novembro 25, 2024

[Segurança] Vida longa e próspera para a H2HC

Hoje o Rodrigo Rubira Branco (BSDaemon) anunciou a sua saída da organização da Hackers to Hackers Conference (H2HC), o mais importante evento de segurança do Brasil. A partir do ano que vem a organização, que era compartilhada entre ele e o Felipe Balestra,  ficará sob a responsabilidade apenas do Balestra.

A H2HC existe há 21 anos e representa a espinha dorsal da comunidade de segurança brasileira. Ela formou milhares de profissionais da área, e acima de tudo, consegue unir, em um único espaço, os mais diversos perfis de entusiastas, estudantes, pesquisadores e profissionais.

Quero agradecer publicamente ao Rubira e ao Balestra por tudo o que eles fizeram, fazem e sempre farão pela nossa comunidade. Provavelmente a nossa comunidade não seria tão unidas e não haveria tanta troca de conhecimento, se não fosse o Rubira e a H2HC. Talvez não existissem tantos eventos de comunidade pelo Brasil afora se não fosse o exemplo da H2HC e o apoio do Rubira.

Rubira, muito obrigado por tudo, por 21 anos do melhor evento do Brasil.

Vou tomar a liberdade de transcrever abaixo o texto que ele publicou no Twitter (eu retirei a versão em inglês, para manter a brevidade):
Despedida da H2HC!
My goodbye to H2HC!
TLDR: Para aqueles que não conseguem ler uma carta longa, estou saindo da organização da H2HC a partir do ano que vem (este ano ainda estarei à frente do evento, como sempre). Todas as responsabilidades do evento ano que vem estarão com Balestra, um dos meus melhores amigos e alguém que sempre se dedicou e muito para o sucesso do evento. Acredito plenamente que o Balestra está totalmente capacitado a garantir o futuro da H2HC. Peço a todos que o apoiem nessa jornada de levar a H2HC ao futuro!
Não posso negar que escrevo esta carta com o coração pesado! Mas ao mesmo tempo, estou decidido de que esta é a decisão certa e a melhor para o futuro da H2HC e da comunidade Brasileira de segurança da informação, pesquisas e hacking.
Participo há 21 anos da organização do evento. Interessantemente, eu entrei para a organização durante a primeira edição, quando o evento já estava em andamento (que bagunça que foi! mas também uma das edições mais verdadeiras no sentido real do espírito do hacking). Passei a ser o principal organizador quando na 5a edição o comitê que organizava (umas 8 pessoas) estava, pra variar, dividido em diferentes ideias/opiniões e tudo estava atrasado. Na época eu disse que iria sair e nas discussões que decorreram o grupo decidiu que eu deveria continuar com o evento. O combinado era simples: manter o espírito original! A ideia de que as pessoas devem se encontrar, a ideia de que o hacking é uma contra-cultura, a ideia de que o conhecimento não deve ser controlado. Convidei então meu grande amigo, Filipe Balestra a se juntar a mim, e ambos sabíamos que seria um grande desafio. E mais 16 anos se passaram!
E o que mudou? Eu mudei, o mundo mudou, a comunidade mudou, os tempos mudaram, e a H2HC mudou! O evento cresceu muito mais do que esperávamos (e pra ser sincero, apesar de eu constantemente controlar o crescimento). A demanda de tempo para manter as coisas alinhadas com o que eu acredito e vejo pro evento passou a ser gigante (pra terem uma ideia, eu uso algo em torno de 1000 horas por ano). Temos algo em torno de 3000 pessoas por dia, 20+ villages, 18+ palestrantes internacionais (muitos vindo para as villages e não apenas para a grade principal do evento). Temos a revista, que aumentou em muito em termos de qualidade técnica nos últimos anos, graças a ajuda impressionante do Gabriel Barbosa. Temos os badges eletrônicos, que apesar de não conseguirmos distribuir a todos, continuam se tornando referência no mundo pela criatividade (tivemos desde um PCB com o layout do mapa do Brasil, até layout de uma arma com laser, implantes e muitos outros - e este ano tenho certeza de que o que virá vai impressionar a todos) - graças ao apoio do Brian Butterly, outro grande amigo meu que adorou a cultura real do evento e topou o desafio. Temos algumas das melhores palestras da área, literalmente palestrantes que não vão em outros eventos e acabam trazendo um reconhecimento internacional para a H2HC que muitos eventos (bem maiores/tradicionais) apenas desejam ter - graças, em grande parte, ao comitê que avalia as palestras. Temos bebida gratuita (incluindo refrigerantes, mas whiskey e cerveja também - tivemos até a nossa própria vodka e nossa própria cerveja), pois acreditamos na interação entre as pessoas. E quem anda pelo evento acaba descobrindo o que é diversidade de verdade pois temos literalmente todos os tipos de pessoas, com um mantra simples: o que todos temos em comum ali é a busca pelo conhecimento. Somos intolerantes em relação à preguiça e a falta de curiosidade. Doamos ingressos para quem tem interesse, mas não tem condições. Tudo isso com verba zero de marketing.
Obviamente todos os anos eu tenho aqueles momentos únicos que justificam todos os esforços. Ano passado, por exemplo, alguém me parou no elevador e disse que mudou para a área de segurança pois entrou em contato comigo há muito tempo atrás e eu doei um ingresso para ele conhecer e ver se realmente se apaixonava. Um dos meus grandes amigos recentemente me perguntou se eu lembrava como eu o conheci… e basicamente foi na H2HC, quando também dei uma oportunidade a ele. Um dos voluntários que trabalham no evento (o evento é todo via voluntários, nós não temos funcionários, não tiramos um único centavo, toda a renda gerada é investida em fazer algo ainda melhor) hoje em seus mid-20s começou no evento quando tinha 14 anos! Literalmente eu tive de assinar um formulário de responsabilidade pelo menor, pois os pais dele queriam ter certeza que iríamos tomar todos os cuidados necessários. Vemos no evento gerentes, diretores e até CISOs de grandes empresas literalmente correndo pra lá e pra cá carregando caixas e ajudando. Temos pessoas agora famosas na área que palestraram pela primeira vez na conferência (e quantas e quantas vezes passei madrugadas com palestrantes ajudando nos PoCs, revisando conteúdos, etc). Quantas vidas foram mudadas e quantas oportunidades foram criadas graças ao evento! (pessoas que se conheceram ali, projetos que surgiram dali, trabalhos e muito mais). São tantas histórias que sinceramente daria um livro (e nem sequer começamos a falar das festas!). Mas então, porque sair?
Para mim, liderar sempre foi sobre servir. Minha fé (nunca fiz segredo de que acredito em Deus) também me faz acreditar na importância de doar e compartilhar com os outros (e obviamente ninguém precisa acreditar no que eu acredito para fazer o bem ao mundo). Também sempre me senti bem em retribuir à comunidade por tudo que eu aprendi graças aos esforços de outros que compartilharam o que aprendiam. Eu sempre acreditei na frase: “O que nos trouxe até aqui, não necessariamente nos levará até ali”. Ou seja, temos de nos adaptar constantemente. Por exemplo, um evento de hacking ter redes sociais é um pouco engraçado. Mas ao mesmo tempo, é o mundo moderno e a forma como MUITOS se informam e se comunicam (dói meu coração, no entanto, ver um videozinho sem nenhuma informação verdadeira sendo visto pelo equivalente de 30 dias em termos de horas gastas). Como evitar excluir talentos que ainda não tiveram a exposição à sub-cultura e ao mesmo tempo não sucumbir totalmente ao ‘mainstream’? Esse sempre foi o grande desafio. Algo que eu sempre achei que eu estava extremamente bem posicionado e capaz de fazer. Quantas e quantas vezes não recebemos opiniões de formas de melhorar, e insistimos em não mudar (ou mudar, mas não totalmente). Sempre pensando na evolução necessária para que o evento continue tendo o que prometeu desde o início, mas ao mesmo tempo sobreviva a realidade do mundo moderno. Nossa posição sempre foi: pode até ser que em algum momento não exista mais a necessidade da H2HC. E isso é ok! Pode ser que em algum momento a comunidade já tenha descoberto outras formas de interagir, e a comunidade decida que o evento deve acabar! Para ser claro: não acredito que tal momento tenha chegado! Eu jamais quis ser um ‘organizador’ de eventos. Não sou um investidor, não sou uma pessoa de negócios e não tenho a habilidade política necessária para levar o evento para o próximo nível. A H2HC tem a oportunidade de crescer e se expandir. Isso traz uma série de vantagens, como locais melhores, mais atividades, atingir mais pessoas, etc. Mas para isso, a organização precisará se profissionalizar, o que exigirá ainda mais tempo (potencialmente uma dedicação exclusiva) ou diversas outras opções (prefiro não elaborar pois não quero deixar opiniões, confio plenamente que o Balestra saberá o melhor caminho a seguir). Não acredito que sou apaixonado por essas atividades como sou pelos resultados que elas irão gerar. E portanto não sou a pessoa mais qualificada a conduzir nesse caminho. Continuarei focando em ser um pesquisador que se preocupa com o mundo e com as pessoas. Assistirei, com grande entusiasmo, ao futuro da comunidade no Brasil e no mundo.
Abraços,
Rodrigo (BSDaemon)
Fica aqui registrado meu eterno agradecimento e admiração pela H2HC e pelo trabalho do Rubira e do Balestra na organização do evento.

Vida longa e próspera para a H2HC

novembro 12, 2024

[Segurança] Referências e Pesquisas sobre Segurança em Sistemas Industriais

Quer conhecer um pouco mais sobre o cenário atual de ameaças e como o setor industrial está preparado em termos de ciber segurança?

Tem vários sites sobre o assunto e diversos relatórios interessantes que fazem um raio X sobre esses temas. Espero que a lista abaixo seja útil, e pretendo mantê-la atualizada :)

Frameworks (para começar esse post com o pé direito)

   

Portais especializados
Australian Cyber ​​Security Centre (ACSC)
Cybersecurity and Infrastructure Security Agency (CISA)

Claroty

Cloud Security Alliance (CSA)
Ethos (Emerging Threat Open Sharing)
Fortinet
NIST
SANS Institute

Outras fontes

PS: Post atualizado em 06/12.




novembro 07, 2024

[Segurança] Manual de orientação sobre exercícios de cibersegurança

Recentemente a Fundação Getulio Vargas e o Exército Brasileiro lançaram um manual com orientações sobre como organizar exercícios de cibersegurança, que foi criado com base no Exercício Guardião Cibernético 6.0 que foi realizado entre 14 e 18 de outubro deste ano.

Segundo o documento, "Os exercícios de cibersegurança são atividades simuladas que podem ser realizadas em âmbito nacional, setorial ou das organizações para testar e/ou aprimorar a prontidão, as capacidades de resposta e a resiliência das medidas contra potenciais ameaças e ataques cibernéticos".

O manual é bem completo e detalha as principais fases e dicas para organizar um evento para testes de simulação de resposta a incidentes de segurança. ele traz dicas sobre como planejar, coordenar, preparar a logística e os aspectos técniucos do exercício e, ao final, como executá-lo.

O material é bem didático e foi feito com uma linguagem bem direta e acessível. Ele visa apoiar empresas e outras organizações da sociedade na compreensão e prática de exercícios de segurança cibernética.

Manual de Orientação sobre Exercícios de Cibersegurança pode ser baixado gratuitamente no site da FGV, em formato PDF.

O manual define dois tipos de exercícios de cibersegurança:

  • Simulação construtiva, realizada em formato de exercícios de discussão sobre cenários de incidentes hipotéticos ("tabletops"), realizado com o apoio de facilitadores;
  • Simulação virtual, mais técnico, composto por exercícios funcionais realizados em ambiente de simulação operacional (conhecidos como "cyber ranges").

Para saber mais:

novembro 01, 2024

[Segurança] Princípios para Cibersegurança em Tecnologia Operacional (OT)

No início de outubro, o Australian Signals Directorate's Australian Cyber ​​Security Centre (ASD's ACSC) em parceria com a Cybersecurity and Infrastructure Security Agency (CISA) e diversas organizações internacionais, lançou o guia Principles of Operational Technology Cyber Security, disponível gratuitamente online e em PDF.


Este guia apresenta os "princípios para cibersegurança em tecnologia operacional (OT)" e fornece orientações importantes sobre boas práticas e como criar e manter um ambiente de tecnologia operacional (OT) seguro e protegido.

Os seis princípios que orientam a criação e manutenção de um ambiente de OT de infraestrutura crítica seguro e protegido são:
  1. A segurança é primordial
  2. O conhecimento do negócio é crucial
  3. Os dados de OT são extremamente valiosos e precisam ser protegidos
  4. Segmente e segregue OT de todas as outras redes
  5. A cadeia de suprimentos deve ser segura
  6. As pessoas são essenciais para a segurança cibernética de OT
Os seis princípios acima, descritos no guia, têm como objetivo auxiliar as organizações a identificar como as decisões de negócios podem impactar negativamente a segurança cibernética de OT e os riscos específicos associados a essas decisões. Filtrar decisões que impactam a segurança de OT aprimorará a tomada de decisão abrangente que promove a segurança e a continuidade dos negócios.

A CISA incentiva as organizações de infraestrutura crítica a revisar as melhores práticas e implementar ações recomendadas que podem ajudar a garantir que os controles adequados de segurança cibernética estejam em vigor para reduzir o risco residual nas decisões de OT.

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.