatia: essencial para chegar em concordâncias, as pessoas devem tentar se colocar no lugar umas das outras para entender melhor os assuntos tratados e trabalharem por uma decisão que seja boa para ambas as partes. O consenso é melhor do que uma decisão imposta por votação;
Ordem: Comece a reunião pelos assuntos mais importantes e urgentes, assim você garante que eles sejam tratados e que as pessoas que estiverem sem tempo poderão participar das decisões críticas antes de saírem da reunião;
Cafézinho: depois que os apressados saírem, por que não fazer um coffee break? Pausas assim incentivam a harmonia entre os moradores;
Use a Tecnologia a seu favor: hoje em dia é muito fácil preparar e adiantar muitas pautas com a utilização de ferramentas na Internet, como enquetes, grupos de discussão ou mesmo listas de e-mail.
Durante o final da última edição da conferência NullByte, no sábado dia 09/11 em Salvador (BA), os organizadores realizaram um debate sobre a comunidade hacker (*), mas que infelizmente saiu do controle e deixou muitos ânimos exaltados e algumas feridas.
(*) Por "comunidade hacker" e "hacking", nesse contexto, entenda-se a comunidade de pessoas interessadas no aspecto ofensivo de segurança da informação.
Como o assunto é longo e delicado, eu resolvi dividir esse post em vários tópicos. E, como a história do ocorrido é um pouco longa, eu deixei o detalhamento dela para o final. Também não vou citar os nomes das pessoas, em respeito a privacidade dos envolvidos.
Qual foi a treta da NullByte?
No final do evento, antes do horário programado para seu encerramento, os organizadores anunciaram que realizariam um debate de encerramento, e então três pessoas subiram ao palco (todos muito bem conhecidos do mercado de segurança nacional). Logo no início me chamaram também para o palco, e eu que estava confortavelmente acomodado no fundão, acabei indo e me posicionando num dos cantos do palco.
A minha impressão pessoal foi de que a intenção era discutir os limites éticos das pesquisas em segurança e a importância dos eventos para as comunidades locais (de novo, esse é o meu "achômetro"). Mas a primeira pergunta do debate já levou para um caminho diferente...
Resumindo a treta em um pouco mais de um tweet, um dos mediadores perguntou se "os eventos de segurança deveriam ter um código de conduta", e imediatamente começou a discussão que os eventos de segurança não são inclusivos. Rapidamente a discussão escalou para temas como preconceito, machismo, e alguns participantes se exaltaram. Em poucos minutos, começou uma gritaria entre meia dúzia de pessoas, com acusações verbais, dedo na cara (aparentemente rolaram até ameaças). Assim que o caos se instalou e a conversa virou bate-boca, a organização do evento interviu, interrompeu a discussão e argumentou que, na NullByte, o que importa é o hacking, e não o tipo de pessoa, e que qualquer tipo de preconceito seria repudiado pela própria comunidade.
Não me levem a mal: até naquele momento eu tinha achado que, apesar de tudo, o debate tinha sido bom porque fez com que algumas pessoas começassem a se preocupar com a diversidade no mercado e a necessidade de haver mais respeito a todos.
Pouco tempo depois, em poucas horas, apareceram várias críticas no Instagram do evento (na última vez que eu vi tinham 58 comentários, mas todos foram apagados) e algumas discussões em grupos online. Alguns dias depois surgiu um post no Medium sobre o ocorrido, com título "O Hacking está morto", que também foi tirado do ar.
Existe inclusão no mercado e segurança?
Claro que não! Lamentavelmente, o mercado de segurança, assim como o mercado de tecnologia, é extremamente machista e preconceituoso. Há poucas mulheres na área, poucos negros e raramente alguém tem coragem de declarar a sua opção sexual se ela for diferente de "heterosexual". A comunidade hacker de segurança, assim como o nosso mercado, é dominado pelo macho alpha hackudo, que invade tudo e faz leak de todo mundo.
Mas a culpa não é dos profissionais de segurança em si. Muito do preconceito e do desrespeito está enraizado em nossa sociedade e nossa cultura, além disso, o mercado de tecnologia, engenharia e ciências exatas é majoritariamente masculino. Muitas vezes somos preconceituosos e desrespeitosos sem perceber: aquela piadinha sobre mulher gostosa ou sobre alguém ser gay pode, muitas vezes, soar de forma desrespeitosa para uma pessoa que testemunhe a piada.
Ou seja, a nossa sociedade machista e preconceituosa, que nos cerca e está presente no nosso dia-a-dia, molda nosso comportamento (consciente ou subconsciente) e, por sua vez, ttendem a moldar o nosso relacionamento dentro da comunidade.
Em tecnologia isso é muito claro! Infelizmente, não é a toa que vemos poucas mulheres, poucos negros e poucas pessoas LGBT no mercado, e raros são os casos que chegam a ocupar cargo de gestão ou destaque profissional.
A cultura hacker é inclusiva?
Sim, por mais estranho que pareça, eu acredito que a cultura hacker é inclusiva. Principalmente porquê a cultura hacker é fortemente baseada na meritocracia: você vale pelo seu conhecimento, o famoso "show me the code".
Em uma cultura baseada fortemente na interação virtual, online (como nos fóruns no IRC, fóruns online e redes sociais), muitas vezes interagimos com uma pessoa por vários anos sem conhecer-la pessoalmente. O seu nickname e seu conhecimento fala mais sobre você do que sua foto, seu rosto, seu nome verdadeiro, sexo ou condição social.
Mas, infelizmente, o mundo real é injusto, extremamente preconceituoso. Nossa sociedade é repleta de várias nuances de preconceito e exclusão, que acabam moldando a nossa cultura e nosso comportamento. Quando uma comunidade inclusiva no mundo virtual se relaciona no mundo real, os preconceitos enraizados em nossa sociedade começam a se manifestar. O negro vale menos do que o branco, o gay vira motivo de piadas, o sexismo impera: a mulher é considerada menos capaz e é sexualizada.
Eventos de segurança precisam de código de conduta?
Sim, precisam. Precisam para tentar garantir um ambiente respeitoso e "seguro" para seus participantes, independente de sexo, cor, religião, opção sexual ou qualquer outra coisa. O Código de Conduta é importante para que as pessoas saibam que, se acontecer algum problema de assédio, preconceito ou desrespeito, as vítimas tem a quem pedir ajuda e a organização está se comprometendo a oferecer um canal de atendimento.
Eu, particularmente, não acredito que a simples existência de um Código de Conduta consegue resolver o problema do preconceito. Principalmente porque, aqui no Brasil, temos a triste cultura de desrespeitar as leis quando nos convém (ou, pelo menos, ignorar). Se o Brasileiro já desrespeita as leis do país, porque iria respeitar um código de conduta de um evento qualquer?
Mas, como disse, o código de conduta mostra que a organização assume a responsabilidade de tratar os casos de desrespeito - ou seja, o caso vai ser investigado e, se necessário, o agressor pode ser punido dentro dos limites estabelecidos.
Falando em termos mais chulos... Um código de conduta não vai impedir que uma pessoa escrota seja escrota ou se comporte como tal. Mas vai mostrar a todos que a organização não aceita esse tipo de comportamento e se compromete a agir caso alguém se comporte de forma escrota.
Falando em termos técnicos da comunidade de infoseg, o código de conduta é como um "plano de resposta a incidentes": se acontecer algum problema, a organização se compromete a agir, seguindo regras e um procedimento pré-determinado.
É possível ser inclusivo em tecnologia?
Claro que sim! E é muito fácil: lembra que a comunidade hacker é guiada pelo mérito, pela conhecimento e pela "façocracia"? Temos que exercitar mais o discurso de que o seu conhecimento técnico importa mais do que sua cor de pele, sexo ou opção sexual. Temos que tirar isso do papel, e realmente respeitar o colega pelo seu conhecimento.
Tecnicamente, a solução parece fácil. Mas temos também que exercitar o respeito ao próximo. Temos que deixar de lado o discurso vitimista e o discurso de que "isso não acontece aqui" e começar a enxergar melhor o coleguinha ao lado. Viver em harmonia significa respeitar e tolerar as diferenças. Significa, por exemplo, evitar uma piada machista, e significa também tolerar uma piada machista quando ela acontece de forma esporádica e sem objetivo consciente de ofender.
O Código de Conduta é suficiente para garantir um evento inclusivo?
Não! Ser um evento inclusivo e seguro significa existir um clima aonde todas as pessoas se sintam acolhidas e respeitadas.
O Código de Conduta é um dos passos para atingir isso. Outro passo é as pessoas agirem de forma respeitosa com seus colegas. Outro passo, é tentar enxergar o lado dos outros, em vez de impor sua visão e sua opinião. Outro passo, mais difícil, é conseguirmos ter maturidade, como pessoa, para identificar e evitar daqueles comportamentos preconceituosos e nocivos que estão enraizados em nós, fruto da influência da nossa sociedade. Sim, isso é um auto-policiamento constante.
Para construir um ambiente seguro e inclusivo, temos que, na verdade, construir um ambiente artificial, diferente do mundo real lá fora. Temos que, de forma arbitrária, reforçar comportamentos positivos e criar mecanismos que ajudem a evitar os comportamentos negativos. Temos que nos educar e nos policiar para que isso aconteça.
Porque será que é tão difícil tentar entender as dores das outras pessoas? Eu já percebi que é muito difícil, para alguém que faz parte de um grupo majoritário, perceber os momentos em que age como tal. Pior ainda se o comportamento opressor fizer parte da cultura vigente. Por exemplo... Em muitos casos é difícil para um homem, por si só, perceber quando está sendo machista ou desrespeitoso com as mulheres.
Ok, mas dê mais detalhes de como foi a treta no dia do evento!
O meu report abaixo é baseado no meu ponto de vista do ocorrido. Logo, pode haver imperfeições, principalmente porque eu estava no lado oposto do palco no momento que a treta escalou estratosfericamente. Atém do mais, a situação saiu de um debate para um bate-boca muito rápido, toda a situação durou pouco mais mais do que 15 ou 20 minutos. Quando percebemos, o estrago já estava feito!
Como disse anteriormente, no final do evento os organizadores anunciaram que fariam uma atividade extra, um debate sobre a comunidade. Para atiçar os ânimos, primeiro projetaram uma foto "engraçada" de um dos organizadores, e em seguida, um anúncio da própria NullByte, de um palestrante de uma edição anterior, que é organizador de outro evento de segurança.
No início do debate, um dos mediadores abriu a discussão perguntando se haveria necessidade de ter código de conduta em eventos de segurança. Falou-se rapidamente alguma coisa sobre a cultura hacker não ter limites e em seguida o microfone foi passado para mim. Neste momento, inconscientemente, eu dei início a discussão.
Ou seja, os mediadores levaram a caixa de pandora até o palco, destrancaram ela e eu a abri...
Na minha resposta, eu comecei dizendo que acredito que um Código de Conduta é pouco eficiente pois o brasileiro, culturalmente, não respeita as leis. Mesmo assim, acredito que ele é importante para garantir um espaço seguro para as minorias, e disse também que eu já ouvi várias vezes que as mulheres evitam ir nos eventos de segurança pois sentem-se desrespeitadas.
Nesse momento começou a discussão sobre inclusão e respeito nos eventos de segurança (ou melhor, "exclusão e desrespeito").
Inicialmente 2 garotas foram ao palco e disseram que nunca sofreram nem viram acontecer nenhuma situação de desrespeito. Logo em seguida, duas outras se levantaram da platéia e foram até o palco para dizer o contrário: que o clima é machista e preconceituoso. Uma delas relatou uma situação, em outro evento, em que ela se sentiu desrespeitada e, por isso, ficou 2 anos sem frequentar eventos.
Neste momento, já havia começado a discussão aonde vários homens, héteros, diziam que o desrespeito não acontecia e que os eventos eram inclusivos, o que era negado pelas duas garotas. Aparentemente, uma delas se referiu ao público da Nullbyte como "um bando de machos" (eu não ouvi essa frase ser dita), o que deixou um dos organizadores transtornados e que criticou ser chamado de "macho" por sua história pessoal (ele foi criado pela mãe e irmã, e por isso acredita que sempre soube respeitar as mulheres).
Para jogar mais gasolina nos ânimos exaltados, uma pessoa levantou a questão do preconceito contra a comunidade LGBT, e citou o comentário de um palestrante como exemplo de desrespeito: ele havia mostrado seu código cheio de marcas coloridas e havia dito que o código estava "gay" (eu não ouvi essa frase ser dita pelo palestrante). O palestrante ficou surpreso e imediatamente se desculpou, dizendo que sua intenção não era ofender.
Neste momento, passados poucos minutos após o início dos debates, a discussão escalou rapidamente entre um grupinho em um dos cantos do palco, oposto aonde eu estava. Estavam as duas garotas acusando o evento de ser machista, o rapaz acusando de homofobia e alguns presentes e um dos organizadores defendendo ferozmente o evento.
Embora houvessem 2 microfones para conduzir as conversas, as pessoas deixaram os microfones de lado e começaram a aumentar o tom de voz, o que rapidamente se transformou numa gritaria. Nesse momento, pelos relatos que surgiram depois, alguns rapazes começaram a apontar os dedos para as mulheres. Em termos de gritaria, posso garantir que todo mundo gritou com todo mundo - o caos era generalizado.
Percebendo que a conversa tinha virado bate-boca, um dos organizadores tomou o microfone, pediu silêncio a todos e interrompeu o debate. Para se posicionar, naquele momento ele disse que essa discussão não deveria ocorrer, que a NullByte não era o lugar para que ela acontecesse pois, na visão dele, o evento era inclusivo e respeitava a todos. Segundo ele, o evento respeita todos pelo seu conhecimento técnico, independente de sexo, cor de pele, religião, etc. "Se um ET submeter uma apresentação boa no CFP, ele vai palestrar" - foi dito mais ou menos dessa forma. Al/em disso, completou, a comunidade hacker se auto-regula e qualquer pessoa que faça algo errado será expulso pela própria comunidade.
Após o fim do evento, a discussão foi para as redes sociais. No perfil da NullByte no Instagram, surgiram vários comentários exigindo que o evento se posicionasse sobre o assunto e repudiasse uma suposta agressão contra as mulheres presentes. Estes comentários foram removidos e não estão mais online. Alguns dias depois, uma das mulheres que estavam presente publicou um post no Medium, com título provocativo de que "O Hacking está morto", criticando a postura do evento. Veja abaixo a transcrição de um trecho do texto, que no momento em que eu escrevi esse artigo, estava fora do ar (nota: em alguns momentos, o texto está um pouco confuso mesmo, mas mantive o original):
"Pois bem, o desfecho desse painel — que para mim foi a pior iniciativa possível, como disse acima ninguém estava ali para dialogar sobre o assunto ou coletar informações, eles queriam impôr seus pontos de vista como verdade para organizar o evento, afinal o painel era feito por homens e mulheres que foram chamadas a dedo, eu só me manifestei porque não aguentei ficar em silêncio diante tanta hipocrisia. (...)
Um organizador (inclusive a primeira citação é dele) se demonstrou muito exaltado diante das opiniões apresentadas como se fossem direcionadas a ele, o que em momento algum ocorreu, e diante dessa falta de controle dele, se pôs a gritar após a fala de um participante homem e botou o dedo na cara da outra colega que estava falando no momento da discussão. Deu medo, a intenção foi essa, mostrar poder e nos assediar e foi a mais pura e clara imagem da fala da organização jogada ao vento. Afinal como foi dito “Qualquer problema que acontecer a gente resolve na rua, é assim que o Underground funciona” e o que vi foi que nenhum homem da organização se pôs a controlar o organizador, segurando-o ou impedindo a ameaça física iminente, será que foi resolvido na rua depois? outro participante do evento, da plateia (com outras pessoas que claramente não compactuavam com a situação), que apartaram a briga. Me recusei a ver o desfecho, a minha colega saiu também chorando e garantindo que nunca mais participaria do evento."
Em alguns grupos do Telegram e WhatsApp, a discussão perdurou por mais vários dias. Na grande maioria das vezes as mensagens negavam o problema de inclusão e criticavam as pessoas que levantaram essa discussão.
O evento agiu certo?
Embora não estivesse preparado para hospedar uma discussão sobre inclusão, eu acredito que os organizadores agiram muito bem ao interromper o debate a partir do momento em que ele saiu do controle e começou a gritaria.
Quando as críticas passaram para as redes sociais, um dos organizadores partiu em defesa do evento, em alguns momentos simplesmente negando que tivesse ocorrido alguma agressão durante a discussão. Logo no início da semana os organizadores se posicionaram oficialmente sobre o ocorrido, publicando uma "Nota de Esclarecimento" no site:
O comitê organizador da conferência de segurança NullByte vem, por meio desta,
esclarecer seu ponto de vista acerca de alguns incidentes ocorridos em sua
última edição, em 9 de novembro de 2019.
Completamos seis edições nessa ocasião, em uma história que é resultado do
esforço de diversas pessoas; sejam elas membros da organização, voluntários ou
palestrantes. Gente que se dedica ao evento não só da Bahia, mas também de
outros estados e do exterior e que busca fomentar a cena hacker brasileira,
apresentar conteúdo de elevado nível técnico e incentivar o estudo e a pesquisa
na área de segurança da informação ofensiva.
Após o encerramento do evento no dia 9, foi estabelecido por parte dos
participantes, um debate do tipo "microfone aberto" em que se discutiu o
desequilíbrio entre os gêneros na comunidade. Essa conversa escalou rapidamente
para uma discussão a ponto de que a organização teve que interromper o debate.
No processo, algumas pessoas se sentiram ofendidas.
Pedimos desculpas a quem tenha se ofendido com o incidente e reforçamos que a
NullByte é uma conferência técnica. Ou seja, qualquer conteúdo de natureza
técnica e dentro do escopo do hacking é bem-vindo. Não importa para nós o
gênero ou o background identitário e político de quem o apresente.
O comitê organizador da NullByte repudia veementemente qualquer tipo de
desrespeito, agressão ou assédio por qualquer motivo e se coloca à disposição
para tomar as medidas necessárias durante seus eventos.
Keep hacking."
Porém, eles também erraram:
Algumas pessoas que fazem parte da organização se exaltaram em excesso durante o debate, entraram na discussão e perderam o controle, dando um péssimo exemplo de comportamento. Nessa hora, o que conta não é a opinião pessoal de alguém, pois o que fica é a imagem de alguém da organização participando da discussão ("com grandes poderes vem grandes responsabilidades");
Ao interromper a discussão, foi feito um discurso que, na minha opinião, tentou simplesmente abafar o caso e ignorar o problema. Em vez de admitir que o tema merece uma discussão mais amadurecida, em um fórum apropriado, eles partiram para o velho discurso batido de que "isso não acontece aqui" - como naquela imagem do avestruz que envia a cabeça no buraco achando que está seguro.
Ja que você chegou até aqui, aproveita para assistir esse ótimo vídeo do Porta dos Fundos, que mostra alguns erros comuns que os homens fazem, muitas vezes de forma desapercebida: "MANSPLAINING"