[Segurança] H2HC Cancelada!

Depois de meses de espera e muita angústia para toda a comunidade de cibersegurança no Brasil, hoje finalmente saiu a triste notícia de que...

A H2HC foi cancelada!

Ao vivo, durante a /bin/live da Mente Binária sobre a Comunidade Red Team, o Ricardo Logan comunicou a decisão oficial da organização da H2HC: o evento foi cancelado e será realizado no ano que vem.

Ou seja, a H2HC resolveu tirar um sabático!

Para quem se planejou vir para São Paulo e participar da H2HC, estamos organizando a 307 Conference no mesmo final de semana da H2HC.

[Segurança] Dia Nacional da Proteção de Dados

Em 6 de novembro foi publicada a lei 15.254 que criou o Dia Nacional da Proteção de Dados, a ser celebrado, anualmente, no dia 17 de julho.

O objetivo é estimular o debate e a conscientização sobre privacidade e proteção de dados pessoais.

A data escolhida é uma homenagem ao jurista Danilo Doneda (1970-2022), referência no debate sobre privacidade e proteção de dados. Ele foi um dos principais formuladores da Lei Geral de Proteção de Dados Pessoais (LGPD) e integrou a primeira composição do CNPD.

Veja também:

• DOU 1 07/11/25 p. 1 - Lei Nº 15.254, de 6 de novembro de 2025
• Sancionada lei que institui Dia Nacional da Proteção de Dados
• Dia Nacional da Proteção de Dados é instituído por lei
• Aqui no blog:
• Datas comemorativas para conscientização sobre segurança
• Datas comemorativas sobre segurança

[Segurança] Teremos H2HC? Amanhã saberemos.

Hoje, domingo, às 16h50, o Filipe Balestra quebrou o silêncio e publicou uma mensagem sobre a realização da H2HC 2025, prometendo um posicionamento definitivo nesta segunda-feira, 17/11.

A mensagem surge após viralizar, nos grupos de telegram e whatsapp, um suposto site da H2HC.

Veja a mensagem na íntegra:

"Olá pessoal, vamos lá. Primeiramente fico muito feliz com a vontade de muitos para que o evento aconteça esse ano ainda. Apesar de eu ter reservado o hotel para realizar esse ano, a realização da H2HC em dezembro desse ano ainda não foi confirmada, mas ainda estamos avaliando as alternativas.

Quando fechamos a pré-reserva do hotel para dezembro desse ano, eu comentei isso com bem poucas pessoas e acabou vazando a data e local (obviamente que sem nenhuma maldade). Mas desde o início a ideia sempre foi buscar formas de aumentar o evento de tamanho, pois como sabem ano passado estava bastante cheio e limitamos as inscrições, o que mostra a força da comunidade que temos, pois praticamente no boca a boca a gente consegue fazer um evento acontecer.

Porém, até mesmo com a ideia de crescer o evento e precisar de um lugar maior, procurei algo para o primeiro semestre/26 e temos duas opções de lugares legais para fazer o evento, suportando mais villages, maior espaço para as villages que estão sensacionais, maior auditório, maior espaço para o CTF, dentre outras vantagens. Então por um tempo a ideia era não fazer o evento em dezembro (que apesar de ter o local, não divulgamos) para fazer daqui alguns meses em um lugar com mais estrutura para suportar esse crescimento.

Mas até mesmo por erro meu em não comunicar corretamente para a comunidade, principalmente depois do vazamento da data e lugar, e que pelo fato de termos realizado nos últimos anos em dezembro, algumas pessoas se prepararam para a H2HC em dezembro comprando passagem, preparando villages, dentre outras atividades e quando fui comunicar a todos do evento maior, imediatamente percebi que isso iria gerar uma frustração se o evento não acontecesse neste ano. E diversas pessoas, comunidades e empresas tentaram apoiar, como por exemplo criando sites provisórios para que o site oficial pudesse ser relançado (como esse comentado hoje nas redes sociais e que a intenção inicial era que depois poderia ir para o domínio oficial da H2HC).

Também falamos com diversas villages, sendo que temos villages suficientes para acontecer o evento em dezembro, mas no momento ainda não temos a confirmação de todos os palestrantes internacionais que acreditamos ser necessários para promover um evento com a qualidade que é a característica principal da H2HC.

Então, com o pessoal todo apoiando, comunidade, 307, amigos e empresas, estamos avaliando a viabilidade de lançar o evento em dezembro, de maneira gratuita nesse ano, suportado pelas empresas e organização, se conseguirmos confirmar os palestrantes para o track principal, que é a marca do evento H2HC.

Muito em breve (mais tardar amanhã) conseguiremos saber se podemos prosseguir com o nosso evento tradicional de dezembro ou se partiremos para uma edição maior dentro de em alguns meses."

Vamos aguardar as cenas dos próximos capítulos dessa novela. 

 

[Segurança] Novidades sobre a H2HC. Ou não? (com memes)

Hoje, domingo 16/11, a galera de cibersegurança acordou com os grupos de whatsapp e telegram bombando! Afinal... finalmente a H2HC foi confirmada?

Isso porque alguém achou "o site" da H2HC e a notícia viralizou: h2hc.io.

Mas, algo já aparece errado logo de cara: o site tem um botão de inscrições que leva para o Sympla, mas dá erro, surge uma mensagem de que o evento é inexistente.

A verdade é: a H2HC só será confirmada quando a organização do evento se pronunciar oficialmente - algo que até o atual momento não aconteceu. E a comunidade está há vários meses cobrando alguma informação :(

Eu troquei mensagens com o Balestra hoje de manhã, e ele me disse que uma pessoa criou esse site para ajudar e deixou pronto para caso o evento fosse confirmado, e aparentemente ofereceu para ele, mas esse nem é o site oficial do evento. E de alguma forma alguém achou e começou a compartilhar. Na verdade, tem pelo menos mais um site que criaram na tentativa de ajudar e ofereceram para ele, uma vez que há alguns meses o site oficial da H2HC está fora do ar.

Infelizmente essa falta de posicionamento, por tanto tempo, dá margem à essas confusões e essa ansiedade generalizada na comunidade de cibersegurança.

E a 307 Conference? O evento continua de pé, estamos com mais de 750 inscritos e mais de 20 propostas de palestras recebidas no nosso CFP. Mas, se a H2HC for confirmada, o evento imediatamente deixa de existir. E todos nós, que estamos na organização da 307, preferimos muito mais que tenha a H2HC - e estamos dispostos a ajudar em tudo o que for preciso para que isso aconteça.

O que aprendemos hoje, amiguinhos?

• Que .io não é site de hacker, é de faria limmer ;)
• Que é muito fácil fazer um phishing para pegar toda a galera de cibersegurança!
• E ainda bem que não criaram uma venda fake de ingressos.

[Ciber Cultura] A Teoria da Internet Morta

Os rápidos avanços da IA e a popularização do seu uso, no dia-a-dia (para o bem e para o mal), trouxeram a luz uma teoria da conspiração clássica, a chamada "Teoria da Internet Morta". A grosso modo, essa teoria prega que a maior parte do conteúdo circulando na Internet é produzido por robôs e pela IA.

O conteúdo indesejado gerado artificialmente pela IA já ganhou um nome: "slop". Esse termo é o equivalente ao tradicional SPAM.

Achei dois vídeos bem legais, do canal Ciência Todo Dia e da BBC, que explicam essa teoria. São vídeos curtinhos e que valem ser vistos:

O popular influencer brasileiro Atila Iamarino também tem um vídeo sobre o assunto.

Essa teoria da conspiração começou a circular em fóruns na Internet lá no final da década de 2010, alegando que, já naquela época, a maioria da atividade na Internet era feita por robôs, tais como bots nos comentários de posts nas redes sociais. Ou seja, era um conteúdo que representava um volume grande de mensagens, e que não foi criado por humanos.

Se isso já era discutido em 2010, imagina agora, com tanto conteúdo, como textos, imagens e vídeos produzidos pela inteligência artificial! Isso sem falar de bots, mensagens de SPAM, etc. Aqui mesmo, n blog, eu sou obrigado a restringir os comentários para evitar esses robôs, que há alguns anos atrás atacaram aqui o blog publicando dezenas de comentários em meus posts com propagandas.

Veja também esse vídeo do TecMundo: Elon Musk x Teoria da Internet da Morta: Twitter / X é o começo do fim da internet?

Para saber mais:

• Manifesto da Teoria da Internet Morta
• Reportagem da BBC News: A Teoria da Internet Morta está a caminho de se tornar realidade?
• Vídeo bem legal e didático do Pedro Loos: A Teoria da Internet Morta
• Vídeo da BBC News Brasil: A Teoria da Internet Morta está a caminho de se tornar realidade?
• O que é a teoria da internet morta e por que Sam Altman deu prazo de três anos
• Vídeo do Atila Iamarino também tem um vídeo sobre o assunto.

[Segurança] Novidades sobre a 307 Conference (com memes)

Mal anunciamos a criação da 307 Conference, um evento criado para quem pretendia participar da H2HC, e já temos novidades!

É com alegria e coragem que anunciamos:

• O João Vitor (@keowu) é o primeiro palestrante confirmado da 307 Temporary Security Conference, que acontece nos dias 13 e 14 de dezembro na capital paulistana. Ele é Sr. Security Researcher, atuando com pesquisa de soluções para análises de ameaças, crimes cibernéticos, fraude, lavagem de dinheiro e terrorismo. Para a 307 ele traz a palestra "Ryūjin - Aprendendo o funcionamento interno de ferramentas Bin2Bin para Obfuscação de Binários Windows PE x64".
• O registro GRATUITO para a conferência está aberto. As vagas são limitadas, então RUN, FORREST, RUN: https://307conference.eventbrite.com.br
• O evento tem um site: 307conf.com.br

Perguntas Frequentes (FAQ)

- Onde vai ser o evento?

Ainda não temos a confirmação do local.

- Como vou me registrar sem saber onde é?

Se a organização tá organizando sem saber onde é e o povo tá submetendo para o CFP sem saber onde é, por que você não pode se registrar sem saber onde é? Dá um voto de confiança para nós aí, po. Já organizamos conferências antes. Será na região metropolitana de São Paulo. Relaxa.

- Vai ter certificado de participação?

Sim, vamos imprimir alguns e a pessoa pega no dia do evento, bantando preencher o seu nome.

Memes?

Claro que já temos:

 

PS: Post atualizado em 12/11.

[Segurança] Queria ir na H2HC? Então venha para a 307 Conference!

Frente à incerteza de que teremos ou não a edição deste ano da Hackers to Hackers Conference (H2HC) e ao silêncio por parte da organização, várias pessoas da comunidade de cibersegurança se reuniram e decidiram organizar um pequeno evento para a mesma data que estava prevista a H2HC: 13 e 14 de dezembro desse ano.

Nasceu, assim, a "307 Temporary Security Conference" - um redirecionamento temporário da H2HC.

O evento acontecerá, portanto, nos dias 13 e 14 de dezembro, em um local aqui em São Paulo que será anunciado em breve (estamos aguardando a aprovação deles). A agenda também está em construção, mas certamente teremos pelo menos uma trilha de palestras, espaço para várias villages e um CTF.

Os ingressos serão gratuitos e as inscrições serão abertas em breve.

O evento está sendo construído colaborativamente e totalmente na base do voluntariado, sem qualquer patrocínio.

Não nos levem a mal: o objetivo não é substituir e muito menos tomar o lugar da H2HC. A H2HC é o mais importante evento da comunidade brasileira de cibersegurança, que formou e influenciou várias gerações de profissionais, pesquisadores e todos os tipos de hackers. Se hoje temos uma comunidade vibrante pelo país, isso se deve muito à H2HC. Não tem como substituir isso.

Nossa intenção é apenas oferecer uma possibilidade de receber todas as pessoas e comunidades que, durante vários meses, se planejaram para participar do evento. Sim, muitas pessoas se preparam o ano todo para vir para o evento e, inclusive, várias já compraram passagem aérea e reservaram uma hospedagem na cidade.

A 307 Conference está sendo planejada por várias pessoas da comunidade, incluindo os organizadores da BSides São Paulo, da BXSec e do You Sh0t the Sheriff.

Também não venham com mimimi: nós preferiríamos usar o nosso esforço para viabilizar a H2HC, mas a organização não aceitou nossos diversos contatos oferecendo ajuda. Por isso mesmo demoramos várias semanas para anunciar a iniciativa - o que estamos fazendo agora, faltando pouco mais de um mês para a H2HC. Além disso, se a H2HC acontecer neste ano, automaticamente a 307 Conference será cancelada.

PS: Quer saber o porquê do nome "307 Conference"?  Veja aqui.

Anote na sua agenda:

• 307 Temporary Security Conference
• Inscrições gratuitas: 307conference.eventbrite.com.br
• Quando: 13 e 14 de dezembro de 2025
• Call for papers (CFP): Acesse aqui o formulário
• Agenda em construção
• Local a confirmar

PS: Post atualizado em 10/11.

[Segurança] OWASP Top 10 2025

A OWASP  (Open Web Application Security Project) lançou ontem, 06 de novembro, a versão "Release Candidate" da nova edição do seu principal guia, o OWASP Top 10.

O OWASP Top 10 é a principal referência mundial sobre segurança em aplicações web! Ele foi criado em 2023 e a última versão corrente, de 2021, é a sua sétima versão.

O Top 10 foi criado para promover a conscientização para desenvolvedores sobre a segurança de aplicações web. Ele representa um amplo consenso da indústria sobre os riscos de segurança mais críticos para aplicações web, com orientações de como evitá-los.

Na versão 2025, a OWASP identificou as 10 principais categorias abaixo de riscos mais comuns no desenvolvimento de aplicações web:

• A01:2025 - Broken Access Control
• A02:2025 - Security Misconfiguration
• A03:2025 - Software Supply Chain Failures
• A04:2025 - Cryptographic Failures
• A05:2025 - Injection
• A06:2025 - Insecure Design
• A07:2025 - Authentication Failures
• A08:2025 - Software or Data Integrity Failures
• A09:2025 - Logging & Alerting Failures
• A10:2025 - Mishandling of Exceptional Conditions

Comparado com a edição anterior, de 2021, foram criadas duas novas categorias, houve uma consolidação  e algumas categorias tiveram apenas ajuste de nomenclatura. As novas categorias, incluídas no Top Ten:2025, foram a de "Software Supply Chain Failures" ("Falhas na Cadeia de Suprimentos de Software") (A03:2025) e "Mishandling of Exceptional Conditions" ("Tratamento Incorreto de Condições Excepcionais") (A10:2025) Segundo a OWASP, a categoria ""Software Supply Chain Failures" foi, de forma esmagadora, considerada uma das principais preocupações na pesquisa realizada com a comunidade.

O diagrama acima é um clássico, rs, ele sempre é feito para comparar as novas versões do Top 10 com a anterior.

A categoria  "Broken Access Control" ("Quebra de Controle de Acesso") (A01:2025) manteve-se como primeiro no ranking, considerado o risco de segurança de aplicativos mais grave. Os dados da OWASP indicam que, em média, 3,73% dos aplicativos testados apresentavam uma ou mais das 40 Fraquezas Comuns Enumeradas (CWEs) nesta categoria.

A versão OWASP Top 10:2025 RC1 está disponível no site da OWASP para comentários públicos, que podem ser enviados até 20 de novembro de 2025. Geralmente nessa fase são realizadas poucas mudanças da "Release Candidate" para a versão final - normalmente são feitos apenas ajustes no texto e na formatação do documento. Ou seja, é praticamente certo que os 10 riscos do OWASP Top 10:2025 já estão valendo, embora ainda não seja a versão oficial!

Para saber mais:

• Página do projeto OWASP Top Ten: https://owasp.org/www-project-top-ten/
• Última versão: OWASP Top 10:2021

[Segurança] A 8.8 Conference chega ao Brasil!

Nessa sexta-feira dia 14 de novembro finalmente acontecerá a primeira edição presencial da 8.8 Conference no Brasil!!!

A 8.8 é o maior e mais relevante evento de cibersegurança do Chile, que já existe há 15 anos, e eles tem edições especiais em Las Vegas e em diversos países na América Latina - México, Peru e Equador, entre outros. Em 2021, durante a pandemia de COVID, realizamos uma versão online do evento, mas agora a 8.8 chega presencialmente a São Paulo!

A 8.8 terá uma trilha de palestras onde cerca da metade dos palestrantes são da América Latina - destacando a diversidade regional do evento. As palestras foram escolhidas cuidadosamente para trazer um conteúdo inédito e de grande qualidade. O evento acontecerá no Novotel Center Norte (conhecido pela galera como "o hotel da H2HC", rs).

A agenda de palestras está disponível no site.

Aqui no Brasil, eu e a Cybelle estamos apoiando a organização do evento. A 8.8 Brasil tem o apoio da Manage Engine, Hackerone e Fluid Attacks. Ainda dá tempo da sua empersa patrocinar!

Venha fazer parte dessa edição histórica! Anote na sua agenda:

• Site: 8dot8.org
• Data: 14/11/2025 (sexta-feira), das 9h as 18h
• Local: Novotel São Paulo Center Norte
  Av. Zaki Narchi, 500 - Vila Guilherme, São Paulo - SP, 02029-000
• As inscrições são feitas pelo EventBrite

[Segurança] Teremos H2HC nesse ano??

Resposta (atualizado em 19/11):

Não!

Essa é a pergunta que toda a comunidade de segurança está fazendo há alguns meses e ninguém sabe sabia a resposta!!!

Assim que tivermos alguma novidade por parte da organização da H2HC, eu atualizarei o blog!

#oremos

Há pouco tempo atrás eu vazei qual seria a data da H2HC 2025: dias 13 e 14 de dezembro. Segundo as informações que recebi, o hotel (o Novotel Center Norte) foi reservado e parcialmente pago, então estávamos certos de que o evento aconteceria. Mas, desde então, houve um silêncio total vindo da organização do evento. O site ficou fora do ar. E todo mundo ficou sem qualquer informação.

A H2HC é o evento mais importante da nossa comunidade, que inspirou e formou várias gerações de profissionais. Por isso, sinceramente, estamos todos torcendo para que o evento aconteça e dispostos a apoiar no que for preciso <3

Spoiler alert: a comunidade está se organizando para que tenhamos algo legal acontecendo no final de semana de 13 e 14/12, mesmo que não seja a H2HC, rs.

PS (post atualizado em 10/11): Se você leu as letras miúdas, então não se surpreendeu com esse post aqui no blog: Queria ir na H2HC? Então venha para a 307 Conference!

PS/2: Post atualizado em 19/11.

[Cyber Cultura] RIP Rubens Kühl

Hoje a Internet amanheceu mais triste com a notícia da partida do Rubens Kühl, um grande colega e pessoa muito relevante nas comunidades de infraestrutura e segurança da Internet no Brasil.

O Rubens era um dinossauro, um dos técnicos quem, no nosso trabalkho de formiguinha do dia-a-dia, ajudou a construir a Internet Brasileira. Ele participou da criação do UOL, nos anos 90, que foi quando nos conhecemos. Depois ele passou por algumas empresas, trabalhamos juntos em um projeto no início dos anos 2000, e há quase duas décadas ele atuava no Nic.br.

Ele era um dos organizadores do GTER e GTS, o evento que sem duvida é o mais duradouro das comunidades de Redes e de Segurança. Sempre estava presente nesses encontros.

O Rubens era um profissional incrível, de uma inteligência e conhecimento técnico muito acima do normal. E, mesmo assim, um grande ser humano e ótimo amigo.

O Rubens tinha 55 anos, deixa a esposa e dois filhos. Minha sinceras condolências à família, demais amigos e colegas de profissão que tiveram a grande oportunidade de conhecê-lo.

Para saber mais:

• Nota de pesar: Rubens Kühl, gerente de produtos e mercado do Registro.br
• Veja essa entrevista dele em 2013.