[Segurança] Ciber Retrospectiva 2024 (com memes)

O ano de 2024 chegou ao fim há mais de um mês atrás e já passou da hora de fazermos um rápido balanço do que aconteceu no mercado de cibersegurança. Confesso que nesse ano eu demorei muito para publicar esse artigo com a minha retrospectiva pois decidi fazer vários posts de retrospectiva sobre assuntos específicos (veja a lista no final). Isso acabou atrasando esse post aqui.

Antes de mais nada, é impossível falar de cibersegurança em 2024 sem abordar a Inteligência Artificial (IA) e os Ransomwares. Eles sempre estão no centro dos debates, nas conversas de bar, nas palestras e nos pesadelos de todos os CISOs. Além do mais, 2024 vai entrar para a história por um fato marcante... (sem spoilers, rs)

Então vamos começar esse post pelo óbvio!

• O Ciber Apagão da CrowdStrike: Esse foi um evento que entrou para a história da cibersegurança e sempre será lembrado pelas próximas gerações. Uma atualização defeituosa, realizada automaticamente na ferramenta da Crowdstrike para Windows, derrubou milhares de empresas no mundo todo, nas primeiras horas do dia 19 de julho (que, desde então, passou a ser conhecido como "O dia da Tela Azul"). Os concorrentes adoraram, pois foi possível descobrir todas as empresas do mundo que eram clientes da Crowdstrike. Os cibercriminosos também aproveitaram a ocasião para realizar alguns golpes, e proliferaram sites falsos com supostas atualizações;
• Inteligência Artificial (IA): IMHO, a IA foi a grande novidade de 2023, e esse foi o ano que eu considero como "o ano da experimentação da IA", momento de surgirem milhares de iniciativas e novos produtos, principalmente soluções mais "pé no chão", além da IA se integrando a produtos e soluções já existentes. No final de 2024, a IA já fazia parte de diversos produtos do nosso dia-a-dia, incluindo smartphones. Mas, não se engane: ainda estamos vivendo dentro da "bolha da IA", que deve estourar em um ou dois anos, depois do qual sobreviverão as soluções mais robustas e consolidadas. Sim, a IA é a Paleta Mexicana da vez. Por enquanto, é tudo alegria e experimentação. Eu acredito que 2025, por sua vez, será o ano em que a IA se tornará realidade no nosso dia--a-dia, a ponto de termos dificuldade de distinguir o que é real e o que é gerado por IA (falarei mais sobre isso em breve, no meu próximo post sobre as tendências para 2025);
• Eu gostei muito do que disse o Vitor Sena sobre a IA, em uma entrevista no TecSec Podcast: na visão dele, a maioria dos riscos previstos não se concretizaram e, ao mesmo tempo, a IA tem ajudado a evoluir as ferramentas de segurança, o que deixa o cenário entre "ataque e defesa" bem balanceado;
• Ransomwares: Mais uma vez, dominaram o cenário de ameaças em 2024 (assim como fazem nos últimos 5 anos, mais ou menos) e fizeram vítimas em todo o mundo. Acabou o discurso politicamente correto, se é que ele perdurou por muito tempo: hospitais e empresas de saúde, em todo o mundo, foram uma das principais vítimas dos grupos de ransomware. Entre as empresas brasileiras, ganhou bastante destaque o ataque às Lojas Marisa e a Totvs em 2024, dentre as dezenas de vítimas nacionais (que inclui também a Sabesp, Eucatex, etc);
• Boa notícia: Em 2024 tivemos várias operações das forças da lei contra os grupos de ransomware, incluindo o Blackcat/ALPHV e a Operação Cronos contra o grupo LockBit. 
• Segundo um estudo da Chainalysis, dos 10 principais grupos de ransomware no final de 2023 e inicio de 2024, o Akira foi o único que manteve um crescimento no recebimento de resgates;
• Por outro lado, os grupos novos nadaram de braçada, principalmente o RansomHub. O grupo surgiu em fevereiro de 2024 e, mesmo sendo novo no pedaço, foi o grupo mais ativo de 2024, com mais de 600 vítimas, em diversos setores. A razão para esse sucesso meteórico, segundo a Apura, é que o RansomHub soube aproveitar o melhor dos grupos pré-existentes: aproveitou o código de outros ransomwares, como o ALPHV/BlackCat e Knight, e atraiu diversos afiliados que já trabalhavam para outros grupos, incluindo os órfãos do ALPHV/BlackCat e do LockBit 3.0.

Muitos outros acontecimentos também merecem destaque no cenário da cibersegurança em 2024, vamos à eles:

• O golpe da Deepfake de US$ 25 milhões: Em fevereiro, surgiu a notícia de que um funcionário de uma multinacional em Honk Kong foi convencido a aprovar uma transferência de 25 milhões de dólares após realizar uma vídeo chamada com o suposto diretor financeiro e diversos colegas - todos eles reproduzidos por deekfake;
• Pagers explosivos: Em setembro de 2024, pagers e rádios comunicadores adulterados com a inclusão de explosivos detonaram simultaneamente em uma série de explosões coordenadas cujo alvo eram membros do Hezbollah. Esse foi um ataque complexo de inteligência, que incluiu o comprometimento de um dos fornecedores dos dispositivos, para implantar os explosivos antes de serem entregues. A explosão foi coordenada, atingindo milhares de pessoas no mesmo instante;

• Sim, em 2024 algumas empresas faliram depois de ataque de ransomware!!!
• O fim da vodka Stoli? Quem diria... os ataques de ransomware foram longe demais dessa vez. Após ser atacada, a Stoli Group, fabricante da vodka Stolichnaya (que eu jurava que era russa!!!), pediu falência :(
• A empresa National Public Data (NPD) (EUA) decretou falência em outubro de 2024 após o cibercriminoso brasileiro USDoD ter anunciado, em agosto de 2024, o vazamento de dados de 2,9 bilhões de pessoas;
• Loucura geopolítica:
• Os EUA expulsaram a Kaspersky e acabam o ano ameaçando bloquear o TikTok;
• No Brasil, tivemos o embate entre o STF e a rede social X (Twitter), culminando na suspensão do acesso à rede por vários dias. O “embate do ano” no Brasil pareceu mais uma novela mexicana. Começou com a recusa de remover perfis acusados de envolvimento com ataques à democracia, o que causou aumento das multas por descumprimento de ordens judiciais, retaliação com o fechamento do escritório do X no Brasil e a indicação de um novo representante no país. Também tivemos o X driblando o bloqueio, retenção das contas bancárias da Starlink, pagamento de multa em conta errada e, finalmente, o acerto entre as partes;
• A prisão do CEO do Telegram, o que pode fazer com que eles sejam menos permissivos com grupos criminosos e terroristas que usam a plataforma para troca de mensagens;
• No Brasil:
• Com certeza todo mundo recebeu golpes via SMS (SMSishing) avisando de uma encomenda que ficou retida ou da cassação de sua CNH;

• Vítimas famosas de grupos de ransomware: Dentre dezenas de empresas, destacaram em 2024 a Lojas Marisa, TOTVS, Sabesp e Eucatex;

• Proibição de celulares nas escolas brasileiras;
• O Banco Central anunciou, no decorrer do ano, uma dúzia de incidentes de vazamentos de chaves PIX!!
• Em 2024 foram realizadas diversas operações bem sucedidas das forças da lei contra o cibercrime, dando muita dor de cabeça para grandes grupos criminosos:
• operação Cronos contra o grupo LockBit
• derrubada do BreachForums
• operação Magnus contra os infostealers RedLine e Meta
• operação Endgame contra o TrickBot, IcedID e SmokeLoader
• ação da INTERPOL contra o malware Grandoreiro
• operação Synergia II, direcionada a phishing, ransomware e infostealers
• operação Serengeti da INTERPOL e da AFRIPOL no combate ao crime cibernético em toda a África;
• diversas ações contra o grupo Blackcat/ALPHV, iniciadas no final de dezembro de 2023 e que se estenderam no início de 2024;
• Mais do que nunca, vimos vulnerabilidades de zero days sendo exploradas em produtos de segurança, de diversos fabricantes. Segundo um levantamento da Apura, foram 33 vulnerabilidades em produtos de fabricantes coo Cisco, Citrix, Fortinet e Palo Alto, entre outras.

Alguns ciberataques que marcaram o ano:

• Abril: criminosos conseguiram invadir o sistema de pagamentos da administração federal, o Siafi, e desviar milhões de reais;
• Julho: conhecemos o "Carro do golpe". Uma prisão feita em São Paulo revelou uma modalidade de golpe curiosa: um carro que circulava por regiões nobres da cidade e, equipado com equipamentos de telecomunicações no porta-malas que inclui uma antena, era capaz de enviar mensagens maliciosas de SMS para celulares próximos;
• Agosto: nos Estados Unidos, aconteceu o provável caso mais grave, quando o ataque à National Public Data (NPD) expôs informações de quase 3 bilhões de pessoas;
• Outubro: a invasão de um robô aspirador, que saiu ofendendo os donos da casa;
• Outubro: a Companhia de Saneamento Básico do Estado de São Paulo (Sabesp) foi alvo de um ataque que gerou instabilidade na rede interna, realizado pelo grupo RansomHouse;
• Outubro: a galera legal do Wayback Machine sofreu bastante com ciberataques;
• Novembro: a invasão de hackers de origem chinesa contra redes de telecomunicações dos EUA;
• Novembro: ataque contra os sistemas das lojas da rede Marisa pelo ransomware Medusa;
• Novembro: um bug no Nubank virou notícia porque permitiu o saque "de graça" por clientes em caixas eletrônicos.

Novos golpes que surgiram em 2024 para atormentar a nossa vida:

• Falsas mensagens por SMS com tema dos Correios e da CNH;
• O Golpe do Pix errado;
• Fraudes na Farmácia Popular.

Outros acontecimentos relevantes de 2024:

• Deepfakes de voz e vídeo com famosos foram uma constante;
• A computação quântica começou a ameaçar a criptografia atual e o NIST aprova os primeiros algoritmos de criptografia pós-quântica;
• Os mega-vazamentos de dados "requentados", que geraram mais FUD do que ameaça mesmo:
• “Mother of All Breaches”: hackers teriam roubado 26 bilhões de credenciais no maior vazamento de senhas da história - mas que na verdade era apenas uma coletânea de dados já vazados anteriormente;
• O falso vazamento RockYou2024, que dizia conter 10 bilhões de senhas, mas que na verdade eram apenas "lixo", senhas requentadas, strings sem sentido, etc (sem associar a suposta senha a qualquer credencial)
• O Dólar e o Bitcoin endoidaram e a cotação subiu às alturas!

Tivemos alguns incidentes com graves impactos para as empresas:

• Falência da National Public Data (NPD) após vazamento de 2,9 bilhão de registros - A National Public Data (NPD), uma das maiores empresas de verificação de antecedentes dos EUA, entrou com pedido de falência em consequência de um ataque cibernético ter exposto informações pessoais de milhões de americanos. A violação, que ocorreu no final de 2023, deu acesso aos seus bancos de dados, e resultou em cibercriminosos vazando milhões de registros confidenciais, incluindo números de previdência social, datas de nascimento e outros dados pessoais. Isso desencadeou vários processos de ação coletiva, juntamente com investigações de mais de 20 procuradores-gerais estaduais e reguladores federais;
• Vários ataques com sérios impactos no setor de saúde:
• Nos EUA, causou grande dor de cabeça o ataque à Change Healthcare pelo grupo criminoso BlackCat/ALPHV;
• Crucial Texas hospital system turning ambulances away after ransomware attack
• Cyberattack forces major US health care network to divert ambulances from hospitals
• London hospitals face blood shortage after Synnovis ransomware attack
• Ransomware attack on major US blood center prompts hundreds of hospitals to implement shortage protocols - A organização sem fins lucrativos de doação de sangue OneBlood entrou em crise no ano passado quando um ataque de ransomware limitou a capacidade da organização de fornecer sangue aos 250 hospitais que atende no Alabama, Carolina do Sul, Flórida, Geórgia e Carolina do Norte. Os hospitais tiveram que ativar seus protocolos críticos de escassez de sangue e a OneBlood teve que rotular manualmente os produtos sanguíneos devido ao ataque de ransomware, informou a CNN. Na semana passada, a OneBlood disse aos reguladores estaduais que centenas de nomes e números de Previdência Social foram roubados durante o ataque.

Algumas estatísticas de 2024:

• Sobre cibercrime e fraudes:
• O faturamento estimado do cibercrime no Brasil: R$ 190 bilhões
• O número de golpes digitais praticados este ano cresceu 45% em relação ao ano anterior
• 4 em cada 10 brasileiros já foram vítimas de golpes
• Uma tentativa de fraude de documento é registrada a cada 7 minutos
• Segundo a Kaspersky, o Brasil é responsável por 22% de todos os trojans bancários mundiais
• 467 mil arquivos maliciosos detectados por dia em 2024
• US$ 813,55 milhões em pagamentos das vítimas de ransomware em 2024 - uma redução de 35% em relação ao ano recorde de 2023, de US$ 1,25 bilhão;
• 5.461 ataques de ransomware em todo o mundo, segundo a Comparitech

• US$ 2,2 bilhões roubados de plataformas de criptomoedas em 2024
• US$ 494 milhões roubados em ataques de drenagem de carteiras de criptomoedas em 2024 
• O maior ataque DDoS de 2024, e também o maior registrado até o momento: 5,6 Tbps
• Os setores mais atacados por DDoS, segundo a CloudFlare:

• 768 vulnerabilidades exploradas em 2024

Vulnerabilidades que ficaram famosas:

• DNSBomb
• HTTP/2 Continuation Flood
• regreSSHion 

Vejam também essa lista: MITRE shares 2024's top 25 most dangerous software weaknesses.

Falando sobre carreira em segurança:

• Os CISOs estão cada vez mais a pressionados e a caminho do burnout;
• Burnout virou rotina :(
• O sonho do home office acabou e cada vez mais empresa voltam ao regime 5x2 (trabalha 5 dias no escritório e os outros 2 trabalha de casa e fica de plantão) :(

  

Eu já postei aqui sobre os eventos de segurança de 2024, mas vale destacar alguns pontos relevantes:

• A BSidesSP e a H2HC bateram recorde de público (cerca de 1.800 e 3 mil, respectivamente);
• Tivemos uma village dos países latinos na Defcon, a La Villa Hacker;
• A NullByte realizou sua 10a edição;
• Novamente batemos o recorde de brasileiros participando e palestrando na BSidesLV, Defcon e Black Hat.

 

As melhores entrevistas de 2024:

1. Vitor Sena no TecSec Podcast
2. Ricardo Marx (Jam Session S01E09) - a mais divertida de todos os tempos!
3. Alexos no TecSec Podcast
4. Carol Bozza (Jam Session S01E02)
5. Andrea Trench no TecSec Podcast - pela importância de termos uma visão estratégica da carreira

Essa foi uma lista difícil de criar, pois tivemos muitas entrevistas bem legais, com muita gente que é referência no mercado, no TecSec Podcast e no Jam Session, o novo programa do Willian Caprino. Eu sei que deixei muita gente de fora desse top 5, mas mesmo se fosse um top 10 seria injusto. Em paralelo, o podcast Falando de Fraudes começou a entrevistar vários profissionais de cibersegurança. Também merece muito destaque o episódio especial do TecSec número 100.

A propósito, pare tudo o que você está fazendo e começe a seguir agora mesmo lá no YouTube:

• Falando de Fraudes
• Jam Session
• Programa Red Zone
• TecSec Podcast

Para por o pé na zueira, que tal falarmos sobre as principais buzzwords de 2024?

• IA
• Ciber Apagão Global
• Dia da Tela Azul
• Criptografia Pós-Quântica
• OSINT
• Jogo do Tigrinho
• Ozempic

Não é que criaram, de verdade, um Lego da Cibersegurança? Eu ganhei um kit do "Black Hat Network Operation Center", em sorteio, durante a Black Hat 2024:

  

Quer ver mais retrospectivas legais sobre 2024?

• Recentemente foi ao ar um bate-papo que eu tive com o Luiz Cabuloso no Podcast Falando de Fraudes, onde conversamos sobre a Retrospectiva de 2024:

• No tradicional vídeo sobre os "Incidentes do mês" publicado em dezembro de 2024 pela CECyber, o professor Almir Alves destacou os principais ciberataques de 2024. A lista ficou bem legal, confira no vídeo abaixo:

• O Programa Red Zone #162, o primeiro de 2025, apresentou uma retrospectiva de tudo o que rolou em 2024:

Veja a minha sequencia de posts aqui no blog sobre temas que mereceram destaque na minha "retrospectiva de 2024":

• CISOs no radar
• O debate sobre a jornada de trabalho
• Masters of Pwnage em 2024: BSidesSP, YSTS, BRHueCon e H2HC
• A Criptografia Pós-quântica é realidade!
• O faturamento bilionário do Cibercrime brasileiro
• As vulnerabilidades em sistemas industriais
• A Mente Binária vira ONG
• O cibercrime brasileiro sempre presente
• O triste fim do Home Office
• Como foram a BSidesSP e a BRHueCon 2024
• Ataques DDoS batem recorde de 3,8 terabits por segundo
• O crescimento e o roubo das criptomoedas
• As senhas mais perigosas em 2024
• A perigosa "epidemia das bets" (com memes)
• E como foi a Black Friday 2024?

Para saber mais:

• Eu publiquei uma versão resumida desse post na minha newsletter do Linkedin: Breve ciber retrospectiva de 2024
• Aqui no blog:
• Como foram os eventos de segurança em 2024
• Sexta-feira da maldade: bem-vindos ao apagão global (com memes)
• Previsões para 2024
• Ciber Retrospectiva 2023
• Retrospectiva da Apura: 2024: O Ano em Resumo
• Live sobre o relatório: Webinar: Relatório Anual de Cyber Intelligence da Apura “2024 – O Ano em Resumo”
• Principais incidentes, segundo a Security Report: Painel de Incidentes Cibernéticos
• Painel de incidentes da IBRASPD
• Listinha bem caprichada da Cyble: Top 10 Industries Targeted by Threat Actors in 2024
• Timeline de Incidentes Relevantes 2024 do IBRASPD
• Painel de Incidentes Cibernéticos, segundo a Security Report
• Bloqueio do X, apagão e mais: 15 momentos da tecnologia que marcaram 2024
• Sete ataques digitais que marcaram a América Latina em 2024, colocando empresas, governos e indivíduos em risco
• Golpes digitais crescem 45% em 2024
• 2023 Top Routinely Exploited Vulnerabilities
• MITRE shares 2024's top 25 most dangerous software weaknesses
• Segurança na Web: o que vimos em 2024 e como se preparar para 2025?
• ESET Threat Report H2 2024
• Artigo do Google: Cyber risk top 5: What every board should know
• Experts look back at 2024’s cybersecurity news
• 1 em cada 4 brasileiros sofreu alguma tentativa de golpe em 2024
• Mais de 50 estatísticas e tendências de segurança cibernética
• Kaspersky Security Bulletin 2024. Statistics
• Story of the Year: global IT outages and supply chain attacks
• Record-breaking 5.6 Tbps DDoS attack and global DDoS trends for 2024 Q4
• 467 mil arquivos maliciosos foram detectados por dia em 2024
• The evolving landscape of data privacy: Key trends to shape 2025
• Top 10 Cyber-Attacks of 2024
• 35% Year-over-Year Decrease in Ransomware Payments, Less than Half of Recorded Incidents Resulted in Victim Payments
• 768 CVEs Exploited in 2024, Reflecting a 20% Increase from 639 in 2023
• 2024 CWE Top 25 Most Dangerous Software Weaknesses
• Análise da CrowdStrike: A Look Back: The Evolution of Latin American eCrime Malware in 2024

• Retrospectivas da TecMundo:
• Bloqueio do X, apagão e mais: 15 momentos da tecnologia que marcaram 2024
• Retrospectiva de cibersegurança 2024: relembre os piores ataques, invasões e bugs
• Retrospectiva 2024: relembre os 11 piores golpes e fraudes que os brasileiros sofreram
• Metade desses ataques não mereceriam um "top 10", mas tudo bem, o repórter deve só ter copiado e colado de uma matéria gringa (deve ter sido essa): Top 10 ataques cibernéticos de 2024 e o que podemos aprender com eles;
• Criptomoedas:
• $2.2 Billion Stolen from Crypto Platforms in 2024, but Hacked Volumes Stagnate Toward Year-End as DPRK Slows Activity Post-July
• Roubo de crypto em 2024: US$ 2,2 bilhões
• As maiores explorações e hacks de criptomoedas em 2024
• Métricas sobre CVEs: https://www.cve.org/About/Metrics
• Notícias relacionadas:
• Entenda a linha do tempo do apagão cibernético da CrowdStrike
• Golpistas usam deepfake de diretor financeiro e roubam US$ 25 milhões
• Israel plantou explosivos em 5.000 pagers do Hezbollah, dizem fontes
• Infográfico excelente do G1: Infográfico: o que está por trás das explosões de pagers e walkie-talkies do Hezbollah
• Governo dos EUA anuncia banimento de serviços e produtos da Kaspersky
• Vodka maker Stoli says August ransomware attack contributed to bankruptcy filing
• Ransomware leva fábrica de vodca à falência
• Vazamento em empresa americana pode ter exposto dados de bilhões de pessoas
• Wayback Machine volta a funcionar após ciberataque, mas de forma limitada
• Hackers invadem aspiradores-robô, fazem ofensas racistas e observam vítimas pelas câmeras, diz site
• Ataque na SABESP: grupo cibercriminoso reivindica invasão com ransomware
• EUA confirmam invasão de hackers chineses em redes de telecomunicações
• Lojas Marisa infectada com ransomware Medusa; 'ameaça sob controle'
• Nubank teve bug que permitiu sacar dinheiro 'de graça' em caixas eletrônicos
• Nubank: quem aproveitou o bug e sacou dinheiro 'de graça' pode ser preso?
• Recebeu SMS dos Correios? Conheça o novo golpe que busca o seu dinheiro
• CNH suspensa: o SMS que vai roubar o seu dinheiro
• Relatório de Fraude da Serasa Experian: 4 em cada 10 brasileiros já foram vítimas de golpes e preocupação de empresas aumentou 58% em um ano
• Uma tentativa de fraude de documento é registrada a cada 7 minutos no Brasil; desbancarizados são alvo principal, revela Serasa Experian
• Mãe de Todas as Violações: Entendendo o Maior Vazamento de Dados da História
• Maior vazamento da história: hacker divulga quase 10 bilhões de senhas em fórum online
• Surto de ransomware: mais de 1.000 vítimas impactadas em 2024
• Bitcoin encerra 2024 cotado a US$ 92 mil após máxima histórica de US$ 106 mil, segundo Biscoint
• Relatório da Apura alerta para riscos de ataques cibernéticos ao setor industrial e como eles podem afetar a população
• TOTVS admite ataque ransomware, mas diz que não sofreu perda de dados sigilosos
• Curiosidade: 20 anos de Facebook: a história da rede social que mudou o mundo
• Veja a Retrospectiva 2024 do Porta News (spoiler: esse foi "o ano do dragão no horóscopo Chinês e ano do Tigrinho no Brasil")

[Retrospectiva] CISOs no radar

Para finalizar a minha série de posts que fiz em dezembro do ano passado, sobre os principais acontecimentos de 2024, faltou publicar esse, que estava no forno, sobre os nossos CISOs (Chief Information Security Officer).

Nunca se falou tanto sobre a importância do CISO no board das empresas, os desafios de chegar lá e, claro, o burnout entre os profissionais de segurança e os CISOs.

Eu mesmo conheço alguns CISOs que ajustaram a carreira em 2024 e viraram empreendedores, conselheiros, consultores ou voltaram para a área mais técnica. Sinal de que a vida de CISO não é fácil, que nem sempre os super salários compensam.

A vida do CISO não é fácil, como mostram alguns números que eu pincei do relatório xxx, da Splunk:

• 21% dos CISOs relatam que foram pressionados a não relatar um problema de Compliance;
• 29% dos CISOs dizem que recebem um orçamento adequado para suas iniciativas de cibersegurança;
• 29% disseram que seu conselho de administração tem um membro com experiência em segurança cibernética.

Mas, vamos ser sinceros: aqui no Brasil são poucos CISOs que realmente chegam à um nível tão alto dentro da organização, fazendo parte do seleto clube de executivos da alta gestão (os "C-levels", na nomenclatura do mercado americano). Isso ocorre porque, nesse nível, a pessoa tem que ter uma formação e experiência em gestão muito mais relevante do que seu lado técnico, uma visão maios estratégica e alinhada ao negócio, mas poucos gestores conseguem juntar esses perfis com maestria.

Além do mais, são poucas as empresas que entendem que a segurança tem um papel estratégico. Consequentemente, Segurança acaba sempre subordinado à um gestor de outra área - e ainda hoje vemos frequentemente a área de segurança subordinada a TI. Mesmo quando responde hierarquicamente direto ao presidente da empresa (CEO), raramente o CISO tem assento no conselho de administração da empresa.

Sim, muitas vezes os CISOs que encontramos no Linkedin mandam menos do que o gerente de TI da empresa aonde trabalham.

Uma iniciativa legal para o mercado, que ganhou força em 2024, foi o surgimento do CISO's Club, organizado pelo Alex Amorim, Altevir e o Longinus, um grupo criado em 2023 para promover a troca de experiência entre os gestores. Nem todos os participantes desse clube já estão na cadeira da alta gestão, o que é boom para promover o crescimento dos seus participantes. Eles seguem um processo próprio para aceitar os membros.

Para saber mais:

• The CISO Report
• 62% dos CISOs consideram seu trabalho estressante por pelo menos metade do tempo
• 79% dos CISOs são pressionados a reduzir a gravidade dos riscos cibernéticos, aponta estudo
• CISO no Board: o desafio de comunicar a linguagem da SI ao negócio
• Da Trincheira à Mesa do Conselho: A Jornada de um CISO rumo à Governança Corporativa
• Responsabilização por ciberataques: o peso recai apenas sobre os CISOs?
• CISOs Dramatically Increase Boardroom Influence but Still Lack Soft Skills
• #Infosec2024: Experts Share How CISOs Can Manage Change as the Only Constant
• A Third of CISOs Have Been Dismissed “Out of Hand” by the Board

[Segurança] Vamos apoiar a Campanha Financeira da CryptoRave!

Está no ar a Campanha Financeira da CryptoRave 2025.

A CryptoRave é um evento totalmente financiado de forma voluntária e coletiva, através de uma campanha online de arrecadação, que acontece todo o ano, marcando a característica forte de ser um evento colaborativo. A CryptoRave é construída por voluntários e não remunera as pessoas participantes e também não aceita patrocínio de empresas ou de organizações não governamentais. Ou seja, todas as despesas do evento são cobertas apenas com o resultado da campanha de arrecadação financeira realizada pela plataforma Catarse.

Por isso a nossa participação é muito importante!!!

Vale lembrar que a CryptoRave é um evento único, que mistura de festa, encontro, palestras e oficinas que promove o encontro entre ativistas, hackers, jornalistas, cypherpunks, estudantes, nerds, artistas, pesquisadores e profissionais de cibersegurança, pessoas curiosas e interessadas em apropriar-se de práticas de segurança e de proteção de dados pessoais. São mais de 24 horas de atividades que incluem oficinas, conversas, debates, apresentações, trocas e formação nas áreas de intersecção entre segurança, privacidade, criptografia e artes.

Segundo a organização da CryptoRave, a campanha financeira é no formato de "Tudo ou Nada", ou seja, eles tem que bater a meta de arrecadar R$ 70 mil em 60 dias, ou não teremos a CryptoRave! Cada apoio é bem vindo!

No dia que eu escrevi esse post, eles tinham acabado de anunciar que bateram 15% da meta de arrecadação. Ou seja, em uma semana foram arrecadados mais de 10 mil reais! É bem legal, mas ainda tem muito pela frente.

Todo ano eles bolam vários níveis de colaboração com recompensas bem legais, a partir de R4 20, com uma arte exclusiva e caprichada. As recompensas podem incluir adesivos, chaveiros, canecas, camisetas e moletons bem lindos. É possível parcelar o valor de qualquer recompensa em até 6 vezes. Detalhe: os itens que estão nas recompensas não são colocados a venda na lojinha do evento - ou seja, são itens exclusivos ;)

Acompanhe a CryptoRave nas redes sociais, curta, comente, compartilhe, GRITE (com capslock): precisamos da ajuda de todo mundo para fazer a CryptoRave acontecer! <3

Acesse a campanha no seguinte link e contribua para o evento: https://www.catarse.me/cryptorave2025.

A chamada para propostas de atividades também está aberta - a programação é inteiramente construída pela comunidade!

A CryptoRave 2025 será realizada na Biblioteca Mário de Andrade. Ela ocorre justo no ano do centenário da BMA, a primeira e maior Biblioteca pública de São Paulo!

Aproveite também para ouvir o episódio #239 do Podcast Tecnopolítica que fala sobre a CryptoRave 2025 (TECNOPOLÍTICA #239 - CRYPTORAVE: O maior evento de criptografia para defesa de direitos):

Anote na sua agenda:

• Evento: CryptoRave 2025
• Dias 16 e 17 de maio
• Local: Biblioteca Mário de Andrade, São Paulo
• Chamada de atividades: https://cpa.cryptorave.org/cryptorave-2025/cfp
• A CryptoRave é um evento gratuito, nos dias do evento, é só se inscrever e chegar!!!

Siga a CryptoRave nas redes sociais:

• https://cryptorave.org
• email: contato@cryptorave.org
• https://mastodon.social/@cryptorave
• https://twitter.com/cryptoravebr
• https://twitter.com/cryptorave
• https://facebook.com/cryptorave
• https://www.instagram.com/cryptoravebr
• #cryptorave @irc.indymedia.org

PS: Post atualizado em 14 e 17/03.

[Segurança] A tipificação penal dos ataques de Ransomware

Olha eu aqui de novo, o seu blogueiro favorito tentando opinar sobre legislação, rs... que me perdoem o Dr Renato Ópice Blum, a Dra Patricia Peck, o Dr José Milagres e a Dra Gisele Truzzi, grandes especialistas brasileiros em direito digital (dentre outros, claro, mas esses 4 foram os pioneiros e são as minhas referências no assunto).

O Brasil já possui um conjunto de leis que permitem o enquadramento dos crimes de ransomware:

• Artigo 154-A do Código Penal: Invasão de dispositivo informático (que foi definido pela "Lei Carolina Dieckmann");
• Art. 158 do Código Penal: Extorsão
• Art. 266 do Código Penal: Interrupção de serviço essencial (se o ataque afetar hospitais, setores de infraestrutura crítica como energia, saneamento, etc.)
• Lei 12.850/2013 (Organizações Criminosas), pode ser usado como agravante, uma vez que geralmente o ciberataque é realizado por um grupo muito bem estruturado.

As leis acima são suficientes para definir e punir o crime relacionado ao sequestro de dados por ransomware.

Mas está tramitando, no nosso Congresso Nacional, o PL 879/2022 do senador Carlos Viana (Podemos-MG), que define o crime de "sequestro de dados informáticos" dentro do nosso Código Penal e cria penas específicas para ele.

O PL propõe a introdução do crime de "sequestro de dados informáticos" no artigo 154 do Código Penal e o define como sendo o ato de “tornar inutilizáveis ou inacessíveis, por qualquer meio, e com o fim de causar constrangimento, transtorno ou dano, sistemas ou dados informáticos alheios” (redação sugerida pelo PL, na proposta de um novo artigo, o "154-C"). Também inclui o ato de "obter o controle remoto não autorizado em dispositivo invadido" no terceiro parágrafo do artigo 154-A, aquele artigo que foi criado pela Lei Carolina Dieckmann para definir o crime de "invasão de dispositivo informático"

 O PL 879/2022 também propõe uma pena específica para o sequestro de dados, uma pena de três a seis anos de reclusão, acrescida de multa. A pena é aumentada em caso de cobrança de resgate e se o crime for praticado contra órgãos públicos e autoridades dos Poderes da República.

A alteração proposta pelo PL no Código Penal (Decreto-Lei nº 2.848, de 7 de dezembro de 1940) é a seguinte:

“Art.154-A. ..........................
..........................
§ 3º Se da invasão resultar a obtenção de dados pessoais, conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, ou informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa, se a conduta não constitui crime mais grave”.
..........................” (NR)
“Sequestro de dados informáticos
Art. 154-C. Tornar inutilizáveis ou inacessíveis, por qualquer meio, e com o fim de causar constrangimento, transtorno ou dano, sistemas ou dados informáticos alheios:
Pena – reclusão, de três a seis anos, e multa.
§ 1º Incorre na mesma pena quem oferece, distribui, vende ou dissemina códigos maliciosos ou programas de computador, com o intuito de permitir a prática da conduta definida no caput deste artigo.
Forma qualificada
§ 2º Se o agente pratica a conduta prevista no caput deste artigo, com o fim de obter, para si ou para outrem, qualquer vantagem como condição ou preço do resgate:
Pena – reclusão, de quatro a oito anos, e multa.
§ 3º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal;
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
§ 4º Aumenta-se a pena de metade a dois terços se o crime atingir dados ou sistemas informáticos de qualquer dos poderes da União, Estado, Distrito Federal ou Município, ou de autarquia, fundação pública, empresa pública, sociedade de economia mista ou empresa concessionária de serviços públicos.”

A vantagem de criar uma tipificação para a extorsão por ransomware, definindo como um crime específico, é deixar claro, ao legislador, ao judiciário e à sociedade, que tal crime está sendo combatido pelas autoridades brasileiras. Também deixa sua tipificação mais explícita para o poder judiciário poder enquadrar e punir essa conduta criminosa com mais facilidade.

Mas vocês notaram uma falha nessa proposta?

Ela não inclui o caso de extorsão por ransomware a partir de dados previamente roubados e da ameaça de expô-los publicamente. Essa tática, que chamamos de "dupla extorsão", acaba sendo muito efetiva em convencer a vítima a pagar o resgate pelo receio de ter suas bases de dados ou documentos internos expostos. Mesmo que a empresa tenha condições de restaurar os seus sistemas por si só, a ameaça de vazamento de dados acaba sendo um risco grande que pode acabar convencendo a vítima a pagar o resgate :(

Por isso, o ideal seria que o novo artigo 154-C proposto pelo PL também incluísse o cenário de extorsão pelo vazamento de dados. Ele poderia ter um parágrafo adicional, escrito mais ou menos assim:

"§ 5º Aumenta-se a pena em um terço se o crime incluir o vazamento de dados informáticos e posterior ameaça de exposição vexatória dos dados para a exigência de vantagem indevida, mediante extorsão.

Outra iniciativa que merece destaque é a “Força-Tarefa contra o Ransomware no Brasil” (RTF Brasil), fruto de uma parceria entre o Ministério das Relações Exteriores, a Organização dos Estados Americanos (OEA) e o Institute For Security and Technology (IST). O RTF Brasil visa fomentar discussões em nível nacional sobre os desafios enfrentados pela sociedade e pelo Estado brasileiros frente ao ransomware, promovendo diagnósticos atualizados e discussões sobre possíveis formas de enfrentamento contra o ransomware. O trabalho incluiu uma consulta pública que ficou aberta até o início deste mês, para ampliar a participação da sociedade brasileira, conduzindo a discussão dentro de 4 eixos: Desencorajar, Interromper, Preparar e Responder à ataques de ransomware.

Para saber mais:

• Post anterior no meu blog, publicado ontem, relacionado ao assunto: Pagar resgate de ransomware é crime!
• Projeto que criminaliza sequestro de dados está na pauta da CCDD
• Projeto de Lei n° 879, de 2022
• Art. 154A do Decreto-lei Nº 2.848 | Código Penal, de 07 de Dezembro de 1940
• Proposta dá ao MP a iniciativa em ação contra crime de invasão de dispositivos
• Iniciativa do Ministério das Relações Exteriores: “Força-Tarefa contra o Ransomware no Brasil” (RTF Brasil)
• Brasil é o novo foco da OEA para combater ransomware
• Strengthening Brazil’s Cybersecurity: The Brazil Ransomware Task Force
• Em setembro de 2024 ocorreu a Ransomware Task Force (RTF) Conference in Brazil
• Em 2020 surgiu o Ransomware Task Force (RTF)
• Meu post aqui no Blog sobre a Lei Carolina Dieckmann: Habemus Legem

[Segurança] Pagar resgate de ransomware é crime!

Sim, apesar de eu não ser formado em advocacia e nem ser um especialista em leis, acredito que é possível enquadrar o pagamento de resgate de Ransomware como crime.

Os pagamentos milionários aos cibercriminosos são, sem dúvida alguma, o principal motivador para a expansão global dos ataques de ransomware. Segundo um estudo da Chainalysis, os operadores de ransomware receberam aproximadamente US$ 813,55 milhões em pagamentos das vítimas em 2024.

Esses ataques são comandados por organizações criminosas transnacionais, muito bem equipadas e organizadas, normalmente trabalhando em um modelo de afiliados, que contratam o ferramental de ataque no modelo "Ransomware as a Service" (RaaS).

Nessa linha, o pagamento de resgate à grupo cibercriminoso constitui o financiamento de uma organização criminosa, que é um crime previsto em lei, devendo portanto ser enquadrado no Art. 2º da Lei 12.850/2013.

Veja o que diz o artigo 2º, da Lei Federal nº 12.850/2013, que define organização criminosa e dispõe sobre a investigação criminal, os meios de obtenção da prova, infrações penais correlatas e o procedimento criminal a ser aplicado:

Art. 2º Promover, constituir, financiar ou integrar, pessoalmente ou por interposta pessoa, organização criminosa:
Pena – reclusão, de 3 (três) a 8 (oito) anos, e multa, sem prejuízo das penas correspondentes às demais infrações penais praticadas.

Detalhe: Segundo o § 4º, a pena pode ser aumentada de 1/6 (um sexto) a 2/3 (dois terços) se o produto ou proveito da infração penal destinar-se, no todo ou em parte, ao exterior (item III).

A exemplo de outros países, devemos buscar formas de punir as empresas que pagam o resgate a grupos criminosos, a fim de inibir essa prática. Por exemplo, há países que discutem a possibilidade de obrigar que a empresa que realiza o pagamento de resgates divulgue esse fato publicamente, comunicando o ocorrido às autoridades regulatórias competentes.

Além disso, vale destacar que existe um projeto de lei em tramitação no nosso Congresso que introduz o crime de "sequestro de dados informáticos" no Código Penal. O PL 879/2022, do senador Carlos Viana (Podemos-MG), define uma pena específica para invasão de dispositivo informático quando dela resultar a obtenção de dados pessoais. O autor propõe, nesses casos, uma pena de três a seis anos de reclusão, acrescida de multa. A pena é aumentada em caso de cobrança de resgate e se o crime for praticado contra órgãos públicos e autoridades dos Poderes da República.

O PL 879/2022 define o sequestro de dados informáticos como o ato de “tornar inutilizáveis ou inacessíveis, por qualquer meio, e com o fim de causar constrangimento, transtorno ou dano, sistemas ou dados informáticos alheios”.

A tipificação da extorsão por ransomware em um crime específico tem como vantagem deixar claro, ao legislador, ao judiciário e à sociedade, que tal crime está sendo combatido pelas autoridades brasileiras.

Para saber mais:

• Artigo do site ConJur, que me inspirou a escrever esse artigo: A contribuição financeira para promover organização criminosa configura o crime?
• 35% Year-over-Year Decrease in Ransomware Payments, Less than Half of Recorded Incidents Resulted in Victim Payments
• Lei Nº 12.850, de 2 de agosto de 2013
• Projeto que criminaliza sequestro de dados está na pauta da CCDD
• Projeto de Lei n° 879, de 2022

[Segurança] Dia Mundial da Internet Segura

Nos dias 11 e 12 de fevereiro de 2025 vai ser celebrado o Dia Mundial da Internet Segura.

O evento é uma iniciativa anual com objetivo de envolver e unir os diferentes atores, públicos e privados, na promoção de atividades de conscientização em torno do uso seguro, ético e responsável das tecnologias digitais nas escolas, universidades, ONG's e na própria rede. Todos os anos o evento reúne organizações do mundo inteiro ligadas a internet, direitos humanos, educação, apoio e proteção.

No Brasil, o Dia da Internet Segura é organizado pela SaferNet Brasil em parceria com o NIC.br e o CGI.br.

O pessoal da Safernet convida a todos a participar do Dia Mundial da Internet Segura, e fornece algumas dicas e materiais. Eles sugerem 3 passos:

1. Coloque o assunto em pauta
2. Convide um grupo de alunos, colegas e ou coletivos a participar
3. Defina o tipo de atividade e mobilize seu publico

Eles também sugerem 4 eixos temáticos:

1. Privacidade
2. Educação midiática
3. Respeito e Empatia
4. Saúde Emocional

A Safernet mantém uma página com vários recursos, como vídeos, guias. infográficos e materials para campanhas.

Eles também mantém um mapa de atividades do Dia da Internet Segura.

[Segurança] O uso de robôs na guerra da Ucrânia

A guerra na Ucrânia já está perto de completar três longos e tristes anos, desde quando a Russia iniciou a invasão do país, em 24 de fevereiro de 2022. Existe um aspecto muito interessante do uso de novas tecnologias nesse conflito que, embora tenha rendido algumas reportagens na mídia, eu não vejo muito destaque nem comentários sobre o assunto: o uso de robôs na guerra.

A indústria de robôs tem evoluído e crescido rapidamente nos últimos anos. Para nós, que somos leigos no assunto mas apaixonados pela tecnologia, a empresa Boston Dynamics é, provavelmente, nossa primeira referência que vem a mente. E todo mundo acha bonitinho aqueles robôs em formato de cachorro, quando estão fazendo truques em feiras em congressos.

Como tanto a Rússia como a Ucrânia já enfrentam uma escassez de pessoas para lutar nos campos de batalha (a ponto da Rússia começar a usar soldados da Coréia do Norte!), a guerra está testemunhando um fenómeno relativamente novo do uso de “robôs terrestres”, muitas vezes rudimentares, para desempenhar o papel de soldados em diversas tarefas. E, claro, para evitar a perda de soldados enquanto realizam as tarefas necessárias no campo de batalha.

O exemplo mais simples e que vemos com muita frequência é o uso de drones aéreos na guerra, desde drones específicos para combate até mesmo drones mais simples, como esses que a gente compra online ou em lojas. Os drones são usados, principalmente, para vigilância e ataques. Há diversos casos relatados de, até mesmo, o uso de drones domésticos adaptados para jogar granadas em alvos no solo.

Mas os robôs no campo de batalha já estão indo além dos drones aéreos. Com o rápido desenvolvimento de robôs humanóides, em formato de cães ou simplesmente para transporte de carga, não é de espantar que muitos deles tem sido adotados na guerra da Ucrânia. Os robôs terrestres já tem um nome técnico: "unmanned ground vehicle" (UGV).

Os robôs tem sido usados pelos dois lados para diversos usos, tais como:

• Drones aéreos para vigilância;
• Drones aéreos para ataques ao solo;
• Drones aéreos para "ataques kamikaze";
• Detectar e remover minas terrestres;
• Drones para identificar e derrubar outros drones;
• Resgatar soldados feridos no campo de batalha;
• Envio de suprimentos;
• Tanques de batalha operados remotamente;
• Barcos (drone) kamikaze.

A Ucrânia já utilizou pequenos barcos controlados remotamente, via satélite, repletos de explosivos, para atacar a frota russa e destruir pontes.

Um caso interessante é dos sistemas “Shahed drone hunter” usados na Ucrânia para proteger instalações energéticas dos ataques russos. O sistema inclui um complexo conjunto de radares e bloqueadores de sinal que ajudam a detectar e bloquear drones inimigos. Também é utilizado o DroneHunter F700 da empresa Fortem, um drone autônomo com controle de radar e inteligência artificial que, capaz de voar a mais de 100 km/h, intercepta e derruba os drones inimigos.

Para saber mais:

• Para lembrar que esse assunto é polêmico e tem sido discutido há um certo tempo:
• Stop killer robots
• Human Rights Watch Calls for Global Treaty on ‘Killer Robots’ (notícia de 2021)
• War in Ukraine accelerates global drive toward killer robots
• Inside Ukraine’s plan to build an army of killer robots to defeat Russia
• From Robots to Recycled Vapes, Ukraine’s War Effort Gets Inventive
• After ‘Army of Drones,’ Ukraine Now Wants ‘Army of Robots’
• Robots join Ukraine's soldiers in the battle to rescue the dead and shield the living
• Ukraine’s Bomb Squads Have a New Top Dog
• Photo captures Ukrainian troops using grunt robots to plant deadly anti-personnel mines
• Ukraine Black Sea Drone Attacks Signal Rapidly Expanding War
• Russia's Boats Fought a Deadly Battle With Ukraine's Robots. No One Knows Who Won.
• Drones aéreos:
• Ukraine Building ‘Army of Drones’ From Donations
• Drones have taken over the war in Ukraine, sometimes fighting each other and running supplies like soldiers
• China planeja produzir drones explosivos para a Rússia
• Photos offer an up-close look at how Ukrainian soldiers rig their drones with deadly explosives
• ‘Shahed Hunter’: First anti-drone system now installed at critical infrastructure facilities
• Russia's Killer Drone in Ukraine Raises Fears About AI in Warfare
• Drone 'nave-mãe' lança outro drone para derrubar aeronave russa na Ucrânia; vídeo
• Robôs de ataque:
• Russian ‘Combat Robots’ Undergo ‘Baptism Of Fire’ As Soldiers Use Them To Attack Tricky Ukrainian Positions
• The Russians Packed A Robotic T-55 Tank With Explosives And Rolled It Toward Ukrainian Lines
• Military Testing of the Unmanned Zubilo Platform Expected by the End of 2023
• IRONCLAD robot is being tested on the battlefield in Ukraine
• Liut: Exército da Ucrânia recebe novo 'drone terrestre' para batalhas contra a Rússia

• Aqui no blog:
• A Guerra cibernética na Ucrânia
• Novas táticas e tecnologias de guerra cibernética no conflito entre Rússia e Ucrânia
• O ataque do Drone Hacker!

PS: Post atualizado em 04/04/2025.

[Segurança] Eventos de Segurança no primeiro semestre de 2025

O ano mal começou e a agenda de eventos para esse primeiro semestre de 2025 já está lotada!! E muito mais do que o normal.

Todo ano, "desde sempre", eu repeti o mantra de que "o primeiro semestre do ano é vazio de eventos, e o segundo semestre é bombado". De fato, historicamente, o primeiro semestre de todos anos costumava receber poucos eventos de segurança, sendo o You Sh0t the Sheriff (YSTS) e a Security BSides São Paulo (BSidesSP) os mais relevantes. Em contrapartida, todos os demais eventos relevantes do mercado e da comunidade costumam se acumular no segundo semestre (Mind The Sec, Security Leaders, BHack, NullByte e H2HC, só para citar alguns).

Mas 2025 já vai ser diferente, principalmente graças a proliferação de eventos regionais de segurança (comerciais ou de comunidades). Em fevereiro já começam a bombar os eventos!!!

E este ano traz várias novidades (inclui spoilers!!!):

• Consolidação de diversos eventos regionais (como o Fortalsec, Xibésec e Hacking na Web Day);
• Muitos eventos regionais surgindo, como o evento da comunidade Hack in Cariri (em Juazeiro), a conferência Sirena e os eventos regionais Security Bytes, ambos organizados pelas divas maravilhosas da Hekate, entre outros;
• Dois novos eventos da família Security BSides, no Rio de Janeiro e Florianópolis <3
• O Hacking na Web Day promete realizar vários eventos regionais!!
• A promessa de retorno do Roadsec, da Flipside;
• A Flipside também promete que, neste ano, vai trazer mais eventos da família Mind The Sec, incluindo o Mind The Sec Chile, Mind The Sec Colômbia e o "MTS Club Resort" (uh-hu!!!).

A propósito, o Mind The Sec promete receber mais de 16 mil participantes na edição de São Paulo deste ano, em um espaço de 17.000 metros quadrados. Eles anunciaram que 100% das cotas de patrocínio mais altas já foram comercializadas (Carbon, Diamond, Platinum e Gold). Isso é muito legal para eles, mostra o sucesso do evento e sua relevância para o mercado.

O triste é pensar que provavelmente um único patrocínio Carbon ou Diamond seria o suficiente para custear todos (sim, todos!) os eventos das comunidades brasileiras.

Por conta disso tudo que eu comentei acima, a lista de eventos do primeiro semestre deste ano vai ser bem mais gordinha do que o usual. Então vamos para ela!!!

Em tempo: Como sempre faço aqui no blog, eu listo apenas os eventos que eu considero serem interessantes e/ou relevantes no mercado ou na comunidade de cibersegurança, e que, na minha opinião, trazem conteúdo de qualidade. Também costumo incluir alguns grandes eventos de TI, relevantes para a comunidade, e que costumam também trazer conteúdo de segurança, como o TDC (The Developers Conference) e a Campus Party (apesar da Campus Party estar murchando muito a cada ano, IMHO).

Exceto quando indicado o contrário, o evento será realizado presencialmente em São Paulo.

Spoiler alert: A Flipside está planejando realizar o Mind The Sec Summit, a volta das versões regionais do MTS, prometendo o evento para as cidades de Porto Alegre, Belo Horizonte, Rio de Janeiro, Brasília, Fortaleza, Recife e Salvador (mas ainda não anunciou nenhuma data, quando fizer eu atualizo aqui o blog).

Sem mais delongas, vamos para os eventos deste ano. Anote aí na sua agenda:

• Fevereiro/2025
• 11 e 12/02: Dia da Internet Segura (chamada de atividades) (Safer Internet Day) - Evento tradicional, organizado pelo NIC.br e pela Safernet, voltado para conscientizar os usuários finais sobre segurança na Internet. Realizado com platéia presencial e transmissão online pelo canal do NIC.br no YouTube;
• 14/02: Digital Investigation Conference Brazil (cfp) (Porto Alegre, RS) - Novo evento focado na investigação de crimes cibernéticos, atraindo principalmente agentes da lei e profissionais de forense digital e de Cyber Threat Intelligence (CTI). Na véspera, dia 13/02, vai ser realizado o encontro "OSINT & Cachaça" (a partir das 19h);
• 15/02: Hack in Cariri (@hackincariri) (Juazeiro do Norte, CE) (*) - Prepare-se para o maior evento de tecnologia e segurança da informação do interior do Ceará, no coração do Cariri, em Juazeiro do Norte. O evento, organizado pela comunidade Hack in Cariri, vai reunir palestras de alto nível e um emocionante campeonato de Capture the Flag. Evento organizado com carinho pelas divas da Hekate;
• 19/02: Security Bytes CE (Fortaleza, CE) (*) - Novo evento da Hekate em forma de "clube de relacionamento". Em formato de happy hour, foi criado especialmente para conectar profissionais de Cibersegurança em diversas capitais do nosso país;
• 22/02: Fortalsec (Fortaleza, CE) (*) - Terceiro ano desse evento, que promete várias palestras interessantes. Imperdível!!!

• Março/2025
  
  • 11 e 12/03: 2º Congresso de Prevenção e Repressão a Fraudes, Segurança Cibernética e Bancária - Evento organizado pela Federação Brasileira de Bancos (Febraban) com foco em profissionais de prevenção de fraudes dos bancos brasileiros;
  • 13/03: Security Bytes DF (Brasília, DF) (*) - Novo evento da Hekate em forma de "clube de relacionamento", em formato de happy hour;
  • 15/03: Hacking na Web Day Brasília (Brasília, DF) (*) - A primeira edição desse evento que começou como um encontro da comunidade, mas que já se tornou um excelente evento técnico e de networking;
  • 20/03: Security Leaders Brasília (Brasília, DF) - O Security Leaders inicia o ano com a sua versão regional em Brasília, DF. Segue a fórmula de focar em estudos de caso (associados aos patrocinadores) e painéis de debate - como eu sempre digo, com discussões superficiais, com muitos participantes no palco, não necessariamente especialistas no tema;
  • 22/03: BSides Rio de Janeiro (BSidesRJ) (@bsidesrj) (cfp) (Rio de Janeiro, RJ) - Primeira edição da BSides no Rio de Janeiro;
  • 22/03: TOSCONF[5] (cfp) (Campinas, SP) - Evento despretencioso organizado pelo pessoal do Laboratório Hacker de Campinas (LHC). Nasceu com a idéia de ser um evento simples, "tosco", mas que na verdade costuma trazer muitas palestras legais da comunidade de hackerspaces brasileiros;
• Abril/2025
  • 05/04: 0xE Hacker Conference (@0xehackerconference) (cfp) (Maceió, AL) - Segunda edição desse evento organizado pelo hackerspace local, o 0xE Hacker Club;
  • 09/04: Security Leaders Porto Alegre (Porto Alegre, RS) - O Security Leaders desembarca em Porto Alegre, em mais uma de suas edições regionais;
  • 10/04: Security Bytes Recife (Recife, PE) (*) - Novo evento da Hekate em forma de "clube de relacionamento", em formato de happy hour;
  • 12/04: Hacking na Web Day Recife (Recife, PE) (*) - Encontro da comunidade Hacking na Web, com conteúdo, experiências e networking;
• Maio/2025
• 05 a 09/05: LACNIC 43 (@lacnic) - Encontro anual do LACNIC, o órgão responsável pelo registro de endereços IP para a América Latina. Neste ano o evento vai acontecer aqui em São Paulo. Durante o evento, nos dias 07 e 08/05 também será realizado o encontro de segurança e CSIRTs, organizado pelo CSIRT LACNIC e tendo o CERT.br e o NIC.br como co-anfitriões ("LAC-CSIRTs meeting") (cfp); 
• 08/05: Security Leaders Rio de Janeiro (Rio de Janeiro, RJ) - O Security Leaders chega nas praias Cariocas com seus painéis e estudos de caso; 
• 16 e 17/05: CryptoRave (@cryptoravebr) (cfp) - Excelente evento gratuito sobre segurança e privacidade, com foco muito forte no ativismo digital e direcionado principalmente ao público leigo. O evento começa numa sexta-feira no final da tarde e avança noite a dentro, até final do sábado, com muitas atividades em paralelo. Como diferencial, a CryptoRave é organizada por voluntários e, principalmente, bancada totalmente a partir de financiamento coletivo (sim, eles precisam do nosso apoio!!!);

• 17 e 18/05:  Security BSides São Paulo (@BSidesSP) (cfp) (*) - Chegamos na vigésima edição da BSidesSP, com mini-treinamentos no sábado e um evento completo no Domingo, com diversas palestras, villages e competições. Evento gratuito, com muito conhecimento, diversão, e que você pode levar toda a família, com um público esperado de 2 mil pessoas. As inscrições costumam abrir no início de Abril, assim que é anunciada a agenda de palestras e atividades. Mas fiquem atentos, pois no ano passado as inscrições esgotaram uma semana antes do evento;

• 19/05: You Sh0t the Sheriff (YSTS) (@ystscon) (cfp) - O YSTS é um dos eventos mais importantes e mais tradicionais do nosso mercado, que se destaca pela qualidade das palestras e por ser um evento exclusivo para convidados dos patrocinadores, o que o torna muito concorrido. Quer um ingresso para ir no evento? Então envie uma proposta de palestras no Call For Papers (CFP) ou peça um ingresso para os patrocinadores;
• 22 e 23/05: Global Risk Meeting - Evento sobre Governança, Risco e Compliance (GRC) organizado pela Daryus;
• 26 a 30/05: 15º Fórum da Internet no Brasil (Salvador, BA) - Não é um evento de segurança, mas é um evento relevante (e gratuito) que merece ficar em nosso radar;
• 29/05: Sirena Conference (@sirena.conference) (*) - Novo evento, organizado pela Hekate, voltada para a conscientização sobre risco humano e cibersegurança. O evento vai trazer palestras, oficinas e painéis que discutem Engenharia Social, Prevenção de Fraudes e Cultura de Segurança da Informação, em duas trilhas de palestras;
• 29/05: Security Leaders Belo Horizonte (Belo Horizonte, MG) - O Security Leaders chega em BH, em mais uma de suas edições regionais
• Junho/2025
  
  • 05/06: Security Bytes Belo Horizonte (Belo Horizonte, MG) (*) - Novo evento da Hekate em forma de "clube de relacionamento", em formato de happy hour;
  • 07/06: Hacking na Web Day Belo Horizonte (Belo Horizonte, MG): Encontro da comunidade Hacking na Web, com conteúdo técnico e networking;
  • 10 a 12/06: FEBRABAN TECH - antigo CIAB, esse é um evento de tecnologia para o setor bancário organizado pela Febraban. O tem uma área de exposições gigante, que atraem grandes empresas de tecnologia e, claro, de segurança (física, patrimonial e cyber)
  • 11/06: Security Leaders Curitiba (Curitiba, PR) - Mais uma edição regional do Security Leaders;
  • 14/06: BSides VIX (Vitória, ES) (@bsidesvitoria) (cfp) - Versão capixaba da Security BSides, na verdade a segunda BSides brasileira!!! Eles tem uma grade bem caprichada de palestras e chegam neste ano na sua 4a edição;
  • 25/06: Security Leaders Florianópolis (Florianópolis, SC) - A bela Floripa fecha a agenda do primeiro semestre recebendo a edição regional do Security Leaders.

Além da lista acima, dos meus eventos favoritos e que considero mais relevantes, existem outros eventos no mercado que podem interessar ao pessoal, por exemplo:

• 10 e 11/04: IAM Tech Day

Tradicionalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas. Fique atento.

• 18 e 19 de Julho de 2025: CajuSec (Aracaju-SE)
• 28 a 30 de Julho de 2025: 13º Fórum Brasileiro de CSIRTs e 6º Workshop MISP
• 31 de Julho a 03 de Agosto de 2025: Hack Town (Santa Rita do Sapucaí, MG)
• agosto de 2025 (a confirmar): Congresso Internacional de Segurança Cibernética, Proteção de Dados e Governança de IA (FIESP)
• 05 e 06 de Agosto de 2025: Conferência Gartner Segurança & Gestão de Risco (São Paulo, SP)
• 13 de Agosto de 2025: Security Leaders Recife (Recife, PE)
• 14 de Agosto de 2025: Security Bytes Florianópolis (Florianópolis, SC) (*)
• 16 de Agosto de 2025: Hacking na Web Day Florianópolis (Florianópolis, SC) (*)
• 23 de Agosto de 2025: bxsec (Santos, SP) (*)
• 25 a 27 de Agosto de 2025: 15o Seminário de Proteção à Privacidade e aos Dados Pessoais
• 28 de Agosto de 2025: Security Leaders Salvador (Salvador, BA)
• 30 de Agosto de 2025: Human Risk Management Conference Brazil
• 01 a 04 de Setembro de 2025: XXV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg) (Foz do Iguaçu, PR)
• 08 de Setembro de 2025: Congresso de Direito Digital, Tecnologia e Proteção de Dados
• 10 de Setembro de 2025: Security Leaders Fortaleza (Fortaleza, CE)
• 13 de Setembro de 2025: XibéSec (Belém, PA) (*)
• 16 a 18 de Setembro de 2025: Fórum RNP (cfp) (Brasília, DF)
• 16 a 18 de Setembro de 2025: Mind The Sec (cfp)
• 17 a 20 de Setembro de 2025: TDC São Paulo (@TheDevConf) (cfp)
• 20 de Setembro de 2025: BSides João Pessoa (BSidesJP) (João Pessoa, PB)
• 25 de Setembro de 2025: Security Bytes Rio de Janeiro (Rio de Janeiro, RJ) (*)
• 27 de Setembro de 2025: Hacking na Web Day Rio de Janeiro (Rio de Janeiro, RJ) (*)
• 22 e 23 de Outubro de 2025: Security Leaders Nacional
• 23 de Outubro de 2025: Security Bytes São Paulo (*)
• 25 de Outubro de 2025: Hacking na Web Day São Paulo (*)
• 27 e 28 de Outubro de 2025: Cyber Security Summit (CCSB)
• 08 de Novembro de 2025: Nullbyte Security Conference (Salvador, BA) 
• 29 e 30 de Novembro de 2025: BHACK (@bhack) (Belo Horizonte, MG)
• 05 de Dezembro de 2025: Security Leaders Premiação

É muito importante termos eventos fora de São Paulo, para dar a oportunidade de formação de novas comunidades e capacitação profissional para pessoas de todos os lugares. Os eventos de comunidade tem um papel importantíssimo nisso. Sem dúvida o Hacking na Web Day e o Security Leaders são os eventos que vão atingir mais cidades em 2025, e merecem o meu parabéns pelo maravilhoso esforço de levar conteúdo para esse Brasil todo, não se limitando apenas a São Paulo. Veja o calendário resumido  de edições do Security Leaders, o evento que vai atingir mais capitais:

Eventos em 2026? Sim, já temos algumas datas (uma, pelo menos):

• 28 e 29 de Novembro de 2026: BHACK (@bhack) (Belo Horizonte, MG)

(*) Fique de olho pois a Hekate fez uma parceria com a Latam para oferecer descontos em vôos para os eventos organizados por ela, incluindo a BSidesSP, o Hacking na Web Day, o Hack in Cariri e vários outros.

Planeja ir em alguns eventos internacionais neste ano, se o dólar deixar? Os principais e mais interessantes eventos, na minha opinião, sempre foram os seguintes:

• 28 de Abril a 01 de Maio: RSA Conference 2025 (São Francisco, EUA)
• 22 a 27 de Junho: 37th Annual FIRST Conference (Copenhague, Dinamarca)
• 04 de Agosto de 2025: BRHueCon (Las Vegas, EUA)
• 05 e 06 de Agosto de 2025: BSidesLV (Las Vegas, EUA)
• 06 a 07 de Agosto de 2025: Black Hat US (Las Vegas, EUA)
• 07 a 10 de Agosto de 2025: Defcon 33 (Las Vegas, EUA)
• 02 e 03 de Outubro de 2025: 8.8 Matrix (Chile)
• 22 a 24 de Outubro de 2025: Ekoparty (Buenos Aires, Argentina)
• Em Dezembro, na semana entre o Natal e o Ano Novo, tradicionalmente acontece o tradicional Caos Computer Club Congress, na Alemanha.

Os eventos abaixo ainda estão sem data definida (entre parêntesis, indiquei o mês mais provável):

• Black Box Meeting (Brasília-DF) (@blackboxmeeting)
• Roadsec (Julho)
• CyberSecGO (@CyberSecGO/) (Goiânia, GO) (Agosto)
• HackBahia (Salvador, BA) (Agosto)
• RNPSeg (Setembro)
• Latinoware (Foz do Iguaçu, PR) (Novembro)
• H2HC (Dezembro)

Aproveite agora para já reservar sua agenda, planejar viagens, etc.

OBS:

1. Veja aqui no blog:
• Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2024;
• Reveja minha lista de eventos no primeiro e no segundo semestre de 2024;
• Descontos exclusivos para quem vem de fora para a Security BSides São Paulo 2025
• Um final de semana de CryptoRave e BSidesSP - a Lollapalooza da cybersegurança!
• O Manifesto da BSidesRJ
2. Olha que legal esse site com os eventos de segurança em um mapa: InfoSecMap;
3. Surgiram algumas listas novas de eventos de segurança, vamos ficar de olho:
• O Eduardo Fedorowicz mantém sua lista no Linkedin há vários anos: Eventos de Tecnologia (2025)
• https://linktr.ee/eventoscyber
• Lista de eventos em 2024 e 2025: Eventos de Segurança
• Lista de datas comemorativas e eventos de cibersegurança da Hekate
• Lista da Axur: 2025 Cybersecurity and Tech Events
• O Sickeira postou sua lista de Eventos 2025;
4. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com;
5. O site CTF Time possui uma lista gigante de eventos em todo o mundo que estão com a chamada de trabalhos (CFP) aberta.

Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só destaco os eventos que eu considero serem os mais relevantes para o mercado. Não incluo eventos organizados exclusivamente por fabricantes nem aqueles que eu acredito que possam representar um desvio da comunidade ou uma exploração financeira da imagem dos profissionais da área (nem eventos "de hacker" nem "de CISO"). Se algum evento não foi citado, ou é porque eu esqueci, não conheço ou porque considero que nem vale a pena escrever sobre ele.

PS: Post com pequenas atualizações em 03/02, logo após ter sido publicado. Atualizado em 05 e 07/02 (infelizmente a Hekate reduziu os eventos Security Bytes para apenas duas edições, em SP e Rio). Pequena atualização em 10 e nova atualização em 18 e 19/02, e em 17 e 19/03, em 02, 04 e 09/04.