Jump to content
Apoie a Mente Binária e ajude a garantir a disponibilidade de conteúdo de qualidade em português sobre computação e segurança!

News

Show all categories

Linguagem C ganha site oficial

Apesar de ter sido extensamente documentada em vários sites, livros, artigos e códigos-fonte espalhados pelo mundo, a linguagem C ganhou seu site oficial essa semana: c-language.org:

Captura de tela do website c-language.org em 11/03/2025
O site contém vários links para as definições do padrão da linguagem, livros, um vídeo do Brian Kernighan (que já entrevistamos no Papo Binário!) falando sobre a linguagem, uma bela FAQ e muito mais! Ponto para o Brasil na lista de comunidades ("community" no site), onde o grupo C/C++ Brasil está listado! 💚
O "atraso" de cerca 50 anos (55 se considerarmos o desenho inicial da linguagem na década de 70) é motivo de zueira na comunidade, mas uma zueira saudável, afinal C é ensinado até hoje nas universidades pelo mundo afora além de ser uma linguagem utilizada comercialmente (ao contrário do que muita gente pensa).
Esperamos que o site possa jogar uma luz sobre os novos recursos e as extensões da linguagem, talvez ainda subutilizados. Só para dar alguns exemplos:
#include <stdio.h> int main() { // Inferência de tipo - extensão do GNU C, mas o livro "Effective C" diz que tá na C23 também auto x = 3; // a variável x é int porque um valor do tipo int foi atribuído a ela printf("%i\n", x);// Prefixo 0b para literais e especificador de formato %b para printf() - C23 int y = 0b10101010; printf("%b\n", y);// bool como palavra-chave, sempre 0 ou 1 - C23 bool b = true; b = 2; printf("%i\n", b); // imprime 1}No site, C é apresentado como a língua franca das linguagens de programação, ou seja, o idioma comum entre programadores e programadoras do mundo inteiro. Nas palavras do site, algo como o latim foi na Europa medieval, o chinês no leste asiático ou o inglês é hoje no mundo corporativo. Ousado, mas quem afirma o contrário? 😄
 Em tempo, se você está estudando C ou pretende começar, te convido a fazer o nosso curso gratuito Programação Moderna em C. Nele você aprende vários conceitos importantes da linguagem e ganha uma base para computação em geral. O ambiente do curso envolve uma máquina virtual com Linux, mas nada impede de você segui-lo com WSL, no macOS ou mesmo no Windows com algum compilador C (CodeBlocks, DevC++, Visual Studio Community, etc), embora alguns exemplos precisem ser adaptados para serem replicados.
Agradecimentos ao Thiago Adams, do grupo C/C++ Brasil, por avisar no grupo que o site foi lançado!
Fernando Mercês

Conheça as pessoas que concluíram o Do zero Ao Um 2024

É com muita emoção que reporto a conclusão de mais uma turma do projeto Do Zero Ao Um, nosso programa de formação de pessoas negras para a área de segurança da informação. Estamos na edição número três deste projeto e estamos igualmente felizes com o impacto que ele tem gerado em nossa sociedade.
Foram quatro meses de muito aprendizado para nós e de muita entrega para os alunos e alunas do programa, que estudaram Introdução à Computação, Matemática, Windows, Inglês Instrumental, Programação, Soft Skills, Redes, Nuvem, Introdução à Segurança, Segurança de Redes e Data Centers, Segurança de Endpoints e Análise de Logs, totalizando 250 horas de estudo. Uma baita jornada, que exigiu um grande comprometimento de todos os envolvidos.
Falando nos envolvidos, formamos alunos maravilhosos, homens e mulheres negras que confiaram seu tempo ao nosso cuidado e com quem desenvolvemos relações permanentes de parceria. A equipe foi composta por:
11 docentes Mais de 20 mentores/as Equipe Mente Binária Essa galera super comprometida contribuiu para que as seguintes pessoas concluírem o curso com mais de 70% de aproveitamento:
Alex Rangel, de Porto Alegre/RS Amabelle Brena, de Aquiraz/CE Cesar Augusto, de São Paulo/SP Danilo Moura, de Sumaré/SP Davi Santos, de São Gonçalo/RJ Ednilson Calixto, de Pernambuco/PE Gabriela Ferraz, de Aquiraz/CE Gustavo Nunes, de Marabá/PA Italo Alexandre, do Rio de Janeiro/RJ Jamily Gonçalves, de Paulista/PE Kaique Sampaio, do Rio de Janeiro/RJ Leonardo Santos, de Pedras de Fogo/PB Louise Ferreira, de Mesquita/RJ Luã Moura, do Rio de Janeiro/RJ Marcela Apolinario, de Salvador/BA Marcelo Henrique, de Salvador/BA Marcio Ribeiro Dos Santos, de Praia Grande/SP Midian Brandão, de Itanhangá/RJ Natacha Cruz, de São Paulo/SP Patrick Dinganga, de São Paulo/SP Ricardo Barboza, de Vicentina/MS Vanessa Ferraz, de São Paulo/SP Wesley Cristian, de Itapecerica da Serra/SP Yuri Miranda, do Rio de Janeiro/RJ Agora a segurança da informação ganha mais 24 pessoas negras aptas a continuarem sua jornada na área, mas algumas delas precisam do seu apoio também (a maioria não está na área ainda)! Segue nossas sugestões para você fazer parte disso:
Fale na sua empresa sobre este programa e sugira que abram vagas de júnior ou trainee para receberem alguns dos nossos alunos e alunas. Se você é responsável por criar as oportunidades na sua empresa, considere receber as pessoas que formamos aqui! São maravilhosas e só precisam de uma oportunidade. Faça um post na sua rede social preferida linkando este texto para aumentar a chance de contatos profissionais que possam oferecer oportunidades. Adicione essas pessoas na sua rede no LinkedIn (links acima, no nome da pessoa). Se permita conhecê-las. 💚 Doe para o projeto do ano que vem. Gostaria de agradecer a todas as pessoas que se envolveram neste processo. Foi muito lindo e muito prazeroso fazer parte disso. E só foi possível graças a você que ajudou, que deu aula, assistiu aula, fez reunião, mentorou, coordenou, abriu sala, deu ingresso para evento, deu livro, doou seu tempo, doou dinheiro, promoveu, enfim, fez sua parte.
A Mente Binária é sobre isso mesmo. É sobre dar apoio, dar acesso, ir junto. Não há lugar melhor para estar do que no meio de gente boa e munida de boas intenções. Vamos em frente! E que venham as contratações e o Do Zero Ao Um 2025! 🙌
 
 
Fernando Mercês

Xô BoBus está de volta! #naopera

Brasil, fim da década de 90. A internet já oferecia muitos riscos aos nossos sistemas com Windows 95, 98 e Millennium Edition (ME), que poderiam ser facilmente invadidos por "hackers" (sempre eles). A maioria dos usuários de internet discada ou banda larga tinha um IP público direto no modem do computador, o que de fato os deixavam expostos. Às vezes bastava um pacotinho mal formado para desligar alguém da internet, técnica que ficou conhecida como "ping da morte". 💀
Pensando em tornar a internet mais segura, dois desenvolvedores brasileiros, "skymans" e "skull", criaram o Xô BoBus, um software escrito em Visual Basic 6 que monitorava as portas de rede no computador, avisava se alguém tentava conectar e derrubava o possível invasor. O software funcionou bem e se tornou bastante conhecido. Possui inclusive uma entrada modesta na Wikipédia. O nome do Xô BoBus vem de dois malwares conhecidos da época: Back Orifice (BO) e NetBus. A ideia era espantar estes e outros malwares, intenção que a interjeição "xô" comunica perfeitamente.
O Xô BoBus alertava se qualquer processo utilizasse bibliotecas para acesso ao rede ou abrisse portas e quem usava podia indicar um nível de confiança no processo, como mostra a Figura 1.

Figura 1 - Xô BoBus detectando o uso da Winsock por parte do próprio Windows
Havia muitos outros recursos, mas um dos mais legais era a monitoração "ativa" de portas. O Xô BoBus efetivamente escutava nas portas protegidas. Isso pode ser questionável, mas impedia que programas maliciosos o fizessem e também permitia que o Xô BoBus respondesse a tentativas de ataque (na verdade qualquer pacote enviado para as portas monitoradas). Na figura 2, enviei um texto com o netcat a partir do meu sistema principal para uma máquina virtual de Windows 98 SE com o Xô BoBus instalado. O software "segurava" a conexão e mantinha o atacante "preso" nela. Poderia até responder com uma mensagem. Genial.

Figura 2 - Xô BoBus neutralizando o "ataque" ❤️
Por admirar o trabalho destes dois, a um tempo atrás eu tentei contato via e-mail com ambos, mas o domínio xobobus.com.br estava fora do ar já. Foi aí que tive a ideia de registrá-lo com o objetivo de manter viva esta memória da internet brasileira. Então baixei o conteúdo do site de 2001 do Wayback Machine, dei uma modernizada no código usando o ChatGPT para reescrever os fontes em HTML5 e pus tudo no ar de novo, com todos os links funcionando, inclusive os de download do programa e atualizações.
O site segue o mesmo: xobobus.com.br, com os textos integrais, suporte a TLS e links ajustados.
Se você tem contato com um dos desenvolvedores, por favor fale com a gente. Eu adoraria conversar com eles num programa do Papo Binário e claro, transferir o domínio para eles se assim desejarem.
ATUALIZAÇÃO em 17/4/2025: Graças a um e-mail que recebemos do @felicary, um dos testadores do Xô BoBus, encontramos o desenvolvedor principal e gravamos uma entrevista com ele! Viva a internet! 😍
Em tempo, tem algum outro projeto brasileiro que você gostaria que não "sumisse" da internet? Conta aí nos comentários. 😉
 
 
Fernando Mercês

wget 1.25.0 lançado - saiba o que mudou

Ontem, 11 de Novembro de 2024 às 13h18, Darshit Shah anunciou na lista info-gnu:
Estamos felizes em anunciar o lançamento do wget 1.25.0, a mais nova versão estável deste utilitário essencial para transferências de arquivos via HTTP, HTTPS e FTP, os protocolos mais utilizados na Internet. O GNU wget é um software livre de linha de comando, amplamente usado por sua capacidade de ser facilmente integrado em scripts, agendado em cron jobs e operado em terminais sem suporte ao X Window System.
Mudanças Disruptivas
Essa nova versão traz duas mudanças significativas:
1. Remoção do Formato Abreviado de URLs HTTP e FTP: O formato abreviado, anteriormente desaconselhado, foi removido permanentemente. Isso significa que invocações como:
$ wget usuário:senha@servidor  agora resultarão em erro de URL. Usuários devem utilizar o formato completo:
$ wget http://usuário:senha@servidor 2. Leitura non-blocking de arquivos de entrada: Em invocações como:
$ print_urls | wget -i- o wget agora lê continuamente da entrada padrão (stdin) até que a outra extremidade do pipe seja fechada. Antes, o wget tentava ler tudo no início, fechava a entrada padrão e processava as URLs. Esse recurso não está disponível no Windows.
Além dessas mudanças, a versão 1.25.0 inclui várias melhorias de estabilidade e pequenas correções, com um total de 46 commits realizados por 3 desenvolvedores nas 35 semanas desde a versão 1.24.5.
Como Atualizar o wget no Linux
Para atualizar sua versão do wget no Linux, utilize o gerenciador de pacotes de sua distribuição. Por exemplo:
- Em distribuições baseadas no Debian/Ubuntu
sudo apt update && sudo apt install wget - Em distribuições baseadas no Red Hat/Fedora:
sudo dnf update wget Para compilar a versão mais recente a partir do código-fonte, acesse o site oficial do GNU wget e baixe o pacote tarball, depois siga as instruções de compilação.
Como Instalar o wget no Windows
O wget também está disponível no Windows através do gerenciador de pacotes Scoop (mas não tá na última versão). Siga as instruções abaixo para instalá-lo:
1. Primeiro, instale o Scoop, caso ainda não o tenha, executando o seguinte comando no PowerShell:
irm get.scoop.sh | iex 2. Em seguida, instale o wget usando o Scoop:
scoop install wget Após a instalação, o wget estará disponível para uso diretamente no terminal. Quem usa Chocolatey ou winget (conheça-o no artigo Windows 10 para hackers), o wget tá neles também.
Agradecimentos
Agradecemos aos colaboradores que contribuíram para essa versão:
Darshit Shah (13 commits) Sam James (2 commits) Tim Rühsen (31 commits) Confira o arquivo NEWS para um resumo completo das novidades (em inglês).
Tem também o wget2, que segue em desenvolvimento paralelo ao wget 1.x. Um dia vou testar e conto aqui pra vocês como usar. 🙂
 
 
Fernando Mercês

Mente Binária realiza encontro preparatório para professores da nova turma do Programa "Do Zero Ao Um"

No último dia 23 de julho, a Mente Binária promoveu um encontro online entre os professores do programa Do Zero Ao Um, com o objetivo de fortalecer os laços da equipe, alinhar expectativas e discutir métodos de avaliação para a próxima turma. A dinâmica, conduzida por @biancarvgarcia, diretora pedagógica da Mente Binária, foi dividida em quatro etapas, abrangendo a história do programa, a identidade dos educadores, os princípios que orientam a prática pedagógica e as formas de mensuração do aprendizado.
Histórias de Transformação
A primeira parte do encontro foi dedicada à construção de uma narrativa coletiva, onde os professores compartilharam suas experiências no programa. “É fundamental que a equipe se veja como parte de uma história maior, que não só transforma vidas, mas também desafia as desigualdades que ainda persistem na nossa sociedade,” afirmou Bianca Garcia. Os temas abordados pelos educadores incluíram a importância da formação técnica e comportamental, o impacto do projeto na vida dos participantes e a missão de oferecer oportunidades a grupos marginalizados.
Princípios Pedagógicos em Foco
Na segunda etapa do encontro, foram discutidos os princípios que norteiam o "Do Zero Ao Um". Inspirados por pensadores como Bell Hooks, Luana Tolentino e Philippe Meirieu, os professores refletiram sobre o papel da educação como ferramenta de liberdade e resistência. “Nossa prática pedagógica não é neutra; ela é uma resposta direta ao contexto social em que vivemos. Queremos que nossos alunos se sintam parte de uma comunidade que valoriza a diversidade e combate as desigualdades,” destacou Bianca Garcia. Os princípios do programa foram organizados em três dimensões: contextual, sociológica e pedagógica, com foco em um currículo que atenda às necessidades dos estudantes em múltiplos níveis.
Avaliação Como Parte do Processo Educativo
O terceiro momento foi reservado para uma discussão sobre as concepções de avaliação, inspiradas por teóricos como Bernard Charlot, Cope e Kalantzis. Bianca Garcia enfatizou a importância de um processo avaliativo que vá além da simples medição do desempenho. “A avaliação precisa ser um instrumento de aprendizado contínuo, um diálogo constante entre o educador e o aluno. Ela deve refletir a diversidade de nossos estudantes e promover um ambiente inclusivo,” explicou a diretora pedagógica. A equipe discutiu a aplicação de feedbacks personalizados, simulações práticas e atividades que estimulam o aprendizado "hands-on", além de destacar a importância da colaboração em grupo.
Preparação para a Nova Jornada
Ao final do encontro, os professores foram convidados a criar manchetes que sintetizassem suas impressões sobre o evento, como uma forma de avaliar a experiência coletiva. “Saímos desse encontro mais unidos e preparados para enfrentar os desafios que vêm pela frente. Estamos prontos para iniciar mais uma jornada de transformação social com a nova turma do ‘Do Zero Ao Um’,” concluiu Bianca Garcia. O programa continua firme em seu compromisso de oferecer uma educação significativa e inclusiva, e convida todos a se unirem a essa iniciativa.
Gabih Allves

CodeHERS une mulheres pela engenharia reversa

A primeira edição do curso de engenharia reversa exclusivamente para mulheres reuniu 20 profissionais de todo o Brasil para 16 horas de aula. Na visão da professora, uma turma de mulheres sedentas por conhecimento e, agora, empoderadas para dar novos passos em suas carreiras.
“Querer ser livre é também querer livres os outros”. Essa é uma frase famosa de uma das maiores expoentes históricas do feminismo, a filósofa francesa Simone de Beauvoir. Ela teve essa inspiração no seu livro mais famoso, "O Segundo Sexo", lançado há 75 anos. No contexto da vida dela, essa fala se refere ao relacionamento aberto que ela mantinha com o filósofo Jean-Paul Sartre, uma relação que durou 50 anos e chocava o povo da época.
Ainda que a frase reflita um pensamento dela sobre uma relação pessoal, a temática da liberdade foi a grande linha-mestra de todas as suas obras e ajudou muitas mulheres a se encorajarem para promover mudanças em direção à sua própria liberdade.
Trazendo para 2024, dá, tranquilamente, para pegar emprestada essa expressão tão verdadeira e colocá-la no contexto atual da mulher enquanto ser social. Qualquer mulher do século XXI que destrava algum nível significativo de liberdade, imediatamente tem vontade de que essa conquista chegue logo ao maior número possível de outras mulheres, afinal, “querer ser livre é também querer livres os outros”.
Pois é isso que está acontecendo, neste momento mundial, no Brasil, no mercado de cibersegurança. A vontade da Mente Binária de abrir novos caminhos nesse mercado uniu mulheres na criação do primeiro curso de Engenharia Reversa gratuito para mulheres, o CodeHERS!
A primeira edição aconteceu em julho de 2024, depois de meses de trabalho de bastidores sobre a abordagem do curso, o processo seletivo, a didática ideal etc. Foi assim que muitas mãos livres e libertadoras desenharam uma jornada de 16 horas para compartilhar os preceitos da engenharia reversa com mulheres que desejam projetar suas carreiras em direção à análise de malware: um comitê formado pela Gabrielle Alves, diretora financeira da Mente Binária, pela Gabriela Vicari, do conselho consultivo, pela Bianca Garcia, diretora pedagógica da Mente, pela Thayse Solis, analista de cibersegurança - red team, e professora convidada para fazer o CodeHERS acontecer, deu vida a esse projeto que apoia o espírito do nosso tempo: a liberdade, a inclusão e a equidade.
Em busca de diminuir as diferenças
Para se ter noção da importância de programas assim, na live de abertura da turma, a Bianca Garcia trouxe uma rica pesquisa sobre a mulher no contexto STEM (uma sigla em inglês para definir o grupo de disciplinas científicas, como ciência, tecnologia, engenharia e matemática). Ela levantou, entre outros fatos, que no Censo da Educação de 2018, as mulheres brasileiras ainda participavam com apenas 31% de presença nessas matérias STEM, em relação ao predomínio de 69% de homens.
Ou seja, por mais que mulheres como a Simone de Beauvoir estejam falando em igualdade de gênero há mais de 70 anos, ainda hoje, vemos esses números desbalanceados, o que pede para que a sociedade se mova em um grande processo inclusivo para impulsionar aquelas que desejam explorar seus potenciais nessas áreas ainda tipicamente masculinas.
Não basta lançar uma iniciativa, ela precisa fazer sentido
A coisa tem que ser feita com estratégia bem pensada, considerando as fragilidades do sistema atual, que ainda limita ou intimida a presença feminina num ambiente com maioria de homens - por mais boa vontade que haja até mesmo deles. Um exemplo de como isso é impactante aconteceu na própria Mente Binária: Recentemente, quando estava sendo lançada a nova turma do curso A Arte da Engenharia Reversa, percebeu-se que só havia homens inscritos. Imediatamente, tomou-se a iniciativa de financiar o sorteio de duas vagas afirmativas para mulheres. E o que aconteceu? Uma das sorteadas não compareceu e a segunda sorteada conseguiu participar de apenas metade do curso.
O que a equipe da Mente Binária observou dessa primeira iniciativa está nas palavras da diretora pedagógica Bianca: "Ficamos desapontados, mas isso nos fez pensar. Por que elas tiveram essa chance e não participaram? Poderíamos atribuir esse contexto a características individuais e causas isoladas. Mas decidimos voltar um pouco e pensar em como a sociedade trata as meninas engenheiras".
A experiência, então, levou o time a considerar o contexto feminino: mulheres ainda estigmatizadas no setor, muitas delas com horários restritos por terem que cuidar de filhos, ou familiares em geral, agenda com a casa (ainda uma tarefa que predomina sobre a mulher) e, assim, a decisão de fechar a agenda para estudar acaba perdendo a prioridade para uma fila de outras urgências.
Nasce o plano ideal
"O Mercês entrou em contato comigo com uma ideia germinal de um curso de Engenharia Reversa para mulheres, considerando que elas se sentiriam mais à vontade com uma mulher facilitando", conta a professora do CodeHERS, Thayse Solis, continuando: "Eu achei a ideia muito legal porque, de fato, ainda tem uma minoria feminina nessa área. E topei!".
A partir daí, o comitê de mãos libertadoras que já falamos lá em cima pegou firme a missão de entender como esse curso poderia caber na agenda feminina, como seria possível fazer a inclusão de mulheres diversas, como poderia reunir representatividades do Brasil inteiro, quais seriam os critérios para aprovação das vagas etc.
Lição feita, formulários prontos, vagas proporcionais à demografia de cada região do País e o resultado: para as 20 vagas disponíveis na turma, duas centenas de respostas de mulheres interessadas no CodeHERS. "Foi maravilhoso! Durante as aulas, cada uma que abria o microfone tinha um sotaque diferente!", lembra Thayse, comemorando que valeram todos os esforços em compor um curso diverso e possível para mulheres. "Temos relatos ótimos, de mães solteiras, mulheres em transição de carreira…", conta ela.
Ah, como foi pensado para mulheres com agendas de mulheres, ou seja, cheias de compromissos com os cuidados de outras pessoas, a primeira turma do Code Hers aconteceu em dois finais de semana, sábados e domingos, das 9h30 às 15h30, totalizando 16h de aprendizado, otimizando o tempo delas.
O sonho acontecendo
O que se viu nessas 16 horas foram mulheres autodeterminadas, sedentas por aprendizado técnico que as ajudassem a chegar aonde desejam. "Havia moças da área de física querendo mudar de área; Uma profissional experiente em segurança mas que nunca tinha lidado com engenharia reversa; Uma desenvolvedora que queria lidar com engenharia reversa em desenvolvimento; Mulheres mais jovens em início de carreira, e um ambiente livre de preconceito, com tranquilidade para aprender", lembra a professora.
Uma das coisas que surpreendeu a Thayse foi a força intencional de aprendizagem delas. "A hora que eu falei 'O próximo assunto é Assembly', esperava que todas torcessem o nariz, como é o padrão na hora de falar disso. Só que nessa turma, todas vibraram que íamos falar desse assunto", conta ela, lembrando do clima de interatividade no processo, em que cada sotaque que vinha do microfone trazia uma dúvida, uma ideia, uma alavanca de aprendizagem de todas.
Um curso e uma certeza que nasce
Direto de Camaragibe, uma cidade em Pernambuco, que fica a uma hora de Recife, a Maria Eduarda Pires, de 21 anos, enriquecia o grupo de sotaques da turma. Ela está entrando no sétimo período da faculdade de Ciência da Computação e faz 3 meses que está no primeiro estágio de trabalho de sua vida, na Bidweb Security, sediada em Recife. "Descobri a área de segurança sem querer e me apaixonei. Comecei a ir atrás de estágio na área, aí participei de uma imersão para mulheres na Bidweb. Foi uma semana de aprendizados, conheci pessoas e, quando surgiu a oportunidade do estágio, me candidatei e passei no processo", conta a estudante.
O CodeHERS também chegou a ela "do nada", através do post de uma amiga. "Fiquei muito interessada pelo fato de ser para mulheres e por ser de engenharia reversa. Eu tinha muito interesse, mas não tinha muita intimidade com o tema. No estágio, até conheci muitas pessoas que manjam do assunto, mas eu me sentia 'para trás'. Então esse curso chegou na hora certa", comenta Maria Eduarda.
Apesar da pouca idade, ela já sabe dos desafios de ser uma mulher em tecnologia e por isso valorizou uma turma exclusivamente feminina, num ambiente de trocas de experiências e de acolhimento: "Dá essa sensação de identificação".
Ela, que já tinha vontade de ingressar na área, usou o curso não só para aprender, mas para tomar decisões mais empoderadas, como ela conta: "Apesar de gostar de segurança, eu não tinha certeza de que era pra mim. E o curso abriu portas, eu realmente me vi mais apaixonada. É isso que eu quero estudar, aprofundar e trabalhar no futuro".
 
 
Quem viveu, viu
A Briggette Román, ou apenas Bri, era outro dos sotaques diversos da turma. Peruana radicada no Brasil há 5 anos, ela acaba de concluir seu mestrado em programação em redes pela UFRGS. Vivendo em Campinas, hoje buscando se inserir na área de segurança, ela viu no curso a brecha que procurava: "Já estava em contato com a Sabrina [fundadora da comunidade Menina de Cybersec que também influenciou na criação do CodeHERS, e quando apareceu o CodeHERS, eu fui com tudo", conta Bri.
"As explicações da Thayse eram muito didáticas, com muita paciência, com exemplos. Agora, com o curso, já tenho os passos iniciais para ter a curiosidade de como começar", ela diz, refletindo que a iniciativa do curso permitiu aliviar o sentimento de injustiça que ainda paira entre as mulheres nessa profissão. "Essa parceria que acabamos fazendo com as pessoas parece que fortalece. Temos uma comunidade para usar o material didático e responder dúvidas umas das outras", celebra ela.
Voltando à Simone….
Retomando nosso humilde empréstimo da frase de Simone De Beauvoir, que escrevemos aqui para você não ter que voltar lá para cima: “Querer ser livre é também querer livres os outros”... .todo esse movimento que o primeiro CodeHERS gerou na vida dessas pessoas faz justiça a esse pensamento. E a fala final da Thayse só reafirma isso:
"Acredito que abrimos portas para enxergar as possibilidades de uso da engenharia reversa por essas mulheres. Agora que elas se fortaleceram, mesmo que entrem numa turma mista (com homens), elas já estão fortificadas, com bases sólidas. As vejo com mais coragem de se integrar a esse mercado predominantemente masculino. E agora não precisam mais ter vergonha e já conseguem se posicionar mais firme. Poder promover isso de uma maneira técnica é muito emocionante, porque ainda é raro".
 
Aline Mayra

Essa tal carreira em Y, existe mesmo?

Temos médias e boas notícias para você, profissional de ciber segurança que se contorce quando pensa que um dia talvez precise gerir pessoas para crescer na carreira! Perceba que não temos más notícias! Vem que vai ser bom!
"Quem trabalha com segurança da informação tem que gostar de estudar!". Esse é o mantra do mercado de infosec, está na boca do mais junior ao mais sênior dos profissionais da área. A gente sabe que quem gosta tanto assim de estudar, vai acabar se tornando realmente fera naquilo. E quanto mais o tempo passa, mais estudo e mais proficiência. E quanto mais o tempo passa, mais maturidade nesse domínio e mais precioso - e caro - vai ficando o profissional. A profundidade do seu conhecimento vai se tornando rara entre os semelhantes e a sua importância na organização cresce.
Essa trajetória que parece uma linha reta e feliz, que concilia aprendizado e valorização infinitos, encontra diversos desvios e muros pelo caminho. Olhando para o pessoal de infosec, talvez a maior muralha para eles seja a temida "hora de virar líder". Afinal, enquanto o senso comum diz que "quanto mais alto seu cargo de liderança, mais importante você será", essas pessoas querem investir em fazer melhor aquilo que já fazem, sem ter de priorizar competências de liderança, que não estão no alvo do seu desenvolvimento profissional.
O que fazer com tantas horas-anos-noites-fins-de-semana de estudo na cabeça para se tornar um especialista, quando parte considerável do seu dia vai passar a ser consumido por um assunto completamente alheio ao seu universo de dedicação chamado: gestão de pessoas?
Pra começar: o que é mesmo a carreira em Y?
Apesar de termos nos acostumado a chamar de "Carreira em Y" a jornada profissional de quem escolhe o caminho da área técnica, a verdade é que, como a imagem da letra Y sugere, o termo indica uma bifurcação de possibilidades, como define o site da empresa de vagas Catho:
"A carreira em Y é o plano de carreira moderno, que abre duas possibilidades de promoções ao colaborador conforme seu perfil profissional, sendo elas para a parte técnica ou a liderança. Esse modelo foi desenvolvido a partir da percepção de que muitos profissionais eram promovidos, porém não se adaptavam à nova função. Ou seja, aceitavam a promoção por vários outros motivos. Dessa forma, a carreira em Y prioriza o desempenho e a aptidão de cada um."
Dito isso, podemos até continuar associando carreira Y com carreira técnica, no jargão popular, mas já sabemos a real definição sobre ela.
Seja uma peça-chave na empresa
A Viviane Sampaio, gerente de recrutamento para TI na Robert Half, traz as boas novas. Ela diz que é, sim, realista, um planejamento de evolução profissional que não leve para o caminho da gestão de pessoas, de negócios e de áreas. "O profissional de segurança pode virar um team leader ou tech lead e caminhar para se tornar uma referência técnica no time", observa.

Viviane Sampaio, da Robert Half: "Não se pode deixar o destino da carreira só na mão dos gestores. Se sentir que estagnou, é hora de conversar"
Viviane vai além: "Se é um profissional que se atualiza e que se faz visto e que participa de decisões de inovação, tem ainda mais espaço para crescer", indica ela, ao confessar que vê especialistas com salários mais altos do que pessoas em cargos gerenciais, "principalmente na área de segurança", ela frisa, apontando como motivo a escassez de mão de obra que se vê no mercado hoje. 
"Ele tem que se tornar uma peça-chave ali naquela empresa", aponta Viviane, que conversa todos os dias com candidatos e observa os pontos vulneráveis que podem afastar as boas oportunidades: "Muitas vezes a pessoa acha que não consegue crescer por não se tornar gestora, mas na verdade é falta de habilidade de comunicação, de relacionamento interpessoal, de sentir a dor do outro, de se aproximar de uma área para oferecer ajuda e, com esses movimentos, construir o reconhecimento da sua importância".
É aí que entram as notícias "médias": Ainda que a carreira técnica tenha horizontes floridos, a pessoa não vai poder desviar das habilidades relacionais e de se conectar com outras áreas da firma para fazer tudo isso acontecer.
Você: protagonista da sua carreira
A Viviane puxa o papo para algo que pode passar despercebido mesmo sendo importante. Quando ela sugere que o profissional cuide das suas habilidades de comunicação, que tente perceber onde sua ajuda pode ser necessária, ela está chamando essa pessoa para se apresentar, para entrar, de fato, em cena, e mostrar seu valor, utilizando o que sabe em prol de quem precisa ali dentro.
Soma-se a essas atitudes, a gestão da carreira em si: "Não se pode deixar o destino da carreira só na mão dos gestores. Pode chegar no gestor e falar das suas vontades. Assim como também deve buscar um mentor na empresa, colegas que você considere relevantes para sua carreira", encoraja ela.
Na visão dela, também é super pertinente puxar uma conversa franca com o gestor, para saber se o caminho que você tem em mente existe naquela empresa. "Não fique só esperando que o gestor diga que você está pronta para ser promovida. Se sentir que estagnou, é hora de conversar. Seja protagonista da sua carreira", aconselha Viviane.
Existe uma vida atrás daquele monitor
A Roberta Robert, Lead Cyber Security Engineer na ADP, é convicta em sua inclinação para a liderança técnica, e gabarita as recomendações da Viviane.
"Quando se fala em liderança técnica, é comum pensar numa pessoa isolada atrás de um monitor, quando, na verdade, pode ser uma das melhores mentorias que existem para os colegas. A gente cuida da carreira das pessoas que estão à nossa volta, mas sem fazer a parte burocrática. Eu consigo falar com a pessoa, acompanhar, passar as necessidades dela para o gestor, mas não tenho que gerir os projetos relacionados à parte de pessoas", conta ela, que há um ano e meio experimenta com gosto o papel de tech lead, unindo sua expertise técnica, com a esperteza de se contextualizar nos negócios da empresa.

Roberta Robert, da ADP: montou equipe técnica na qual atua como mentora, não lidera oficialmente e tem vagas abertas
Na empresa atual, Roberta teve a oportunidade de montar o time junto a um gestor. Nesse formato, ela se dedicava a perseguir o modelo técnico de equipe que considerava certo e fazia isso acompanhada de uma pessoa dedicada à gestão de pessoas. "Temos hoje 5 profissionais e estamos com 2 vagas abertas!", avisa ela.
Num papel em que ela concretiza a interface entre tecnologia e business, Roberta, de novo, mostra a vivência de todas as recomendações de Viviane, da Robert Half. Ela explica que os profissionais focados na estratégia de negócios sabem para onde ir, mas desconhecem os problemas que podem acontecer. "Aí as pessoas da área técnica é que vão conseguir pegar todas as preocupações da equipe e traduzir de forma objetiva para os decisores entenderem", conta ela, brincando: "A posição desse cargo, muitas vezes, é explicar pra área de business porque aquele jeito não vai dar certo".
Hoje aos 32 anos, Roberta  já colhe frutos de uma relativa senioridade mesmo sem gerir pessoas oficialmente, conquistada à base de posicionamento pessoal, abertura para lidar com outros times e muita mentoria. Aliás, ela não só recomenda que se tenha alguém mais sênior com quem conversar, como também já começa a fazer esse papel na vida das pessoas com quem trabalha hoje.
Perde-se um bom especialista e ganha-se um líder ruim?
Mario Maffei, gerente da divisão de tecnologia da Michael Page, lembra essa máxima conhecida por quem acompanha profissionais técnicos de diversas áreas e que, ao ser lançado no mundo da gestão, se depara com um planeta tão diferente daquele que está acostumado e que tanto gosta.

Mario Maffei, da Michael Page: "Hoje, uma certificação tem até mais valor do que um diploma de faculdade"
Ele reconhece a tendência crescente de profissionais optarem por se especializar em aspectos técnicos, em detrimento de cargos de liderança: "Tem muita gente super bem posicionada sendo técnica, com muitas certificações complexas, em inglês. Hoje, uma certificação tem até mais valor do que um diploma de faculdade, e demanda conhecimento prático", argumenta.
Por outro lado, ele faz um alerta: "Às vezes, a pessoa se vê como especialista, mas ainda não é. A certificação tem valor, mas, acima dela, está a sua experiência no tema", alerta o especialista em carreira, ao reforçar a necessidade de sempre conectar sua expertise com o problema que a empresa/cliente precisa resolver.
Ele finaliza com um lembrete que é uma boa dica: "As empresas estão sempre buscando profissionais que possam contribuir de forma significativa para o negócio, seja técnica ou estrategicamente".
Printe essas dicas, se quer uma carreira de especialista sem liderados ⬇️
Seja protagonista da sua carreira e busque oportunidades de crescimento; Fale inglês; Entenda seu momento profissional e o modelo de trabalho que deseja; Invista em inteligência emocional - você vai precisar dela para transitar bem com as pessoas em todas as áreas; Invista em constante atualização e conhecimento técnico. Esse é o seu maior - mas não único - ativo; Desenvolva habilidades de comunicação e conexão com o negócio da empresa; Tenha visão de negócio para entender como seu trabalho técnico impacta a empresa; Busque mentoria e networking com profissionais admirados. Q&A com especialista
A seguir, um bate-papo com alguém que vive a carreira de especialista e pode compartilhar os caminhos, escolhas e insights com quem quer um norte para essa importante decisão de vida: Daiane Santos tem 28 anos, dos quais 10 em TI, dos quais 6 em segurança. Na sua estrada, já atuou como AppSec, Tech Lead e MobSec (sua principal área de estudo), em empresas como Nu Invest, Nubank e Picpay. Hoje, ela é especialista numa outra fintech.

Daiane Santos: Minha maior lição foi não ter medo, e seguir de qualquer forma, entendendo que se eu recebesse um não, eu teria que me preparar mais para um sim.
Mente Binária: Fale um pouco de sua posição atual de trabalho.
Daiane Santos: Eu estou começando em uma nova empresa, depois de 3 anos trabalhando em uma fintech. Meu trabalho une várias partes, desde a parte ofensiva, fazer pentest em APK, aplicações e SDKs, bibliotecas, engenharia reversa, até a parte defensiva, de criação de ferramentas e correções que são voltadas a possíveis vulnerabilidades e falhas.
MB: Quando você percebeu que não queria desenvolver uma carreira que envolvesse a liderança de pessoas?
Daiane: Eu sempre gostei muito de trabalhar em equipe, adquirir conhecimentos e também compartilhá-los. Durante um tempo da minha vida, gostaria de seguir um futuro como líder e aceitei uma vaga de tech lead. Esse período me mostrou que gosto mesmo é da mão na massa, de discutir soluções a baixo nível, tanto no meu time, tanto com outros, estar nesse dia a dia. Eu amo ajudar as pessoas, e nunca vou deixar isso de lado, mas quero fazê-lo ainda sendo especialista.
MB: Como tem sido o caminho até aqui para consolidar sua carreira de especialista? Conte um pouco do plano que seguiu, considerando que outras profissionais podem ter esse caminho como inspiração. 
Daiane: No início, eu tinha vários roadmaps, mas acabou que a vida foi seguindo seu rumo e as coisas acabaram mudando… Sempre estudei muito, e acho que isso me ajudou e me ajuda até hoje. Eu trabalhei com games por 4 anos até migrar para segurança. Por influência de um amigo muito importante fiz a migração e foi minha melhor escolha.
Minha maior lição foi não ter medo, e seguir de qualquer forma, entendendo que se eu recebesse um não, eu teria que me preparar mais para um sim.
Na minha primeira semana como engenheira de segurança jr, o manager de segurança saiu e fiquei sozinha. 
Achei que isso atrasaria muito minha evolução, mas acabou me fazendo aprender muito mais rápido. Muitas vezes, as coisas saem do nosso controle, mas precisamos saber lidar bem com isso.
MB: Já rejeitou cargos de liderança por não querer subir na carreira da forma tradicional?
Daiane: Rejeitei alguns, inclusive em outros países, até aceitar uma oferta e entender que meu caminho era outro, como já imaginava.
MB: Quais características comportamentais você acredita que têm facilitado para você chegar aonde quer em termos de carreira?
Daiane: Acho difícil dizer. Vemos vários perfis diferentes em segurança, mas o que funciona para mim é resiliência e disciplina, e foi muito o que fiz desde o começo. Continuar na estrada e saber que um dia as coisas vão dar certo porque estou correndo atrás, mesmo cansada ou desanimada.
Outro ponto são as soft skills. Sempre procurei fazer bastante networking, conversar e conhecer pessoas, e comecei a palestrar logo que vi que tinha um conhecimento interessante. Isso abre muitas portas, seja em eventos grandes ou pequenos. É importante se fazer presente.
MB: Mesmo não liderando pessoas, como é a demanda de interação com outras áreas e pessoas dentro da empresa?
Daiane: A demanda de interação sempre é bem grande, por isso também acho importante a questão das soft skills. Quanto maior o seu cargo, mais pessoas virão falar contigo, e você precisa estar pronta para negociar com elas, apresentar projetos, discutir sobre questões técnicas dentro e fora do time. 
Quanto mais você sobe de nível, mais você se torna uma referência técnica ali dentro, então pessoas de vários contextos virão até você.
MB: Que conselhos daria para alguém que quer desenvolver uma carreira de especialista, ou seja, que não quer se tornar um líder de pessoas?
Daiane: Eu diria para quem quer trabalhar como especialista, ler o The Staff Engineer Path, justamente para ter certeza se é essa mesma carreira que querem atuar, assim como saber que, seguir uma carreira técnica é ter a certeza que você vai precisar estudar sempre. 
Tendo essa certeza, é só continuar. Muitas vezes você vai precisar de jogo de cintura para lidar com problemas, conversar com a gestão e até para priorizar problemas. Ter calma também é preciso na gestão de problemas ou incidentes.
MB: Em termos financeiros, concretizar uma carreira de especialista te fez ter de abrir mão de melhores salários ou não sentiu diferença nesse quesito?
Daiane: Sim, já precisei abrir mão de um salário maior, mas isso sempre depende de cada empresa. Fintechs tendem a ter os salários mais balanceados e justos, mas não é uma regra. Eu tive um downgrade ao sair da liderança e voltar como especialista.
MB: Quais os próximos passos que vislumbra para sua carreira?
Daiane: Eu pretendo seguir e criar projetos pessoais em paralelo. A ideia é ir estudando cada vez mais, até bem futuramente conseguir ser Principal Engineer em algum lugar legal e desafiador para mim. E espero que tenhamos ainda mais crescimento na área de mobile.
Aline Mayra

As minas de infosec

Se você é uma mulher interessada na carreira de ciber segurança, aqui tem preciosidades pra você. Se você já é uma mulher de cybersec, aqui tem grandes parceiras pra você. Se você é um homem de infosec, aqui também tem uma aula pra você. Se você não está em nenhuma dessas categorias, aqui tem lições de vida para todas as pessoas!
A vida de uma mulher fica bem descrita se a compararmos com uma montanha russa. Subidas quase sempre vagarosas e íngremes, curvas inesperadas, rapidíssimas passagens pelo topo, ladeiras que vêm do nada e te deixam em choque e começa tudo de novo. E isso vale para carreira, claro, e também para a construção de relacionamentos afetivos, relações com a família, cuidado de filhas e filhos, estudos e certificações, ciclo hormonal mensal - quem vive, sabe -, e muitas vezes a vida financeira também funciona assim.
Tudo isso pra dizer que quando o assunto é a emancipação feminina no mundo da ciber segurança, a coisa funciona num visual parecido, quer ver?
Por um lado, programas de vagas afirmativas ao redor do mundo têm acelerado a chegada de mulheres ao setor no mundo todo. 🚀 Por outro, a presença feminina ainda hoje é super tímida: 26% (abaixo de 30 anos), segundo o estudo sobre força de trabalho em ciber segurança do ISC2 de 2023 🥴.
Focando no Brasil, por um lado, no ano passado, saiu a lei de equidade salarial 😃, mas o Primeiro Relatório de Transparência Salarial divulgado esta semana mostrou que as mulheres recebem salários quase 20% menores que os dos homens 😠.
Sendo mais específica ainda, as quatro mulheres que ouvimos para essa reportagem são a pura esperança e inspiração sobre carreira bem construída em infosec 🤩, mas todinhas passaram (ou ainda passam) pelas inacreditáveis e altas muralhas do preconceito de gênero 😞.
Neste finalzinho do mês que enfatiza a luta feminina por igualdade, vamos dar voz a algumas das MUITAS mulheres que estão povoando o mercado de ciber segurança brasileiro. Nossa intenção é que você, mulher que está lendo esta matéria e está insegura na trilha de ingresso nesse universo, se sinta acolhida, compreendida e encorajada a dar passos firmes como os das nossas entrevistadas!
Pianista por hobby, Red Team de Alma

Thayse Solis - Cyber Security Analyst | Red Team | Computer Engineer | MSc in Informatics | CTF Player - GC Security: "Quando percebo machismo durante a entrevista, já vejo que não existe fit cultural comigo"
Às beiras de começar a dar aulas de engenharia reversa para mulheres no curso desta Mente Binária (em junho/24), a Thayse é daquelas que não pensa duas vezes antes de arregaçar as mangas para incluir mais mulheres no jogo. "Falta curso? Vamos fazer curso! Precisa melhorar o jeito de mandar currículo? Vamos ajudar! Faltam dicas para participar de entrevistas? Vamos falar sobre isso!", resume ela, quando perguntada sobre como enxerga a importância de mais mulheres se inserindo no mercado de infosec.
Ela é super ativa nessa missão e muito dessa fibra vem de ter tido de cortar muito mato para abrir caminho. Durante a faculdade de engenharia da computação, foi fortemente desencorajada a seguir na profissão por muitos professores que davam aula para uma turma de 40 homens e 2 mulheres, lá pelos anos 2014, ano em que se formou, aliás. "Comecei a internalizar esses comentários e acabei indo fazer bacharelado em piano clássico (uma paixão desde os 5 anos). Me formei e pensei em ficar na música, apesar de gostar da tecnologia", lembra Thayse, que não demorou muito nesse impasse. Vendo o quanto era também difícil viver da música, decidiu fazer mestrado em segurança e seguir adiante na área. 
"Comecei a estudar por conta e ir atrás de materiais, descobri as comunidades, de maioria masculina. Aí chegou o ponto em que eu vi que deveria começar a mandar currículo. No início era difícil, me inscrevia para vagas de pentest e recebia o espanto por eu ser mulher", conta ela. Perceba a montanha russa se mostrando de novo: o ato de liberdade de fazer uma escolha importante de rumo de vida é rapidamente cortado por bloqueios fundamentados em preconceitos.
Depois de 6 meses de currículos e entrevistas, Thayse consegue sua primeira vaga em infosec. "Passei por muitas entrevistas com homens me fazendo perguntas elementares sobre computação, sendo que a vaga era extremamente técnica", lembra ela, já escolada no mandamento Não se abalarás com posturas machistas. "Quando percebo durante a entrevista que a empresa é assim, já vejo que não existe fit cultural comigo. A gente encerra agradecendo e 'Até nunca mais'", sentencia Thayse, acrescentando: "E ainda aviso as outras profissionais mulheres sobre o perfil da empresa".
Mandamentos seguidos
Não se abalarás com posturas machistas - "Você tem que escolher não internalizar esses comentários. Não é pessoal, eles falam para qualquer mulher. Você precisa filtrar e não deixar isso te abater com perguntas e falas carregadas de preconceitos".
Focarás na habilitação técnica - "Procuro, quando vou dar aula ou atuar numa reunião, ter foco no aspecto técnico. Não me deixo influenciar pela questão de gênero. Se quero igualdade, não posso assumir uma postura em que a minha atitude exija uma diferenciação. Se quero igualdade, eu promovo igualdade", ensina a analista.
Terás coragem, mulher - "Precisamos sair daquela bolha onde nos sentimos inferiorizadas. O mundo está mudando e se queremos igualdade, não podemos achar que somos menos que um homem. Nossas atitudes vão precisar de coragem".
Nunca pararás de estudar - "Não tem como prosperar, se você ficar satisfeita com o que já tem".
Aplicarás para vagas mesmo sem ter 100% dos requisitos - "Não vejo as meninas se inscrevendo nem para vagas afirmativas. Pego como referência a minha própria relutância no passado. A gente faz uma lista de requisitos da vaga e se houver 1 em que você não for especialista, você não se inscreve. Isso precisa acabar".
Dicas práticas de Thayse
Comunidade Menina de Cybersec - não é só para mulheres, mas tem áreas exclusivamente femininas para trocar ideias, fazer perguntas, receber vagas afirmativas etc.
Vagas - A empresa onde Thayse trabalha, a GC Security, está com vagas abertas: 2 vagas para segurança ofensiva (red team), sendo 1 para nível pleno e 1 para sênior. 
Outras comunidades amigáveis para mulheres iniciantes: Guia Anônima e Alquymia (CTF)
"Até o início do ano, eu ainda dava aula de piano, mas agora quero me dedicar mais à segurança, com certificações, palestras e consolidar minha carreira. Sou apaixonada por música, mas o piano virou um hobby. Eu me encontrei na cibersegurança, no red team", finaliza Thayse.
5h de transporte público + estudo pelo celular = 1a. certificação

Alexa Souza - Co-Founder & CTO na ViperX: "Precisa ter o pé firme para manter suas decisões"
Em 2017, quando começou a jogar CTF, a Alexa não imaginaria que, em 2024 teria feito sua transição de gênero e seria sócia e CTO numa empresa de pentest. Mas é exatamente assim que ela está hoje.
Entre os mantras que ela ensina, já pode anotar dois: 1) Pense bem antes de falar e seja firme para manter o que disse. 2) Esforce-se muito, mas nunca perca de vista o cuidado com a sua saúde mental.
"Eu morava no Rio de Janeiro, em Belford Roxo e, com uns 17 anos resolvi sair da rua para fazer esforços e ajudar meus pais. Consegui um emprego que levava 2 horas e meia para ir e 2 horas e meia para voltar. Com essa viagem, conseguia estudar pelo celular e foi assim que consegui minha primeira certificação", lembra Alexa, hoje com 24 anos, morando em São Paulo, tocando um time técnico em expansão.
Tendo passado por uma tonelada de situações difíceis, preconceitos, decisões delicadas, solidão e autocobrança, é claro que ela teve que parar para cuidar de sua estrutura mental e emocional nesse caminho. Mas o que ela gosta de deixar mais forte na sua fala tem a ver com seguir progredindo nas suas habilidades técnicas e profissionais muito acima de jogos de poder ainda comuns no mundo em que vivemos. 
"De 2017 pra cá, muita coisa mudou: o ingresso de mulheres em TI e segurança aumentou. O mercado está observando a qualidade técnica das pessoas e não só o gênero. Vejo mais importância sendo dada ao que a pessoa consegue entregar, a como ela atua. Por isso, temos de estar atentas à nossa condição de entrega, mais que tudo", ensina.
Mandamentos seguidos
Terás pé firme em suas decisões - "Você tem de ter o pé firme para lidar da forma que você precisa lidar. Quando você fala 'A', tem de ser 'A'. Não dá para falar duas coisas diferentes. Mulheres, infelizmente precisam estar duas vezes mais atentas com tudo, com o cliente, com o time etc."
Vencerás a diferença salarial com sua qualidade técnica - "Ainda existe uma diferença salarial, sim. Mas se você tem qualidade, você será uma pessoa cobiçada no mercado, principalmente em red team".
Não farás somente o básico - "Dedique-se mais do que o normal. Ganhar a competição por um cargo vai passar por qualidade técnica, texto impecável, apresentação pessoal e autoconfiança".
Cuidarás do seu psicológico - "Se você conseguir medir bem, conseguirá entender a velocidade ideal para correr na direção certa e não bater no muro. Vai se dedicar, vai estudar por anos, mas vai fazer isso sem perder de vista a sua saúde mental".
Errarás, mas corrigirás - "Precisamos pensar muito antes de tomar uma decisão e, ainda assim, pode dar errado. Se errar, assuma e corrija o erro".
Lá nas 5 horas de transporte público diárias do começo da carreira, Alexa lembra de estudar muito os conteúdos da Mente Binária, que, segundo ela, estruturam o seu caminho até aqui. E daqui para o futuro: "Hoje sou líder de red team e quero levar a pesquisa brasileira para o mundo. Quero mostrar que o Brasil também faz esse tipo de coisa e que deve ser levado a sério".
Equidade à vista!

Giovana Assis França - AppSec Tech Manager Nubank: "A primeira vez que tive uma chefe mulher foi algo mágico. Olhar alguém parecida comigo, assertiva, e ver que isso não era um problema foi fundamental".
Quando ela assumiu como AppSec Tech Manager no Nubank, o time era 100% homens + ela. "Hoje estamos meio a meio", conta Giovana, apenas dois anos depois de assumir o cargo.
Se não fosse um futuro todo para sedimentar pela frente, daria vontade de dizer que ela vive o sonho da equidade de gênero hoje. Seu time é diverso - e isso inclui o apoio total dos homens do grupo -; seu salário foi devidamente ajustado ao valor pago a homens que desempenham a mesma função na empresa (por iniciativa do seu gestor); ela tem autonomia (e usa) para abrir vagas afirmativas para grupos subrepresentados; e seu ambiente de trabalho é inclinado à regulação de tratativas tóxicas, microagressões etc.
Esse combo do bem vai possibilitar, "provavelmente ainda este ano", a promoção de uma mulher, que não tinha experiência alguma em segurança, contratada pela Giovana no programa Hack Her Way. "É visível o desenvolvimento dela e o que eu sei que ela ainda vai atingir", reflete Giovana, contando que sua contratada se formou em desenvolvimento de sistemas, estuda engenharia reversa, segurança e soft skills. "Ela chegou insegura, sem confiança na própria vivência de mercado, tendo passado por situações de assédio em outras empresas. A transformação dela é evidente e a contribuição dela vai além do nosso time, as opiniões dela fazem a diferença", comemora a especialista.
A situação da Giovana é algo a se comemorar mesmo, porque enfatiza como a dedicação conjunta de pessoas e empresas e a atualização cultural com os novos paradigmas sociais geram, necessariamente, mais empoderamento real e espaço de crescimento para além de grupos hegemônicos.
Outra boa notícia dada pela Giovana é que ela está construindo seu time dos sonhos, e que ele não é composto só por mulheres, claro, mas por homens que estão tão engajados quanto ela em montar um time diverso e, portanto, rico. "Os homens do time sempre apoiaram as vagas afirmativas. Eles entendem a importância dessa diversidade, em que o principal ganho principal é na variedade de formas de pensar", enfatiza ela.
Giovana lembra que na época do time essencialmente masculino, os caminhos tomados tendiam a ser sempre os mesmos. "Com a vinda das meninas, mudou tudo. No primeiro mês, uma delas já trouxe um jeito novo de lidar com uma situação específica que gerou vários ganhos, ela trouxe uma visão holística para aquela situação".
Ela conta ainda sobre um valor sutil e tão importante que as mulheres do time vêm trazendo, que é sobre dispor as soluções de formas que geram menos atritos relacionais. "Quando a gente precisa tomar alguma medida regulatória mandatória, isso pode gerar desconfortos nas pessoas. Uma das mulheres do time trouxe uma forma de fazer sem gerar atrito, ao mesmo tempo em que atendemos à meta regulatória completamente", celebra.
Mandamentos seguidos
Buscarás apoio - "A comunidade de mulheres em segurança é muito importante para gerar uma rede de apoio e suporte na carreira de todas".
Irás com medo mesmo! - "Não devemos deixar de concorrer a vagas por insegurança ou medo de não atender aos requisitos. Vá com medo mesmo. Deixe que eles falem se você tem o perfil ou não".
Terás uma fonte de inspiração - "Procure alguém em quem você se inspira, faça mentoria, tire dúvidas. A primeira vez que tive uma chefe mulher foi algo mágico. Olhar alguém parecida comigo, mais assertiva, e ver que isso não era um problema foi fundamental".
Dicas práticas de Giovana
Comunidade Fogo No Rabo - Para mulheres em segurança, mas é aberta a qualquer mulher interessada no assunto. O grupo tem em média 80 mulheres.
Desistir, jamais!

Dandara Jatobá - Offensive Security | Pentest na Bosch: “Qualquer trabalho que pareça um bicho de sete cabeças no início, uma hora vai ser mais natural, e você só vai viver esse momento se não desistir!”
Nossa entrevista por telefone precisou ser interrompida porque a Dandara estava no uber, indo de um compromisso para outro e nosso tempo ficou reduzido. Continuaríamos outra hora. Nos dias que se seguiram, ela, o marido e o filhinho ficaram doentes. Não bastando, estavam momentaneamente sem rede de apoio, o que a fez ter de dar conta dos cuidados todos e também dois novos projetos caíram no colo dela de uma vez. Nada de novo para quem vive no mundo das montanhas russas, não é mesmo?
E como todas as mulheres desta reportagem já deixaram bem claro, desistir não era uma opção. Conseguimos concluir nosso papo por whatsapp na última hora possível antes da matéria ficar pronta. E valeu cada troca!
Também do time ofensivo, Dandara está há 6 anos no mercado de cibersegurança e tem muitos "mandamentos" importantes a compartilhar, vindos de quem já passou pelos perrengues de ser mulher num ambiente masculinizado, mas que hoje também desfruta de uma condição mais igualitária para trabalhar e construir sua carreira. 
"Percebo que as pessoas mais antigas na área têm mais dificuldade em abandonar um comportamento hostil. Homens que entraram mais recentemente, conseguem trabalhar melhor com mulheres", observa Dandara, refletindo sobre seu histórico no setor. "Tem também a cultura corporativa. Tudo isso de machismo não é só um problema individual, o ambiente em que se está também incentiva um certo tipo de ação, mais ou menos hostil", complementa.
Apesar de ter sido contratada num processo seletivo convencional, ela reconhece sua atual empresa como uma corporação muito voltada à inclusão. "A empresa tem a preocupação de contratar mais mulheres para cargos técnicos, tanto que no meu time não sou a única mulher técnica. Minha gestora técnica também era pentester antes de ocupar esse cargo de liderança", conta. 
Dandara também já gabaritou a lista de injustiças de gênero: já descobriu que ganhava menos que seus colegas homens em cargos idênticos; já foi "encorajada" a desistir dessa carreira tão técnica; já teve seu conhecimento questionado; e já deixou de concorrer a vagas por se julgar menos apta do que realmente era.
Mas hoje ela está em outro ponto na rota da montanha russa. E com mais espaço para trabalhar, crescer e compartilhar bons conselhos, ela reconhece que as vagas afirmativas são um caminho vital para emancipar talentos femininos. "Essa preocupação em abordar diretamente mulheres e ter ações que buscam ativamente integrar mais mulheres entre os times técnicos são  extremamente importantes, até mesmo pra driblar a síndrome da impostora que pode bater", opina.
Mandamentos seguidos
Não desistirás - "Mesmo quando for frustrante, mesmo quando parecer que você não tem ideia do que está fazendo, mesmo quando outros tentarem te fazer acreditar que não é pra você, não desista".
Praticarás e prosperarás! - "Qualquer assunto que, no começo parece impossível de aprender, vai se tornar mais fácil. Qualquer trabalho, qualquer coisa que parece ser um bicho de sete cabeças no início, uma hora vai ser mais fácil, mais natural, mas você não vai ver esse momento chegar se você desistir".
Estudarás e estudarás e estudarás - "Mesmo que em alguns momentos você estude menos que em outros, nunca pare.  E fique atenta às necessidades do mercado. Quando comecei a trabalhar na área, decidi estudar pentest mobile porque percebi que na época ainda não havia muitas pessoas mexendo com isso. Felizmente eu não estava errada. Em muitos processos, o meu conhecimento em segurança mobile me destacou e me fez garantir a vaga. Mas não basta apenas ter um interesse superficial, é preciso se aprofundar!
Não serás convencida de que não podes - "Na nossa jornada profissional vamos conhecer muitas pessoas, muitas vão ser legais e vão te incentivar, outras, por qualquer motivo pessoal, não vão e ao contrário podem tentar te desanimar ou querer competir com você. Não dê ouvidos para essas pessoas, foco no seu objetivo, você é SIM plenamente capaz".
Não te tornarás dependente! - "Todos precisamos da ajuda de outras pessoas para nos ensinar, guiar e ajudar a expandir os nossos horizontes. Mas, à medida em que você for ganhando experiência, busque aumentar também a sua autonomia para pesquisar, experimentar, 'sujar as mãos' e aprender sozinha. 
Aprenderás inglês -  "A maior parte dos conteúdos de qualidade ainda são em inglês, embora isso já esteja mudando. Você ainda vai acabar perdendo uma fatia generosa de conhecimento se não dominar o inglês".
Dicas práticas de Dandara
LaurieWired - Ela grava vídeos para o canal dela no Youtube e é bem ativa no Twitter/X;
Azeria - Ela tem um livro muito incrível de ARM Assembly e Reversing e também costuma ser ativa no Twitter/X;
Maddie Stone - Tem vários vídeos e um treinamento sobre reversing de mobile Android no Youtube e também posta coisas bem interessantes no Twitter/X;
Lina - Ela posta artigos e análises técnicas muito brabas. No linktree dela tem muita coisa que ela já produziu para estudar.
"Minha recomendação é olhar para essas e outras mulheres que têm produzido muitas coisas incríveis em segurança e usarem o exemplo delas e o material que elas disponibilizam pra comunidade para um dia chegarmos nesse nível e podermos produzir e devolver pra comunidade com conteúdo técnico, mostrando que mulheres têm total capacidade de falar sobre temas técnicos e escovar bits", encerra Dandara.
Aline Mayra

Prontos para 2024?

Um professor, uma diretora de TI de empresa varejista e um diretor de TI de seguradora dividem suas visões sobre o ano novo, suas análises de 2023 e - o melhor de tudo - suas dicas para profissionais que querem se posicionar bem em 2024.
O ano novo chega e, com ele, a esperança de que as coisas ruins tenham ficado lá na noite de réveillon, e que as coisas boas magicamente se materializem logo nos primeiros dias deste ano novinho em folha. Por mais utópico que isso seja, é difícil não desejar pelo menos um pouquinho que isso seja assim, né? Mas para quem trabalha com segurança da informação, a verdade dolorida da realidade é 24/7, não tira férias nunca e está sempre pronta para nos surpreender novamente, correto?
O lado bom é que, como uma comunidade extremamente engajada e unida, as dores costumam ser bem parecidas e as soluções nascem com altas doses de colaboração. Pensando nisso, a Mente Binária foi atrás de ouvir representantes de alguns setores do mercado para entender quais foram os maiores pesadelos de 2023 - e que deveriam ter sido trancados lá - e o que podemos esperar deste recém-chegado 2024.
As guerras vigentes no mundo e a inteligência artificial são, sim, as donas dos holofotes, na visão dos nossos entrevistados. Mas o cuidado com as vulnerabilidades evitáveis também está com a audiência alta no radar desses especialistas.
Afinal, quem são eles? Vamos lá: a redação propôs contato com mais de 20 empresas brasileiras dos mais distintos segmentos da economia. Apenas 3 delas toparam abrir suas visões e compartilhar seus pensamentos sobre o mercado de infosec na atualidade.
Vamos conhecer, então, as opiniões de:
Fabiana Tanaka, diretora de TI da Leroy Merlin;  Robson Lyra, diretor de operações e tecnologia da seguradora Campemisa; Professor Marcelo Lau, coordenador acadêmico do MBA em Cibersegurança da FIAP. Nos recortes abaixo, nossos entrevistados vão contar sobre suas avaliações de 2023 e previsões para 2024! E ainda darão suas dicas pessoais para quem está buscando novas posições no mercado de cybersec neste ano!

MB:: Que balanço você faz da área de segurança da informação na sua empresa em 2023?
Fabiana:: O ano de 2023 na Leroy Merlin Brasil, testemunhou uma ampla gama de eventos e desenvolvimentos de cibersegurança, destacando a importância crítica de proteger ativos digitais e informações pessoais e sensíveis. Desde o surgimento de novas ameaças até a implementação de tecnologias inovadoras de defesa cibernética, o nosso balanço buscou oferecer uma visão detalhada do estado atual do ambiente cibernético de nosso ecossistema de lojas e matriz, nos permitindo criar um Plano Diretor muito detalhado em todas as camadas: rede interna, sistemas, webservices, produtos digitais (e-commerce, marketplace, PDVs, Self-checkout, Leroy Merlin Pay, ERP e outros), conscientização de colaboradores, investimentos racionais e sustentáveis, além da capacitação contínua da equipe de defesa ofensiva, por meio da criação de um laboratório de testes, ao qual nomeamos de Cyberlabs, composto por ferramentas de testes e uma operação de inteligência e aprendizado para robustecer a nossa resiliência. Este projeto nos rendeu três premiações em 2023, que foram durante o Congresso da Innovation Experience 2023 e o Security Leaders 2023 com duas premiações de líder e case do ano. Como resultado, criamos uma célula de CIC - Centro de Inteligência Cibernética, compreendendo equipes de Purple Team, que é a composição de um Blue Team (segurança defensiva) e Red Team (segurança ofensiva), que está sendo capilarizada e exportada para as demais unidade de negócios da holding, Grupo ADEO.

MB:: Qual foi o maior desafio de 2023?
Fabiana:: Em 2023, com diversos conflitos mundiais envolvendo interesses políticos e governamentais, com guerras inclusive cibernéticas, tivemos que adotar tecnologias emergentes para reforçar o monitoramento, observabilidade e inteligência para aumentar a nossa resiliência cibernética. O aumento de ameaças cibernéticas, com o tempo, tem evoluído em sofisticação e frequência. Empresas do varejo, em que a concorrência e o nível de exposição são altos, podem ser alvos de ataques como ransomware, phishing e outros.
MB:: Qual deve ser o maior desafio de 2024?
Fabiana:: Em 2024, a  privacidade dos dados dos clientes continua sendo uma prioridade, desta forma, daremos ênfase na proteção de dados através de ações robustas de cibersegurança. As regulamentações de proteção de dados, como o LGPD, Lei Geral de Proteção de Dados (Lei 13.709/2018) e leis similares em outros países como a GDPR na União Europeia, ao qual a nossa sede já atende a legislação, exigem que as empresas protejam adequadamente as informações pessoais dos clientes.
MB:: A solução para qual dificuldade interna em segurança estaria nos seus pedidos de Ano Novo?
Fabiana:: Paralelamente aos avanços, alguns desafios persistem na nossa população, que são os cidadãos brasileiros que compõem a nossa gama de clientes. A crescente interconexão de dispositivos, a complexidade das redes corporativas e as lacunas na conscientização dos colaboradores, clientes e parceiros de negócios, destacam a necessidade contínua de abordar questões fundamentais que permeiam a cibersegurança, especialmente em períodos festivos onde as vendas aumentam significamente pela procura por produtos, presentes e reforma dos lares para iniciar um ano novo renovado. Muitos ataques cibernéticos começam com ações inadvertidas de usuários. A conscientização e a educação dos funcionários e clientes sobre práticas seguras são contínuas e utilizamos todos os nossos canais oficiais para isso, pois são cruciais e fatores de sucesso contra ações fraudulentas, contudo muitas vezes dependemos do bom senso, do olhar crítico e analítico das pessoas. 
MB:: Se pudesse levar a 100% do potencial uma única habilidade no seu time, qual seria ela?
Fabiana:: Seria a autonomia responsável. Concedo aos membros da equipe um nível adequado de autonomia, pois tenho notado que esta prática promove a responsabilidade individual de líderes e liderados. Isso cria um ambiente onde cada membro se sente capacitado para contribuir de maneira significativa, e isso fomenta a uma cultura que valoriza a aprendizagem contínua, incentiva a adaptação a novos desafios e a busca constante por aprimoramento, além de dar sempre vida ao nosso Cyberlabs.
MB:: Que conselhos daria para um profissional de segurança em busca de colocação? 
Fabiana:: Buscar oportunidades na área de segurança não é uma jornada tão desafiadora para aqueles que realmente se interessam pelo assunto, pois com estratégia e preparação, é possível maximizar as chances de sucesso. Aqui estão alguns dos conselhos em lista, para um profissional que almejamos em busca de colocação:
Mantenha-se atualizado com as últimas tendências e tecnologias em segurança da informação; Destaque as habilidades técnicas em áreas como testes de intrusão, análise forense, gerenciamento de vulnerabilidades, gerenciamento de riscos cibernéticos etc; Construa uma presença online, ou seja, se foi chamado para uma conferência online, abra as câmeras e tenha uma postura adequada para se expressar. A comunicação eficaz e assertiva é um fator muito relevante. Além de habilidades técnicas, as habilidades comportamentais, como comunicação eficaz, pensamento crítico e resolução de problemas, são valorizadas; Tenha um perfil profissional no LinkedIn atualizado, destacando com clareza e sem forçar a "barra" sobre as habilidades, experiência e conquistas; Contribua para a comunidade de segurança participando de fóruns, blogs ou contribuindo para projetos de código aberto; Elabore um portfólio que destaque projetos significativos, desafios superados e soluções implementadas em trabalhos anteriores, isso demonstra iniciativa e descentralização de conhecimentos; Conheça as empresas para as quais está se candidatando. Demonstre como suas habilidades e valores se alinham com a cultura da organização; A ética é fundamental na segurança da informação. Mostre como considerar a ética em suas práticas e decisões profissionais; Por fim, a busca por oportunidades na área de segurança assim como em qualquer outro setor exige paciência e persistência. Estar preparado para aprender com as experiências, ajustar estratégias conforme necessário e continuar aprimorando as habilidades ao longo do tempo são caminhos de sucesso. MB:: Sua área está com vagas abertas? Para qual especialidade/nível?
Fabiana:: Estamos com o quadro completo, porém trabalhando sempre com a retenção e atração de talentos quando for preciso. A nossa presença no mercado, realizando trabalhos junto às comunidades científicas, de inovação, de diversidade, de cibersegurança e até mesmo de capital humano, nos garante responsabilidade e capilaridade para atração, pois cada setor que compõe os negócios das empresas é também responsável pela presença de uma marca empregadora.

Robson Lyra, da Capemisa: É preciso aprimorar a conscientização dos colaboradores em relação aos golpes e tentativas de phishing
MB:: Que balanço você faz da área de segurança da informação na sua empresa em 2023?
Robson:: Devido ao aumento progressivo dos ataques e incidentes cibernéticos que estão ocorrendo nos últimos anos, nós tivemos mais um ano de muito empenho das equipes para mitigar os riscos de segurança, gerenciar de forma mais eficaz as vulnerabilidades, monitoramento de indicadores de segurança. Além disso, seguimos na busca de soluções para nos proteger cada vez dos malwares, golpes e ataques massivos cada vez mais sofisticados que tem atingido muitas empresas globalmente.
 
MB:: Qual foi o maior desafio de 2023?
Robson:: Retenção e contratação de profissional de segurança.
 
MB:: Qual deve ser o maior desafio de 2024?
Robson:: Migrar o data center on premise para nuvem pública com um nível elevado de segurança.
MB:: Que assunto, problema, conceito, tecnologia ou dificuldade você gostaria de enterrar em 2023?
Robson:: Os profissionais de segurança de todos os segmentos precisam unir forças no combate aos ataques em massa que vêm ocorrendo globalmente. Assim como os hackers se organizam e têm sinergia nos ataques, nós, profissionais de segurança, precisamos da mesma estratégia para defesa e para a busca das soluções dos novos desafios de segurança.

MB::
A solução para qual dificuldade interna em segurança estaria nos seus pedidos de Ano Novo?
Robson:: Aprimorar a conscientização dos colaboradores em relação aos golpes e tentativas de phishing que estão sendo cada vez mais aperfeiçoados com apoio da IA e engenharia social.
MB:: Se pudesse levar a 100% do potencial uma única habilidade no seu time, qual seria ela?
Robson:: Comunicação.
 
MB:: Que conselhos daria para um profissional de segurança em busca de colocação?
Robson:: Procurar por empresas que se preocupem não só com processos e ferramentas de segurança, mas também com o bem estar e a capacitação dos seus colaboradores. Muitas empresas estão investindo pesado em soluções de segurança, mas o elo mais fraco tem sido as pessoas, que trabalham insatisfeitas dentro das corporações. Esses profissionais têm sido abordados para aplicar os golpes e conseguir credenciais para tornar vulnerável o perímetro de segurança das empresas.
MB:: Sua área está com vagas abertas? Para qual especialidade/nível?
Robson:: Estamos com 2 vagas em aberto, para infraestrutura (não é específico para segurança):
Arquiteto - Nível superior Técnico de Informática (Service Desk) - Nível superior Os interessados podem ficar atentos ao link https://capemisa.gupy.io/. Por meio deste canal, atualizamos sempre as nossas vagas.


Professor Marcelo Lau, da Fiap: Catástrofes climáticas devem obrigar as empresas a aprimorarem seus planos de continuidade de negócio
MB::⁠ ⁠Qual o balanço que você faz da área de segurança da informação no Brasil em 2023?
Marcelo:: O ano de 2023 foi repleto de desafios, tanto quanto às questões de atendimento às boas práticas de segurança, quanto às normativas, técnicas, legais e regulatórias. Incidentes tiveram grande repercussão e a tendência deve se manter, com destaque para os ataques baseados no sequestro de dados (ransomware).
Questões relacionadas à privacidade tiveram grande visibilidade no ano de 2023 através da divulgação de empresas que foram objeto de fiscalização. Alguns desafios fizeram parte do cotidiano do cidadão comum no que diz respeito à proteção de suas informações e respectivos dispositivos, fechando o ano com o lançamento do aplicativo Celular Seguro pelo Ministério da Justiça do Brasil.
2023 ainda foi desafiador para as empresas, que estão sofrendo um déficit de profissionais nesta área. Por outro lado, profissionais que buscam se especializar em segurança, ainda se questionam e têm dúvidas sobre quais as áreas de atuação que podem ter mais futuro.
MB:: ⁠Na sua visão, qual foi o maior desafio para as empresas e profissionais em 2023?
Marcelo:: Em 2023, os profissionais precisaram compreender em profundidade os problemas na área de segurança que afetam os negócios (produtos e serviços), já que ainda têm uma visão parcial sobre a forma como podem e devem se proteger dos ataques. Todas as empresas devem ter em mente que serão objeto de tentativas de ataques cibernéticos. O ponto importante é saber como elas e seus profissionais irão se comportar em condições como estas. Outro grande desafio foi saber aplicar as medidas em segurança sobre tecnologias emergentes, dentre elas a Inteligência Artificial, que começou a ser utilizada por algumas empresas que não se preocuparam com questões de segurança da informação nesta área.
MB::⁠ ⁠E qual deve ser o maior desafio para as empresas locais e para os profissionais em 2024?
Marcelo:: Em 2024, alguns aspectos regulatórios deverão estar presentes quanto ao uso de Inteligência Artificial, incluindo os relacionados à cibersegurança e à privacidade. A preparação dos profissionais e dos negócios sobre este cenário é imprescindível para que empresas possam manter sua competitividade, com o devido uso das tecnologias e com a devida segurança. Outro ponto importante é considerar que o aumento do uso de tecnologias que hoje estão presentes em ambientes domiciliares - como IoT (Internet das Coisas) - deve aumentar os desafios em segurança dentro das empresas, portanto ter negócios e profissionais preparados sob esta ótica, se torna algo imprescindível.
Ainda para 2024, espera-se que alguns eventos adversos desafiem a continuidade de negócios das empresas, dentre os maiores desafios estão as catástrofes climáticas, que precisarão entrar na agenda de cenários de desastres que irão obrigar as empresas a aprimorarem seus planos de continuidade de negócio.
MB:: ⁠Que assunto, problema, conceito, tecnologia ou dificuldade em cybersec você gostaria que tivesse ficado enterrado em 2023?
Marcelo:: Os conflitos estatais (guerras entre Rússia e Ucrânia, combate entre Israel e Hamas) certamente deveriam ser enterrados, pois além do uso dos meios bélicos tradicionais, todos utilizaram tecnologias que transformaram os conflitos em guerras cibernéticas, o que exige de nós um preparo para encarar um futuro desafiador.
Na verdade, o que eu gostaria de enterrar em 2023 são sementes de conhecimento sobre as mentes férteis que podem florescer, mentes destes profissionais que estamos plantando sementes de conhecimento hoje, para colher muitos frutos para uma sociedade mais justa e segura.
MB:: Se pudesse levar a 100% do potencial uma única habilidade nos profissionais de infosec, qual seria ela?
Marcelo:: Não creio que ter 100% de uma única habilidade nos faz profissionais diferenciados. Entendo que a harmonia entre as diversas áreas do conhecimento pode se tornar um grande diferencial. Mas, se eu tivesse que escolher entre as habilidades, aquela que visualizo como a que tem maior potencial é a empatia. Pois, diferente do que alguns podem considerar, o conhecimento técnico não é a habilidade mais importante de um profissional de cibersegurança. A capacidade de entender a “dor” de alguém ou de uma empresa quanto à sua necessidade de cibersegurança, nos permite ter o adequado senso de urgência daqueles que vêm pedir apoio para solucionar seus problemas.
MB::⁠ ⁠Que conselhos daria para um profissional de segurança em busca de colocação?
Marcelo:: Há a necessidade de estabelecer objetivos claros do que se pretende nesta nova colocação - objetivos bem traçados e planejados, de tal forma que possam ser conquistados dia a dia com muita disciplina, levando em consideração a capacidade constante de adaptação. Colocar-se ou recolocar-se exige conhecer o ponto de partida e o objetivo desta colocação, compreendendo a cultura da empresa pretendida, os sonhos a serem realizados e como você fará a diferença nesta empresa. Informar-se e manter-se atualizado com informações precisas e corretas, certamente será um diferencial para quem busca algo novo neste segmento de mercado.
Aline Mayra

Por dentro da carreira - e da cabeça - do analista de malware

Incansáveis e autodidatas nos estudos; gratos por natureza; bem pagos (pelo menos com possibilidade de); curiosos e determinados. Os detalhes de uma profissão em alta no Brasil e no mundo, pelo olhar do profissional e da indústria
Que tal uma carreira que pague muito bem, que não exija formação universitária, que permita o trabalho totalmente remoto, que seja de extrema utilidade para a sociedade, e que ainda possibilite trabalhar em comunidade, num fluxo de trocas com pessoas do mundo inteiro? Parece utopia, mas essas são algumas características da profissão de analista de malware, uma verdadeira joia rara no universo tecnológico atual.
A redação da Mente Binária conversou com profissionais da área e com um representante da indústria para mapear a quantas anda essa carreira ascendente - óbvio que nem tudo são flores -, que reserva muito espaço de crescimento para quem tem curiosidade e vontade de aprender constantemente.
"Eles estavam há cinco meses procurando alguém para a vaga e não achavam. O último ficou duas semanas e aceitou um convite melhor", diz José Silva*, nessa frase que resume todo o assunto. José, no auge de seus 20 anos, completa 1 ano como analista de malware de uma empresa de grandíssimo porte no Brasil, em formato CLT, 100% remoto.
Se você perguntar pra ele pra ele como ele chegou a conseguir um trabalho - e um salário (12k + benefícios e certificações pagas) - desejado por gente muito mais madura do que ele, ele vai responder algo assim: "Meu primeiro contato com segurança foi há 11 anos (ou seja, aos 9 anos de idade!). Eu mexia com coisas básicas de desenvolvimento, script simples, linguagem C e acabei encontrando um vídeo no YouTube sobre segurança e comecei a estudar", diz José, mostrando que se antecipou razoavelmente nos estudos da área.
Ele continua dando a pista do sucesso precoce que alcançou: "Na minha infância, meu pai sempre foi rígido sobre os estudos, então estudar já estava no meu estilo de vida. Aí eu achei um vídeo bem chamativo, 'como invadir um site'. Isso despertou minha curiosidade e eu nunca mais parei".
Foi assim que José - uma criança ainda - se embrenhou nos estudos da Engenharia Reversa e descobriu o CTF (Capture The Flag), seu grande aliado de carreira: além de adorar jogar o jogo, usava também como material de estudo e prática. Aliás, usa até hoje. Nas horas vagas é isso que ele faz: joga e aprimora seu repertório de soluções para usar no trabalho.
"Comecei a analisar malware por conta própria. Então, em 2021, conheci o Paulo Soares*, que também fazia engenharia reversa e, enfim, encontrei alguém para conversar sobre o assunto", lembra José. Um ano depois, Paulo - outro jovem de 23 anos - soube da vaga que José ocupa hoje e o recomendou.
Análise de malware exige compreender bastante coisa
Vamos, então, falar um pouco sobre Paulo e sua visão da carreira de analista de malware. Assim como José, não foi o estudo formal acadêmico que o colocou como um profissional de valor no mercado de segurança. Paulo trabalha com engenharia reversa e análise de malware há quatro anos, antes mesmo de completar 20 anos de idade.
Mas a baixa relevância da universidade na sua carreira não significa baixo nível de estudo. Muito pelo contrário. "Quem mexe com engenharia reversa tem que ter noção de arquitetura de computadores, de sistemas operacionais etc. A curva de aprendizado é difícil, comparando com Python. Não que seja fácil, mas, se comparar a curva de aprendizado de Python com Assemblying, com C, a abstração que essa linguagem dá é surreal", opina Paulo.
Tanto José, quanto Paulo enfatizam que conteúdos da comunidade, como viabiliza a Mente Binária, foram fundamentais para subirem sua régua de conhecimento. "Maratonei todos os vídeos do Papo Binário. Me encontrei ali. Paixão à primeira vista", conta Paulo. Ele e José já fizeram também todos os treinamentos de engenharia reversa oferecidos pela Mente Binária.
Hoje, Paulo está desbravando o universo da detection engineering. Numa empresa brasileira de grande porte, ele, hoje, realiza um trabalho tático e estratégico, gerando insumos para decisões executivas, detecção de ameaças, casos de uso e identificação de comportamentos, com ênfase em ransomware. Além disso, trabalha como free lancer para empresas estrangeiras em projetos de engenharia reversa.
Quanto ganham? Como trabalham? Recebem em US$?
Já que estamos poupando os entrevistados de terem suas identidades reveladas, ficamos à vontade para sondar seus salários e suas opiniões nesse assunto, já que estão o tempo todo sendo sondados por empresas locais e internacionais para suas vagas. Eis o que coletamos com nossas fontes:
"O salário é bom e ponto. Você não vai enriquecer, mas quanto mais experiente for, mais alto esse valor vai ficando", define Antonio Dias*, que está há poucos meses como engenheiro de pesquisa de ameaças sênior numa empresa norte-americana de segurança.
Antonio está neste mercado há seis anos e seu palpite é que o salário de um analista de malware no Brasil é similar ao de um especialista em outras áreas, ou seja, nunca abaixo de R$ 9 mil (pouco mais de US$ 20 mil/ano). "A média deve ser de entre 12 e 15 mil reais numa empresa brasileira, para uma pessoa que já tenha certa experiência no assunto, que não seja totalmente crua", opina ele.
Paulo, por sua vez, dá seu palpite sobre os ganhos de um analista de malware fora do Brasil. "Lá fora, um analista júnior ganha de US$ 90 mil/ano pra cima. Vi uma vaga para engenharia reversa junior no Google, on-site, em Cupertino (Califórnia/EUA) que era de US$ 140 mil/ano", conta. Na opinião dele, dentro das empresas de antivírus, que são as grandes contratantes desse tipo de profissional, o salário não fica abaixo dos US$ 150 mil/ano, traduzindo grosseiramente para mais de R$ 60 mil/mês…….
Mas não se engane quem acha que trabalhar para uma empresa internacional é fácil ou que seja a solução de todos os problemas. Nossos entrevistados são unânimes em dizer que as contratações de estrangeiros são mais raras e que o normal é que, mesmo se tratando de uma vaga remota, as empresas prefiram contratar pessoal local. "Geralmente exigem presencial ou híbrido e não pagam o visto ou seu deslocamento. No máximo, escrevem a carta de trabalho e você se vira com o resto", diz Paulo Soares*.
Antonio Dias, que hoje está numa empresa gringa, enxerga o mercado nacional como um polo ainda bastante fechado, sem grandes volumes de contratação. Daí a atratividade do brasileiro pelas oportunidades em estrangeiras. "Aqui a contratação é baixíssima, São pouquíssimas vagas e também pouca gente capacitada. Lá fora tem bastante", resume.
A charada difícil para uma pessoa ser contratada tem a ver com a dificuldade do trabalho X necessidade de experiência X escassez de pessoas especializadas. "Por ser uma área mais complexa, as empresas esperam essa complexidade do profissional. É raro a empresa topar contratar um iniciante, embora, na verdade, não exista analista de malware junior. Se a pessoa faz análise de malware, ela já não é iniciante, pela própria natureza da atividade. Ela pode ser mais ou menos experiente, mas já vem com muito conhecimento desde o início", explica Antonio.
Onde fica a Universidade no meio disso tudo?
100% dos nossos entrevistados não concluíram seus cursos de formação universitária, mas não se veem inimigos do ensino superior. Pelo contrário: reconhecem o valor, mas esperam mais da academia. Vale a pena conferir a íntegra de suas falas sobre o assunto:
"Tentei fazer ciência da computação (1 ano), mas o curso repetia tudo o que eu já tinha visto. Quando chegaram as linguagens de alto nível, comecei a achar entediante", opina José, aquele que começou a estudar segurança aos 9. Ele continua: "A faculdade é muito interessante, mas não da forma que ela é passada. Ela não passa o conteúdo explicando o seu uso, a sua aplicação. A teoria é importante, mas se não tiver a prática, fica monótono e você não vai saber agir com um caso real quando ele chegar", conclui.
Diante disso, José conta que está pensando em estudar Estatística. "Isso sim  pode me ajudar na engenharia reversa, no trabalho de descobrir vulnerabilidades no software e protegê-lo", planeja ele.
A visão de Antonio Dias é um pouco diferente. "No passado, eu tinha preconceito contra faculdade, por achar que não ensina nada sobre isso, mas tem uma exceção aí: Ela só não vai ajudar a ser um analista de malware, aquelas pessoas que já sabem tudo por fora. Mas se a pessoa não tem nenhuma afinidade com o assunto, a faculdade abre caminhos, é relevante para dar os primeiros passos, para entrar na área de tecnologia", avalia.
Apesar do curso não concluído de análise de sistemas, foi através da faculdade que Antonio se lançou no métier. "Um professor meu de redes me deu o caminho dos eventos. Meti as caras na H2HC (Hackers To Hackers Conference). Um pouco perdido, encontrei o Mercês (Fernando Mercês, idealizador da Mente Binária), assisti a uma palestra dele, comecei a interagir com ele e pedir dicas de estudo. E ele nunca mais soltou da minha mão", lembra o profissional.
Ele conta que, na época, fez o curso de engenharia reversa presencial da Mente Binária e "não entendi nem 50%, mas me apontou para muitas direções", brinca. Na sequência, começou a estudar e fuçar na internet, em blogs, vídeos, artigos, e muita prática. Quando fez a parte 2 do curso, já estava em outro nível de aproveitamento.
Ele reconhece, assim, que na análise de malware é preciso andar com as próprias pernas, já que a área envolve muito conhecimento integrado: base sólida de computação, algoritmos, programação em C/C++, estrutura de dados, redes, sistemas operacionais etc. "Tudo isso é necessário? Se você não tiver uma base sólida, você vai patinar 80% das vezes e vai travar frequentemente", opina Antonio, ao completar: "As travadas são por falta de conhecimento, na maioria das vezes. Mas uma vez que você já tenha uma base sólida, você vai cair cada vez menos e, se cair, você vai levantar mais rápido", orienta o especialista.
Quem disse que quem é de exatas não tem coração?
Um comportamento unânime entre os entrevistados - e de forma espontânea - tem a ver com gratidão. Todos eles reconhecem que nunca chegariam aos estágios atuais de suas carreiras sem a ajuda das pessoas e sem o suporte da comunidade. 
"Aprendi tudo com a comunidade, por quem eu sinto muita gratidão. Eu estou em dívida com a comunidade, porque se não fossem eles, eu não teria todo o conhecimento que eu tenho hoje. Isso ajuda muito quem está iniciando", reconhece José.
"Se não fossem as pessoas publicando e compartilhando, colocando à disposição, eu não saberia metade do que eu sei. Tive muita gente estendendo a mão para mim durante toda a minha jornada. Na H2HC conheci muita gente, no trabalho também. Não tem como não ser por conta disso. Isso é autossustentável, a gratidão é a coisa mais importante que existe", enfatiza Antonio Dias. "É muito raro uma pessoa aleatória da área não estar aberta a ajudar", conclui.
Devolvendo o aprendizado para a comunidade
Como não podia ser diferente, depois desse reconhecimento do crescimento conjunto, nossos entrevistados separaram dicas preciosas para quem está começando na análise de malware (mas vale pra muitas carreiras dentro e segurança, tá?). Vamos a elas:
Trabalho gringo | Se você quer trabalhar fora do Brasil, precisa conversar, ter amizade com recrutadores de fora. Dá para usar o LinkedIn para isso. Fazer posts, mandar um "oi", conversar como numa rede social mesmo, só que com empresas. Se achar uma empresa interessante, converse com o pessoal de recrutamento para entender e até indicar pessoas. Você acaba fazendo amizades e contatos importantes; Estude, estude e estude | Fortaleça toda base teórica de computação: arquitetura de computação, sistemas operacionais, processadores, linguagem Assembly, como o sistema operacional gerencia a memória do computador, como funciona por baixo dos panos. Quando você tem essa base, você consegue aplicar para coisas mais avançadas. Você consegue entender o que está acontecendo de fato. Pratique, pratique e pratique | O máximo possível. Você pode fazer CTF (Capture The Flag) para se acostumar a usar ferramentas, não só para competir. Analise os malwares que a comunidade coloca à disposição. Todo dia eu faço uma análise de malware. Mente forte | Você precisa se acostumar muito com a frustração e ser persistente. Ser apaixonado é quase uma exigência, porque, se não, você desiste. Mostre sobre você | Conhecer pessoas é importante, assim como compartilhar seu trabalho. A partir do momento que você está na comunidade, as pessoas vão saber seu nome, saber quem você é. E quando você cria um blog, compartilha suas ideias, todo esse esquema de aprendizagem junto é um jeito de chegar até a entrevista. Entrevista não é um monstro | Participei de algumas, tanto concorrendo a uma vaga, quanto contratando pessoas. Posso dizer com certeza que se a pessoa sabe o conteúdo de análise de malware dos cursos da Mente Binária de forma sólida, está bem preparada para entrar num cargo de análise de malware no Brasil ou fora. * Os nomes dos entrevistados até aqui são fictícios. Mantivemos suas identidades e empresas preservadas, afinal, o importante mesmo era o conteúdo de suas mentes.
Visão de quem contrata
De forma muito gentil, o Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, topou responder algumas perguntas que a redação enviou. Neste resumo da entrevista com ele, a ideia é entender a visão da indústria sobre os profissionais de análise de malware.
Quantos analistas de malware existem na equipe local hoje?
Fabio: Temos muitas equipes, com funções específicas. A equipe global envolvida apenas na análise de malware e desenvolvimento de tecnologias de detecções possui mais de 200 membros. A equipe global de threat intel tem mais de 40 analistas, com 6 na América Latina.
Em todas essas equipes, a análise de malware é o conhecimento básico para o desenvolvimento do trabalho diário.
Com relação à qualidade dos profissionais de análise de malware, são especialistas de contratação fácil ou são difíceis de encontrar?
Fabio: A contratação é difícil. Alguns mercados são mais fáceis, outros nem tanto. Uma posição ficou aberta por 13 meses, até encontrarmos o profissional ideal.
Uma vez contratados, como é para manter esses profissionais em casa? A concorrência é grande na disputa por eles?
Fabio: São profissionais bastante disputados pelo mercado, que recebem propostas de trabalho de outras empresas. Geralmente, esse tipo de profissional pode escolher onde trabalhar.
Como é o regime de trabalho na Kaspersky?
Fabio: Em nossa equipe, somos 100% remotos.
Como tem sido o processo de manter bons profissionais? E como fica a concorrência com oportunidades de trabalho no exterior?
Fabio: É importante oferecer um plano de carreira, desenvolvimento pessoal, trabalho em equipe, salário competitivo, além de um bom pacote de benefícios a fim de retê-los.
Existe um turnover alto desse tipo de profissional?
Fabio: Em nosso caso, não. Nos esforçamos para oferecer um ambiente de trabalho agradável e focado no desenvolvimento pessoal do analista. Em nosso departamento, a média de tempo de um analista na equipe é de, no mínimo, 8 anos. Temos profissionais com mais de 15 anos de casa.
No momento há vagas para analistas de malware em aberto na Kaspersky?
Fabio: Sim, nesse momento temos algumas posições abertas na equipe europeia (França) e asiática (Japão). Porém, é importante observar que damos preferência para profissionais locais, que morem nesses países. Apesar da equipe ser remota, acreditamos que o conhecimento e a presença de um local faz toda a diferença. Ninguém analisa malware chinês melhor que um analista da China.
Como é a questão da educação formal na área de tecnologia para contratações?
Fabio: Não exigimos uma educação formal para a contratação. Um candidato sem formação e outro com formação serão avaliados de forma igualitária. Como o processo de contratação envolve provas práticas, avaliamos o background do candidato e suas experiências anteriores na função.
Quais as características fundamentais para a contratação de um analista de malware, na sua visão?
Fabio: (1) Saber trabalhar em equipe; (2) Ser ético: jamais ultrapassar as linhas do que é certo; (3) Ter paixão pela área: entender que por trás de cada malware existem muitas vítimas e um malfeitor e que nós temos a missão de desvendar as ações do malware e criar proteção para quem confia em nossos produtos; (4) Ter vontade de aprender e crescer; (5) Ser humilde, entender quando está errado e aceitar sugestões vindas de colegas mais experientes; (6) Ser disciplinado, especialmente no trabalho remoto; (7) Ser fluente no inglês ou outros idiomas necessários, não só falado mas também escrito; (8) Saber escrever bem: de nada adianta fazer uma análise completa, sem saber colocar isso no papel. (9) Saber se comunicar: desenvolver a didática que lhe permitirá explicar assuntos complexos para leigos.
***
Fabio Assolini deixa uma última reflexão para os apaixonados pelo mercado de análise de malware: "Talvez você se pergunte: o conhecimento técnico não é importante? Sim, é muito importante, ele é exigido nas contratações. Porém, de nada adianta um analista completo na parte técnica, sem as qualidades descritas acima. Essas características se complementam. As soft skills, somadas à parte técnica, fazem o analista completo.
Lembrando que as inscrições para a turma de Novembro do nosso treinamento Modern Malware Analysis online estão abertas! Restam poucas vagas! 😉 
 
Aline Mayra

Tempest Talks: conheça um dos maiores eventos brasileiros dedicados à Cibersegurança e prepare-se para a próxima edição

Edição deste ano aborda as Jornadas de Inovação em Cibersegurança. Ainda não se inscreveu? Clique aqui.
No próximo dia 05 de outubro acontece em São Paulo a edição 2023 do Tempest Talks; o maior evento anual da Tempest também é um dos mais importantes eventos brasileiros dedicados à cibersegurança. A seguir, saiba mais sobre o evento e sobre as novidades desta edição.
O Tempest Talks é um evento dedicado às discussões que estão na vanguarda do mercado de cibersegurança
Criado como um evento voltado para a comunidade técnica de segurança da informação, o Tempest Talks evoluiu em sua temática para acompanhar as tendências de um mercado no qual os temas da cibersegurança gradualmente passaram a fazer parte da realidade de gestores, executivos e, mais recentemente, dos próprios membros dos conselhos das corporações.
Hoje, mais do que nunca, empresas de todas as verticais têm na cibersegurança um tema vital. Assistimos nos últimos anos à adoção acelerada de novas tecnologias que aumentaram a exposição dos dados de empresas e pessoas, e também ao surgimento de novas regulações e legislações que vêm atender a um momento histórico no qual a pauta da segurança cibernética é algo importante não só para os negócios, mas para toda a sociedade.
A Tempest sempre esteve atenta a essas tendências e movimentos do mercado e os palestrantes que já passaram pelo Tempest Talks refletem essa atenção.
Ao longo dos anos já passaram pelos nossos palcos 73 profissionais altamente qualificados de empresas de diferentes setores como Natura, Embraer e Gerdau, bancos como Santander, C6 e Safra, e entidades como o Banco Central do Brasil para apresentar temas diversos que vão dos riscos cibernéticos apresentados pelas cadeias de suprimentos, comprometimento de sistemas baseados em machine learning ou os desafios da interface entre cibersegurança e legislação. 
Neste ano, evento trata das jornadas de inovação em cibersegurança
Nos últimos anos o Tempest Talks evoluiu para adotar um tema central que propusesse aos palestrantes trazer ao evento discussões que estivessem na vanguarda dos desafios vividos pelas organizações, inspirados pelas suas próprias experiências.
Dando continuidade ao tema da edição de 2022, que tratou da Resilência em Cibersegurança - abordando a aplicação da prática da segurança à operação, visando uma postura de resiliência diante dos desafios apresentados pela evolução tecnológica -, o tema deste ano é Jornadas de Inovação em Cibersegurança.
Vivemos um início de ano com demissões em massa, reestruturação nas operações (especialmente entre empresas de tecnologia) e manutenção da tendência de adoção de novas tecnologias que pudessem agilizar e automatizar processos. A nuvem se torna cada vez mais essencial e a ela se juntam novas tecnologias como IA, 5G, e outras que contribuem para a expansão das fronteiras do negócio.
Para responder a esses desafios, o Gartner apontou como tendência para este ano a unificação de ferramentas de segurança, o Zero Trust aplicado ao gerenciamento de riscos e a automação de rotinas de segurança, tudo isso aliado à necessidade de uma proteção adaptável para a segurança de endpoints e workloads. 
Nesse cenário, a resiliência debatida no último ano depende cada vez mais de soluções de segurança inovadoras - onde inovação significa mais do que nunca soluções que operem em sintonia com o negócio, identificando gaps e deficiências para encontrar respostas plulgadas às realidades únicas de cada organização.
Clique aqui e inscreva-se no Tempest Talks
Tempest Talks traz novidades no formato, com duas keynotes na abertura e no encerramento do evento
Em 2020, por conta da pandemia, o Tempest Talks teve a primeira edição online, não-presencial.
O sucesso do formato inspirou uma grande mudança nos anos seguintes, com o evento sendo produzido de forma híbrida desde 2021. Desde então, atento às demandas do mercado por temas mais ligados à gestão, criamos duas trilhas de palestras, uma dedicada a temas mais técnicos e outra dedicada aos desafios da gestão de segurança e sua conexão com o negócio.
Em 2023, manteremos o formato híbrido, com duas trilhas mas, diferentemente dos outros anos, quando o Tempest Talks contava com uma palestra de abertura e um painel de encerramento, neste ano teremos duas keynotes, uma de abertura e uma de encerramento. 
Para isso convidamos profissionais de altíssimo gabarito no mercado de segurança da informação: Cintia Barcelos, Diretora de Tecnologia do Bradesco, e Cristina Cestari, CIO da Volkswagen, região América do Sul.
O lineup conta ainda com profissionais renomados de empresas do porte de MasterCard, Vivo, Banco BV e, claro, Tempest e AllowMe. Confira a programação completa.
Clique aqui e inscreva-se no Tempest Talks
Tempest Talks 2023: Programação
A programação desta edição conta com uma palestra de abertura, 8 palestras divididas em dois palcos e um painel de encerramento. Confira a seguir:
 
9h00  - Keynote de Abertura
Segurança em Cloud e Criptografia pós-quantum com Cintia Barcelos, Diretora de Tecnologia do Bradesco 
 
Palco CyberTech
09h50: A Evolução do Device Fingerprint na Proteção de Identidades Digitais, com Karisa Laxa – PM do AllowMe e Arthur Montenegro – Tech Lead de Data Science do AllowMe
10h50: Conhecendo o inimigo e as principais ameaças utilizando feeds de inteligência com Thiago Barros, Gerente de Cyber Security do Banco BV
11h30: Don't Let Me Down: como ameaças latino-americanas dilatam a vida útil de suas campanhas, com Carlos Cabral, Pesquisador da Tempest - EXCLUSIVO NA VERSÃO PRESENCIAL
Palco CyberBusiness
09h50: Cyber Business: Escalando a Segurança para o Negócio, com Bruno Moraes, CISO da Vivo - EXCLUSIVO NA VERSÃO PRESENCIAL
10h50:  IA Generativa: riscos cibernéticos e governança empresarial, com Rony Vainzof, advogado sócio na Vainzof, Lima e Karassawa
11h30: Data driven CRQ: quantificando e comunicando riscos na linguagem do negocio com Fernando Leitão, Director, Advisors Clients Services, Cybersecurity na Mastercard
12h10 - Keynote de Encerramento
Desdobramentos da IA na indústria e humanização da tecnologia com Cristina Cestari, CIO da Volkswagen para a América do Sul
Tempest Security Intelligence

Temos iniciantes em segurança para você contratar

Este mês terminamos a turma 2023.1 do projeto Do Zero Ao Um, que busca oferece um treinamento introdutório em computação e segurança para pessoas pretas.
Com apoio dos nossos mantenededores, Tempest Security Intelligence e Spod VPN, e nossos apoiadores e quem faz treinamento com a gente, nos dedicamos a 4 meses de estudo, onde demos 78 aulas, totalizando aproximadamente 240 horas de conteúdo. Mas não é o tipo de aula onde um fala e os outros ouvem não - tem muita prática, avaliações, trabalhos. É uma vivência mesmo. A turma estudou diversas matérias, dentre elas Introdução à Computação, Matemática, Windows, Inglês Instrumental, Programação, Leitura sobre temas raciais, Redes, Nuvem, Introdução a Segurança, Segurança de Redes, Segurança de Endpoints, Análise de Logs e Soft Skills, só para citar algumas. Foi uma jornada longa, mas muito bonita que trilhamos que juntos.

Alunos e alunas, professores e professoras, mentores e mentoras, equipe e todos os envolvidos são responsáveis por este sucesso. Mas o momento de comemorar, do nosso lado, ainda não chegou. O ciclo se completa quando vemos as pessoas que estudaram conosco sendo contratadas. E é aí que preciso de você: Se você quiser levar para sua empresa uma pessoa comprometida, que foi até o fim do nosso treinamento, sendo aprovada nas avaliações (fazemos três), e com percentual de presença e participação alto, temos várias possibilidades para você. São elas:
@allexmiranda10 de Valparaíso de Goiás/GO @aucoliveira de Caucaia/CE @Daniel Borges do Rio de Janeiro/RJ @daniellyzzz de Recife/PE @deividfrancaamaral de Maetinga/BA @g4bas de Atalaias/AL @guitere85 de Teresópolis/RJ @Heb1m de Vespasiano/MG @JEAN DUTRA SACRAMENTO de Fortaleza/CE @Jhonxxz do Rio de Janeiro/RJ @luislfpfelipe de Bauru/SP E temos mais se você quiser entrar em contato. 😉 
Então, se você precisa incluir pessoas na sua cidade, capital próxima, ou tem vaga home-office já manda uma mensagem direta. É só passar o mouse sobre nome da pessoa. 🙂
No entanto, atenção: não é para envolver essas pessoas em processos seletivos que não consideram a inclusão. A disputa com quem teve mais oportunidades na vida é desigual. A gente precisa que você as envolva no programa de inclusão da sua empresa, ou da empresa de amigo (caso não tenha um programa de inclusão, não tem hora melhor para criar um já com gente para ser incluída!). 😉 
Aqui na Mente Binária a gente prepara para que as pessoas sejam recebidas em futuros programas de inclusão. Não é dizer que em 4 meses formamos analistas de SOC ou profissionais de AppSec. Seria desonesto com você e com quem estudou com a gente. A verdade é que fornecemos uma base muito boa para que a pessoa seja inserida em programas futuros, seja para pessoas pretas ou não. Agora elas saíram do zero e foram para o um. Sua missão é levá-la ao dois. Posso contar contigo? 💚
 
 
 
Fernando Mercês

GambiConf: pra quem ama desenvolver projetos por pura curiosidade!

Se você é do time de desenvolvedores que ama elaborar projetos pessoais para explorar novos tópicos aleatórios pelo simples objetivo de saciar a sua curiosidade, este é o evento certo para você!
A GambiConf preenche uma lacuna nas conferências tech. Isso porque não foca em uma linguagem específica nem nas últimas novidades em programação e pesquisas acadêmicas usualmente úteis para a indústria.
Obviamente eventos com tais focos também são mais que necessários, mas a oportunidade para quem quer compartilhar suas conquistas e buscar pessoas com o mesmo hobby está nos dias 25 e 26 de novembro de 2023, na USP - Campus Butantã. 
Você já deve saber que projetos pessoais muitas vezes não são focados em serem úteis para a indústria, o que faz com que eventos mais sérios com esse foco sejam resistentes a aceitar esse tipo de palestra.
A própria tecnologia também dificulta falar sobre um tema aleatório, pois exige requisitos. Imagine que você queira falar sobre como construir um computador usando apenas água. Por essa ideia não estar relacionada a nenhuma linguagem de programação ou a algum ambiente como o acadêmico ou a indústria, essa talk que certamente pode ser bem divertida, ficará de fora.
É assim que a GambiConf vem preencher essa falta: oferecendo a você um espaço para falar para outros desenvolvedores curiosos sobre as suas ideias. Porque acima de tudo, esse é um evento que acredita que todos somos criativos e devemos explorar essa criatividade, mostrá-la e trocar ideias para ir além.
É sobre colocar o foco mais no aspecto lúdico dos projetos apresentados e em tudo o que podemos aprender com um tema aleatório ou com uma ideia pouco comum. O ambiente perfeito para se inspirar para o próximo projeto pessoal e ter com quem compartilhar a paixão de ser uma pessoa genuinamente curiosa!
O que mais torna a GambiConf diferenciada?
As palestras incomuns que são aceitas pela GambiConf são úteis para aprender um novo tópico. Por exemplo:
Uma palestra sobre como executar DOOM em um arquivo PDF pode abordar como o formato PDF funciona, suas especificações e outros formatos relacionados. Uma palestra sobre como fazer um chat web funcional usando apenas HTML e CSS pode abranger mais tecnologias web. Claro, existem eventos com propósito semelhante a esse, como é o caso da !!Con, um lugar para encontrar palestras divertidas e projetos pessoais malucos que surpreendem. Mas por lá as apresentações estão limitadas a 10 minutos. 
E é aí que entra outro grande diferencial da GambiConf: é possível aprender muito mais com um tópico aleatório que leva tempo para ser explicado com mais detalhes. É por isso que os palestrantes daqui têm a liberdade de decidir a duração da palestra. 
Como resultado, a GambiConf não se enquadra apenas em palestras curtas como as da !!Con, mas também em palestras que exploram um assunto mais amplo. 
Outro exemplo de evento assim é a SIGBOVIK, que é quando alguém leva a piada muito a sério. Eles publicam um “paper” com todas as ideias malucas e fazem um divertido “congresso acadêmico”. Os diversos assuntos apresentados neste evento têm um espírito próximo ao nosso.
E a GambiConf é uma mistura desses eventos, sem foco na indústria e direcionado para palestras 4fun, com horários flexíveis para os palestrantes abordarem o assunto até onde quiserem.
E como foram as outras edições da GambiConf?
Até o momento, aconteceram duas edições da GambiConf, uma online e outra em Portugal. Certamente o objetivo foi alcançado, tanto no aspecto de diversão como também em qualidade técnica. 
A primeira edição do evento no país, em 2021, foi online, com foco na audiência brasileira. É por isso que o mascote é um mico-leão-dourado.
Devido ao fantástico feedback positivo, os organizadores decidiram realizar, já no ano seguinte, uma nova edição, porém, testando algumas diferenças: apresentações em inglês, com um dia presencial em Portugal, e o dia seguinte online.
As duas edições foram um sucesso e levaram o evento à sua terceira edição.
Para inspirar você a participar da edição 2023, 100% presencial, elencamos algumas das talks que já rolaram e sintetizam o espírito da GambiConf:
Teoria e pesquisa na área da computação, cobrindo tópicos fora da caixa: Como fazer um computador usando água Criatividade computacional
  Projetos pessoais divertidos:  Escrevendo um compilador de Game Boy usando Forth Trazendo o gameplay do Klonoa dentro dum jogo do Sonic Engenharia reversa da computação de satélite Fazendo o seu próprio driver de impressora Estação meteorológica apenas com JS Sendo criativo com hardware + emuladores de jogos antigos
  Soluções criativas para problemas reais: Google Sheets como um CMS em potencial Imitando features de JS e fazendo over-engineering com CSS Segfault como otimização Quero participar da GambiConf
Se a GambiConf parece interessante e essas ideias todas atraíram você, não tenha dúvida alguma de fazer parte desse projeto!
Essa é uma conferência multilingue, não limitada a uma única tecnologia específica. O foco está mais no propósito dos projetos apresentados, na natureza única de cada sessão e o que podemos aprender a partir de uma ideia bem aleatória e inusitada. 
A ideia é encorajar as pessoas a testarem novas ideias e descobrirem novas coisas pelo simples prazer da curiosidade e exploração.
Os palestrantes podem escolher qual idioma se sentem mais confortáveis para apresentar (português ou inglês), bem como se preferem fazer uma talk ou liderar um hands-on em um projeto open source. 
Seja apresentando ou apenas indo ao evento, abaixo seguem todos os links para você saber mais sobre a GambiConf e garantir sua participação: 
Submeta sua palestra Confira nosso site Siga-nos no Twitter (vulgo X) Siga-nos no Instagram Siga-nos no LinkedIn Juntos, vamos tornar a computação mais divertida!
 
Camilo de Azevedo

Novo ebook mostra como aumentar a eficiência no combate às ameaças cibernéticas com o Gerenciamento de Tecnologias de Segurança

Negócios de todas as verticais e de todos os tamanhos vêm passando por profundas mudanças do ponto de vista tecnológico.
Essas mudanças trazem uma série de benefícios, mas também desafios dentre os quais se destacam o aumento da complexidade - representada pelo número de tecnologias adotadas pelas organizações - e a expansão das fronteiras do negócio.
Este segundo ponto, particularmente, representa um desafio especial.
O aumento das fronteiras do negócio - seja com a adoção do home-office, seja com a migração para a nuvem ou com a adoção de outras tecnologias - significa um aumento na dificuldade para manter a visibilidade de toda a estrutura, especialmente nos pontos mais críticos como as conexões com colaboradores, parceiros, fornecedores e clientes, por exemplo.
Nunca antes líderes de segurança tiveram que lidar com ambientes com tamanha variedade
de ativos para gerenciar.
O Gartner considera a expansão da superfície de ataque a principal tendência de gerenciamento de risco e segurança dos últimos anos. O instituto calcula que até 2026, as empresas verão suas superfícies de ataque sofrerem um aumento de menos de 10% atualmente para mais de 50% da exposição total dos seus negócios.
Dentre os desafios deste novo cenário podemos destacar:
Novos assets como notebooks e outros dispositivos na infraestrutura corporativa Sistemas de que dependem de monitoramento e aplicação de atualizações Ambientes em nuvem Identidade e acesso Para proteger as empresas nesta realidade, investimentos em novas tecnologias de segurança capazes de monitorar e proteger suas estruturas, no entanto, em muitos casos o gerenciamento destas ferramentas fica comprometido por uma série de fatores incluindo: falta de recursos humanos, inexistência de especialistas ou a falta de um profissional dedicado para alguma necessidade específica.
Para contornar este desafio, uma solução buscada por muitas empresas foram os Managed Security Services, ou MSS e, dentre a gama de serviços oferecidos por operações de MSS, o gerenciamento de tecnologias de segurança (Security Technology Management - STM) se destaca por endereçar justamente o desafio central: proteger o negócio em um ambiente altamente complexo do ponto de vista tecnológico.
Para compreender a importância da integração e do constante gerenciamento das tecnologias de segurança e como os serviços de gerenciamento podem ajudar a responder aos novos desafios da segurança corporativa, a Tempest desenvolveu o ebook Gerenciamento de Tecnologias de Segurança: Garantindo a melhor experiência e eficiência no combate às ameaças cibernéticas.
No ebook abordamos:
A complexidade do cenário tecnológico Os desafios de cibersegurança oriundos deste cenário Como os investimentos em cibersegurança trouxeram novos desafios aos times de segurança A integração e o gerenciamento de tecnologias de segurança com serviços de Security Technology Management Contar com o parceiro certo faz a diferença na proteção dos dados em qualquer ambiente
A Tempest Security Intelligence é uma empresa brasileira com atuação global. É a maior companhia brasileira especializada em cibersegurança e prevenção a fraudes digitais. Sediada no Recife, a Tempest conta também com escritórios em São Paulo e Londres, com
mais de 600 colaboradores.
Ao longo de seus 23 anos, a Tempest ajudou a proteger mais de 600 empresas de todos os portes e setores, dentre elas companhias do setor financeiro, varejo, e-commerce, indústria e healthcare, atuando em clientes nacionais e internacionais atendidos tanto pelo time no Brasil quanto no Reino Unido.
Em 2020, a Tempest conquistou um parceiro de peso para continuar na vanguarda da cibersegurança, recebendo um grande aporte da Embraer, companhia brasileira de engenharia aeroespacial, o qual resultou em um dos maiores investimentos já realizados na história do setor de cibersegurança na América Latina.
 
Tempest Security Intelligence

Quem sou eu na carreira de cibersegurança?

Você se considera um profissional atual, falando a língua que o momento pede, contextualizado com as demandas, conhecedor dos novos paradigmas da segurança e, claro, tecnicamente em dia? Conversamos com diversos líderes de equipes da área, contratantes e estudiosos do setor para entender quem é o profissional de infosec do momento!
Não tem jeito. Por mais técnica ou intelectual que seja a profissão que escolhemos, o fator humano não perdoa quando é deixado em segundo plano. Se você é um profissional de segurança da informação e não encara a comunicação, a flexibilidade e o entendimento (mínimo) de negócios como um pilar da sua carreira, saiba que você está parado no tempo.
A constatação vem de diversos CSOs, CISOs e observadores do mercado ouvidos pela redação da Mente Binária. Eles tinham a missão de nos ajudar a compreender que características mostram que um profissional de segurança está no auge do momento presente, integrado com as demandas atuais, pronto para ter um papel de peso nas empresas em que trabalhar, em outras palavras, tinindo! E também buscamos saber o que mais caracteriza uma pessoa que "estacionou" enquanto o mundo de infosec andou.
"Hoje o que eu levo muito em consideração é o pensamento crítico, a empatia e o senso de liderança, porque trabalhamos com solução de conflitos, então é obrigatório saber conversar com o cliente e ter tato", diz Dayvidson dos Santos Bezerra, líder técnico de gestão de vulnerabilidades e de gestão de compliance, na Tempest. Ele gere uma equipe de 12 profissionais e garante: "Se o candidato não tiver isso, eu não contrato". Ele explica sua posição firme: "Diferente de outras áreas da TI, a área de segurança vai ter reuniões com o CEO, com o CTO e outros C levels, inclusive conversas que nem sempre são amenas. Então essa pessoa precisa saber tomar decisões e lidar bem com conflitos".
Rodrigo Vetere, CISO da Monkey, plataforma de antecipação de recebíveis, pensa da mesma forma. O tema da comunicação foi o ponto mais alto na sua régua de avaliação do profissional de segurança de hoje. "Ele tem que estar confortável para se comunicar de forma clara e fugir do 'tecniquês'. Tem que entender do negócio, onde há termos específicos, e fazer essa ponte. Aliás, eu vejo o elo de segurança como o mais importante para fazer um vínculo com tecnologia e negócios e garantir que aquele ambiente esteja seguro", diz Vetere. Em sua reflexão, ele percebe que 
a proximidade com o desenvolvedor e com a tecnologia torna o profissional de segurança uma pessoa central para fazer tudo funcionar. "No passado, segurança era só uma pontinha, hoje está tudo diferente, tem muito mais material, mais leis, o mercado cresceu", alerta.
Para ter mais abrangência na pesquisa, fomos em busca de ouvir pessoas que estão acostumadas a olhar perfis profissionais todos os dias, procurando pelo candidato ideal para a vaga ideal, o famoso headhunter. E a Viviane Sampaio, gerente de recrutamento para TI na Robert Half, contou sua visão, bem em linha com os executivos da Tempest e da Monkey.

"Uma das coisas que mais interferem na decisão por um profissional de segurança é o comportamental. A gente vê pessoas muito boas, que dominam o assunto, mas na hora de falar com gente da área de negócios, com clientes internos e externos elas têm dificuldade para transmitir o que sabem. O ideal é que a pessoa técnica tenha uma habilidade de comunicação desenvolvida e que entenda e se coloque no lugar do outro ao explicar", ela nos disse, ao lembrar de uma história recente: "Um cliente reclamou que o profissional contratado não conseguia expor as visões dele nas reuniões, que gostava de trabalhar sem falar com as pessoas. A empresa está tentando continuar com ele, porque o conhecimento que ele tem é importante, mas já cogitou fazer a troca do profissional", contou a Viviane.

Viviane Sampaio, da Robert Half: A habilidade da comunicação não é apenas um acessório, é fundamental
 
Resumindo a visão desses três participantes ativos do mercado de segurança, o sentimento que fica é de que o perfil estigmatizado de alguém que vive imerso em pesquisas e ambientes de nível técnico extremo, num trabalho muitas vezes solitário, já não é mais sustentável. Viviane, que entrevista e busca pessoas diariamente como headhunter, é categórica: "A comunicação não é um acessório, porque as empresas correm muitos riscos e precisam ter alguém capaz de traduzir e explicar o porquê de uma solução e não outra, por que uma marca e não outra. Tem que haver uma conversa muito clara para essas tomadas de decisão".
Uma pessoa que também observa esse setor todos os dias é o Oscar Isaka, que é Analista Diretor Sênior de Segurança e Gestão de Riscos do Gartner. Olha a resposta dele para a nossa primeira pergunta: "Quais são as características ideais do profissional de segurança de hoje?". A resposta: "A segurança da informação é uma área extremamente ampla. Existe uma ideia de que o profissional de segurança fica sozinho e isolado em uma sala cheia de telas e servidores, e essa descrição não poderia estar mais longe da realidade. Da gestão de risco, passando por privacidade e incluindo, claro, os setores mais técnicos, a segurança está bastante difundida por todas as áreas das empresas e não está mais somente limitada ao departamento de Tecnologia da Informação. As características ideais de um profissional de segurança vão depender da área de atuação. No entanto, é possível listar: comunicação; curiosidade e vontade de aprender para a vida toda; habilidades analíticas; paixão e conhecimento técnico", nessa ordem.
Nem só de comunicação se faz o profissional de infosec herói 2023
Uma pausa no assunto de humanas para cuidar um pouco das exatas, afinal, uma avalanche de novidades em processos e tecnologias nos últimos anos também tem exigido muito de quem trabalha em segurança.
Gilmar Esteves é CISO na Zup Innovation, onde gere um time de 60 pessoas. Para responder nossa pergunta sobre a principal característica do profissional de infosec atualizado, Esteves focou bastante em comparar o passado recente com o presente. E suas investigações o levaram a pontuar dois aspectos: desenvolvimento/automação e nuvem. "Hoje em dia, é praticamente tudo em nuvem e isso muda tudo. Cinco anos atrás, tínhamos uma limitação de recursos. Hoje, com a nuvem mais madura, você adiciona e cria imediatamente e isso aumenta a superfície de ataque, por falta de controles ou erro humano", ressalta Esteves. Ele compreende que ainda há muitas empresas, até mesmo os grandes bancos, que usam mainframes e estruturas on premise, mas pede que os profissionais que atuam nessas empresas coloquem como objetivo se familiarizarem com o que a nuvem vem impondo.

Gilmar Esteves, da Zup: Conhecimentos em desenvolvimento e nuvem evidenciam se o profissional está atualizado
Outro ponto que destaca um especialista em segurança hoje na opinião de Esteves é a sua lida com desenvolvimento. "Acredito que uma das principais características de um profissional de segurança da informação tem a ver com código. Tem que entender de software e sistemas. Nos últimos dois anos temos visto gente mudando o jogo com 'infraestrutura as a code', 'segurança as a code'... como você ajuda um desenvolvedor a 'codar' melhor se você não entende de código?", instiga.
Ele conta que na sua equipe de segurança há diversos desenvolvedores. "Isso nos ajuda a tornar parte do problema e parte da solução. Isso acelera a entrega e evolui a maturidade da equipe. Nesse modelo, o time de segurança deve conhecer, estudar e testar a vulnerabilidade e até mesmo corrigir", afirma.
Falando em estudar, está aí uma realidade na vida de quem trabalha em infosec, não é mesmo? Mas para não deixar o conceito "estudar" um pouco vago, trazemos aqui o depoimento do fundador da Mente Binária, Fernando Mercês (que também é pesquisador incansável), sobre esse que, para ele, é o number one na lista do profissional sucesso de segurança hoje: "Se informar, ler mesmo. Não é só 'ficar sabendo no twitter'. É ler os papers, os relatórios de vulnerabilidades, de novos malwares, novos ataques. Ler e praticar para aprender, para poder saber, de fato", destaca Mercês, que continua: "Tem muita gente que sabe de muitas coisas, mas não tem propriedade sobre o assunto, porque não dedicou tempo para estudar aquilo. Uma coisa é ler e outra coisa é colocar em prática", enfatiza o pesquisador.
E ele aprofunda um aspecto fundamental aqui, sobre o objetivo em estudar e ler mais profundamente: "Para saber como aquilo te afeta, porque às vezes você está numa empresa e sai uma vulnerabilidade muito grave de um determinado produto e está todo mundo preocupado, mas, de repente, a sua empresa nem usa aquele produto, ou nem usa aquele produto com aquela configuração que foi revelada ser vulnerável. Então o estudo tem que ser mais profundo. Você vai saber menos de coisas diferentes, mas vai saber bastante do que importa para sua empresa, pro seu contexto. Então é uma mudança de um oceano vasto e raso, para um oceano menor e profundo de informação", conclui Mercês.
As dificuldades de contratação
Para Esteves, da Zup, o ponto cloud se destaca entre os desafios de preencher suas vagas em segurança: "Às vezes as pessoas têm certificação, mas não têm prática. Por isso que hoje, a gente tem a prioridade de contratar pessoas sem experiência, com a ajuda de programas, [como o Do Zero ao Um], para trabalhar sua formação dentro de casa", conta ele, acrescentando que o baixo conhecimento em sistemas operacionais e desenvolvimento estão juntos nesse combo de dificuldades para contratar.
Para o CISO da Monkey, Vetere, a flexibilidade aparece como palavra-chave. "Quem chega 'já sabendo', com muitas certezas, cabeça fechada e sendo pouco flexível não vai ter futuro. Essa postura de 'já sei' dificulta as coisas", desabafa. No lugar disso, ele valoriza o profissional que se mantém atualizado e interessado em entender a necessidade que se apresenta. "Ele vai ter que querer entender melhor, trazer ideias, fazer perguntas", aponta. Vetere conta que tem entrevistado pessoas em conjunto com lideranças de outras áreas e que tem sido um desafio o equilíbrio entre o lado técnico e o lado soft skills. "Tive dificuldade de cativar outras pessoas para avaliar o entrevistado, porque as linguagens ficam muito distantes".
Isaka, do Gartner, traz à tona o que muitos já sabem e já têm lidado: A demanda está enorme no mundo todo e só tende a crescer. "Profissionais com experiência e qualificação têm sido cada vez mais difíceis de encontrar e a competição se torna incrivelmente alta. Encontrar esses profissionais, com a qualificação desejada, dentro das expectativas de compensação da empresa é um dos grandes desafios", aponta o analista diretor, nos obrigando a pular para o próximo tópico, que é a competição com salários "gringos".

Oscar Isaka, do Gartner: Se manter curioso e interessado é primordial
 
Não sem antes registrar esses dados aqui do SC2 Cyber Security Workforce Study 2022: O (ISC)2 revelou que apesar de mais de 464 mil trabalhadores de cibersegurança serem agregados ao mercado em 2021, o gap nessa força de trabalho cresceu 26,2%, que é mais que o dobro desse acréscimo de profissionais. O resultado dessa conta é que a força de trabalho em infosec vem se tornando uma profissão em extrema necessidade de mais pessoas.
US$ x R$
É conhecida de todos aqui a tendência da evasão de profissionais para o mercado internacional. Nossos entrevistados formam coro em dizer que esta tem sido uma pedra no sapato na hora de compor um time de segurança de primeira."Se você for disputar um profissional sênior no mercado, vai ter um problema sério, porque são muito caros. Para empresas americanas pagarem US$ 5000 para um analista é até pouco, mas, no Brasil, faça as contas", lamenta Esteves, da Zup, que não vê outra saída a não ser o investimento em fortalecer a equipe internamente: "O foco é sempre estar trabalhando na formação de alguém, assim conseguimos dar um conteúdo qualitativo para o colaborador e, em paralelo, conseguimos inserir nossa cultura nesse ensino. No longo prazo, você acaba tendo um profissional que faz carreira na empresa", conta o executivo.
Na visão dele, essa dificuldade deve se acentuar nos próximos tempos, com a maioria das empresas voltando ao presencial, exigindo mudanças drásticas na rotina de quem se habituou a trabalhar em qualquer lugar, gerenciando vida pessoal, casa, atividades físicas e família. "Para quem tem filhos, essa retomada  complica a vida e favorece a busca por outros caminhos", reflete Esteves.
Vetere, da Monkey, concorda e acrescenta que essas vagas internacionais combinam com o perfil desse profissional, que pode, inclusive, se dividir em mais de um trabalho, conciliando fusos horários e demandas específicas. "Esse profissional acaba assumindo freelas e abrindo espaço para ganhar muito dinheiro. Difícil atrair um cara desse, que pode caçar vulnerabilidades em casa, sem se preocupar com todos os aspectos que uma empresa demanda".
Viviane, da Robert Half, reconhece o mesmo problema. Além dos pontos levantados por Esteves e Vetere, ela volta alguns passos antes e questiona o próprio sistema de formação educacional brasileiro, que acaba contribuindo com essa evasão. 
"Essa é uma matéria que não é fácil. Precisa estudar demais para poder proteger o ambiente de uma empresa. E o Brasil não forma profissionais na velocidade certa. E aí, essa velocidade baixa de formação acaba levando à escassez de senioridade, que é a maior demanda das empresas", pontua a headhunter.
Mercês, da Mente Binária, adiciona o papel fraco que a educação formal no Brasil ainda desempenha. "Se a formação não for estruturada e sólida, a pessoa pode achar que está pronta, e aí o mercado vai ser o responsável por dizer que ela não está, seja contratando e demitindo, cortando em layoff, seja não contratando, ou seja contratando para posições que não são o que a pessoa queria", aponta ele, ao continuar: "Então, acho que a indústria da educação desempenha um papel muito importante na qualidade desse profissional desde o começo, já que muitas vezes a pessoa não sabe o que é importante aprender. Os educadores são os responsáveis por dizer o que é importante, e se esses educadores não estiverem bem intencionados ou bem informados, aí a gente tem um problema grande".
RESUMÃO
Se você pulou o texto todo depois que leu a palavra "resumão", agradeça aos nossos entrevistados, que nos ajudaram a compor uma lista objetiva do quadro que vivemos hoje quando se trata da profissão em cibersegurança. Vamos aos highlights!
Características do profissional que pode se considerar atualizado:
Estudioso. Estuda a fundo e pratica o que estuda e nunca para de estudar; Nuvem. Não há como fugir. Boa comunicação. Primordial, seja para conscientizar as pessoas ou informar sobre riscos/vulnerabilidades/características técnicas. Falar inglês é quase obrigatório; Amigo do código. Se no passado existia uma rixa entre devs e infosec, hoje a palavra de ordem é interoperabilidade. Habilidades analíticas. É preciso gostar de resolver problemas e achar soluções;  Paixão. Profissional de segurança não tem uma carreira, mas sim um estilo de vida; Mix. Conhecimento técnico e vivência prática dependem um do outro para impulsionar uma carreira de sucesso. Soft skills. Entende-se por: capacidade de diálogo, pensamento crítico, flexibilidade, saber ouvir, saber transmitir bem uma ideia, empatia. Preocupações que não existiam (ou não eram tão fortes) 5 anos atrás e hoje são vitais à carreira:
Fraudes atuais (PIX, WhatsApp, etc). Privacidade. Ataques cibernéticos em geral. Inteligência Artificial. Formação sólida em computação e específica em cibersegurança. Características do profissional de segurança que "parou no tempo”
Não buscar entender os crimes que, de fato, envolvem blockchain e outras criptomoedas, IOT, Cloud, IA, computação quântica e as consideram simples buzzwords. Achar que não é preciso estudar, porque já passou por todas as dificuldades do mercado. Não aprofundar as relações no trabalho e preferir não se relacionar com os outros. Se achar “especial”. Pessoas que ainda não viraram a chave para entender que só existe segurança, pois existe um negócio a ser protegido e que a colaboração é primordial. A segurança deve servir ao negócio.  
Aline Mayra

retoolkit 2023.05 traz 20 novas funcionalidades para quem curte engenharia reversa

Dá um trabalho que você talvez nem imagine, mas a gente insiste. 🙂 Hoje lançamos a versão 2023.05 do retoolkit, nosso kit de ferramentas para engenharia reversa e análise de malware. Foram incluídas novas ferramentas, dentre elas:
gftrace, ferramenta do @Leandro Fróes para tracing de chamadas de função da Windows API feitas por binários PE32+ compilados em Go. FakeNet-NG super útil para fazer um malware pensar que ele tá na rede, crente que tá abafando, e para manipular as respostas. de4dot GUI, porque nem sempre é necessário usar a linha de comando para desofuscar .NET. Observer, um "strace para Windows para PE32. Veja o log de mudanças completo aqui. Além disso, as ferramentas existentes foram atualizadas e novos recursos foram adicionados, dentre eles:
Opção para desativar o Windows Update, graças ao Windows Update Blocker. Opção para adicionar o Python na %PATH%. Saca só o menu de ferramentas gráficas para PE (ainda tem um monte de linha de comando):

O bicho tá grande... cerca 1.5 GB de pura maldade contra malwares. Usar o retoolkit é inifinitamente mais rápido que baixar todas essas ferramentas uma a uma e instalar. Muito mais rápido também que FLARE-VM e coisas do tipo. Baixou o setup, instalou, pronto: você tem um x64dbg com plugins e scripts configurados, Ghidra, Cutter, analisadores de PE, descompiladores para .NET, Java, AutoIT... enfim, dá nem para listar tudo que tem. Baixe e veja você mesmo. 🙂
Download
Fernando Mercês

Ah, se eu falasse inglês...

Saber se comunicar em inglês deveria ser um direito garantido de todos. Enquanto isso não acontece no Brasil, tem muita gente trabalhando para facilitar esse acesso e muita gente agarrando oportunidades para conquistar a liberdade que é a fluência nesse idioma que conecta o mundo todo. Seja você fluente ou não, aqui temos hacks inspiradores para você alavancar sua carreira em computação!
O ano era 2012. Ele foi contratado por uma empresa estrangeira de segurança digital e, já na primeira semana, participou, ao lado do chefe, de uma videoconferência com o pessoal de fora, cada um de um canto do mundo. Boa praça, ele deu "hello" para todo mundo, sorriu, mostrou interesse. A reunião correu por mais ou menos 1 hora. "Bye, thank you!". O chefe desliga o zoom e pergunta o que ele achou. Ele, com seu alto grau de sinceridade e carisma, responde: "Não entendi absolutamente nada".
Corta para 2023. Esse mesmo cara é autor de dezenas de artigos escritos 100% in English, sobre os mais complexos meandros da cibersegurança, e um cotidiano em que quase fala mais inglês do que português enquanto está trabalhando, além do certificado internacional do consulado britânico de proficiência na língua (IELTS - International English Language Testing System).
O que tornou isso possível em relativamente pouco tempo foi a atitude dele, suportada pela empresa, que oferecia aulas de inglês internamente, já que a origem japonesa da organização e a própria natureza da atividade (cibersegurança) exigia a conexão entre profissionais das regiões mais diversas do planeta.
Assim que saiu da fatídica call com os gringos, nosso então recém-contratado foi direto para a sala da professora de inglês. Em poucos meses, com suas aulas semanais de uma hora com a profissionalíssima professora Maria, o nosso herói já estava milagrosamente não só entendendo, como participando com certa confiança daquela mesma reunião dos seus primeiros dias de firma. "Ela queria que eu falasse inglês. E eu também queria. Ter aula com esse foco foi um acelerador", relembra nosso primeiro personagem dessa matéria, sim, ele mesmo, Fernando Mercês, o fundador da Mente Binária.

Fernando Mercês, pesquisador e fundador da Mente Binária: "Se você quiser uma carreira mais significativa, de maior relevância, tem que falar inglês, tem que investir o tempo, principalmente".
Foi dele a ideia de tratar esse assunto do idioma inglês como entrave na carreira de computação, porque ele sabe bem quanta liberdade criativa conquistou investindo nesse aprendizado. Hoje, a rotina da sua função de pesquisa envolve trabalho cotidiano com pessoas de mais de 20 países, com quem ele fala todos os dias… em inglês, claro.
É do sentimento de gratidão por essa comunicação ser, hoje, tão fluida, que ele aconselha: "Se você quiser uma carreira mais significativa, de maior relevância, tem que falar inglês, tem que investir o tempo, principalmente".
A situação brasileira
Ao contrário da satisfação de ter investido no inglês, Mercês, convivendo com tantos estrangeiros, lamenta quando assiste de perto pessoas brasileiras impossibilitadas de participar de um trabalho globalizado, simplesmente porque a base desse trabalho é estrangeira. Simplesmente porque o inglês é o idioma que conecta o mundo. Simplesmente porque a situação da educação brasileira dificulta demais o alcance da liberdade de falar inglês. "Eu percebo que, além de vários outros problemas da nossa educação, ela é feita de uma forma isolada. Não vejo uma educação que prepare a pessoa para ser um cidadão do mundo", diz.
Para se ter uma ideia, dados do British Council informam que apenas 1% da população brasileira é fluente em inglês e 5% falam "alguma coisa" do idioma. Para piorar, o buraco é ainda mais embaixo. Um dos entrevistados que contaremos logo abaixo, comentou um dado alarmante: somente 9% da população brasileira é capaz de ler um livro… em português!
Com esse cenário em mente, fomos ouvir dois grupos de indivíduos: pessoas que arregaçaram a manga e "se viraram" como podiam para mudar essa dura estatística; e pessoas que não se conformavam com esses números e começaram a construir com as próprias mãos soluções para democratizar esse aprendizado.
Paulo Batista foi um desses. Foi ele quem nos comentou sobre o fato de que só 9% das pessoas brasileiras conseguem ler um livro em português. Se não ficou chocante, vamos inverter: 91% da nação brasileira não tem condição de ler um livro em português! Inconformado com isso, em 2018 ele fundou a edtech Alicerce Educação, uma start up de impacto social que oferece complementação educacional em formatos que atendem crianças, adolescentes e adultos.
"Há muitos dados alarmistas sobre a baixa penetração do inglês no Brasil, mas isso precisa ser colocado em perspectiva com essa questão estrutural da educação", diz Batista. Olhando para isso, a organização dele mantém hoje cerca de 30 iniciativas em empresas que dão conta de complementar a educação de base de suas equipes, em projetos desenhados conforme a necessidade. 
"Por outro lado, de fato, o inglês é uma ferramenta muito poderosa de transformação social, em muitas profissões", comenta Batista. Por isso que o Alicerce trabalha com o chamado inglês instrumental, que, segundo Batista, não tem a intenção de transformar a pessoa num "Shakespeare", mas sim ensinar o que ela precisa para o trabalho dela. "Além de ser prático, essa pessoa tem mais chance de sucesso na aprendizagem, porque aquilo é útil pra ela".
Foi assim que Mercês saiu do estágio que ele chama de "tô tentando me virar", para uma fase "sim, falo inglês". Os encontros semanais com a professora Maria duraram uns 4 anos e o colocaram na condição rara de escrever artigos científicos no idioma. Quatro anos pode parecer muito tempo, mas vamos refletir: uma criança pode levar a infância toda para se alfabetizar em uma segunda língua e se considerar fluente. Para um adulto, não só o ritmo de aprendizado é outro, como somam-se a isso as responsabilidades do trabalho, os boletos, filhos, família, estudos técnicos e tudo o que a vida adulta tem de sobra para boicotar nossa evolução.
Por isso, o recado mais importante que permeou toda a pesquisa para essa reportagem e que Mercês sintetizou muito bem é: "tem que agarrar a oportunidade e investir em aprender".
É (também) sobre agarrar oportunidades
Você já pensou em convidar uns gringos para se hospedarem na sua casa para você se soltar e perder o medo de falar inglês? Pois o carioca João Carlos Santos, sim. Apesar de uma vida "suada" como a maioria da população brasileira, o João conseguiu estudar inglês desde a adolescência com o suporte da família e bolsas de estudo. Mas nada que o tornasse confiante de que sabia mesmo falar a língua. Morando no paraíso praiano de Angra dos Reis (RJ), entre 2012 e 2017, ele embarcou na moda do site couchsurfing, uma rede mundial em que você hospeda viajantes estrangeiros na sua casa, em troca do benefício de praticar outros idiomas e conhecer culturas diferentes. "Como eu não tinha a oportunidade de viajar o mundo, eu trouxe o mundo pra minha casa. E eu percebi uma coisa: se você está com um estrangeiro dentro da sua casa, não tem jeito, você quer entender e ser entendido", brinca João, que deixou o medo de falar inglês totalmente para trás nessa época, em que chegou a hospedar perto de 80 pessoas.

João Santos pegou confiança em falar inglês hospedando viajantes internacionais em sua casa e hoje se beneficia do idioma em sua nova carreira em cibersegurança
Hoje, aos 36 anos, ele aproveita essa soltura conquistada anos atrás em seu novo emprego como assistente de segurança da informação na Zup IT Innovation. Na entrevista para o emprego, o inglês não era uma exigência, mas, no final do processo, perguntaram ao João se ele tinha "um nível de inglês pelo menos para ler". Quando ele respondeu que falava inglês, notou que "não foi fator principal, mas fez, sim, diferença!".
João é ex-aluno do programa Do Zero ao Um, da Mente Binária. A oportunidade na Zup surgiu depois dessa generosa alavanca técnica que ele recebeu e abraçou. Há 7 meses na Zup, o plano dele agora é aplicar para uma certificação internacional ISC2. "Essa prova beira o impossível para quem não sabe inglês, porque todo o material de estudo está em inglês e a prova é presencial e precisa de inglês, sem consulta".
Quanto à Zup, João conta que a empresa está em processo de internacionalização e que acenou aos funcionários que quem tem um bom nível de inglês já pode avisar ao RH, pois serão úteis nesse processo. "A falta do idioma dificulta o acesso a um emprego mais legal", constata João, que já enviou seus testes qualificatórios para o RH e está pronto para avançar na carreira de segurança.
"Não é sobre arrumar um emprego, mas O emprego que EU quero!"
Se o João agarrou a oportunidade de se soltar no inglês hospedando viajantes, a Gabrielly Moretti foi por outro caminho, mas ainda na linha do "agarre o que estiver ao seu alcance". Aliás, ambos são bem enfáticos nisso: fazer o melhor com o que for possível para você.
A Gabrielly é filha de um metalúrgico que trabalha desde os 8 anos de idade e de uma professora da rede pública de São Paulo. Nascida no Parque Regina, próximo ao Morro da Lua, na Zona Sul da capital paulista, estudou em escola particular com bolsa integral, graças à meta de seus pais de priorizarem uma única coisa para ela: estudo de qualidade.
E foi assim que a Gabrielly chegou à universidade para fazer curso de publicidade e propaganda, também com bolsa de 100%. Esperta, quando caminhava para o fim do curso, ela percebeu que seu inglês (estudado por conta) não seria suficiente para crescer na carreira publicitária. Nisso, duas amigas a apresentaram à ONG Cidadão Pró-Mundo, que oferece cursos e certificações em inglês gratuitamente para estudantes de escola pública (ou bolsistas 100%, como era o caso dela).
"Eu queria melhorar meu inglês e tirar um certificado. Entrei avançada e não cheguei a fazer os cinco anos que a ONG oferece. Tirei certificação  B2 para C1 de Cambridge". O certificado de Cambridge vai de A1 a C2, sendo que C2 é a pessoa considerada nativa na língua. Ou seja, Gabrielly arrasou.
Para encurtar a história e chegar ao final feliz, Gabrielly nos deu entrevista para esta matéria por telefone, falando do seu apartamento em Aveiro, Portugal, onde mora há 7 meses por motivo de um Mestrado em Comunicação Audiovisual para Novas Mídias. "Mais de 90% dos meus materiais de estudo são em inglês. A universidade é muito internacionalizada!", admira-se ela, que passou em 5º. lugar na prova para o mestrado. "O meu nível de certificação em inglês e o trabalho voluntário pesaram muito na minha avaliação".

Gabrielly Moretti no campus da universidade onde faz seu mestrado, em Aveiro (Portugal): "Eu posso chegar aonde eu quiser, porque eu falo inglês!"
Falando em trabalho voluntário, isso fez parte da vida toda da Gabrielly, que, claro, ficou tão grata à Cidadão Pró-Mundo, que não pensou duas vezes em seguir atuando na ONG depois de concluir seu treinamento. E por coincidência (ou destino), na época, a organização estava abrindo suas primeiras vagas de emprego formal. Gabrielly foi contratada para a área de comunicação, onde trabalha há 3 anos, mesmo tendo ido para Portugal. "No mestrado, quero construir ferramentas para continuar aqui na CPM, para que os alunos da ONG possam viver isso. Não quero estudar só pra mim".
"A gente que vem da periferia não sabe a amplitude que o inglês pode trazer pra gente. Não é só sobre arrumar um emprego. É O emprego que EU quero. Eu posso chegar aonde eu quiser, porque eu falo inglês!".
Uma dor: o brasileiro é bom, mas não fala inglês
Renata Honda é supervisora do programa One do CIEE (Centro de Integração Empresa-Escola). O trabalho dela é ajudar empresas de grande porte na seleção de talentos. "É muito sofrido achar candidatos à altura das vagas nas multinacionais. Quando se afasta dos grandes centros, a coisa complica e temos que flexibilizar a exigência técnica e de idiomas", desabafa.
Renata se reconhece privilegiada no seleto grupo de pessoas brasileiras que puderam fazer intercâmbio internacional e voltar ao Brasil praticamente empregada. "Vinte anos atrás eu passei direto na vaga porque ninguém falava inglês e hoje, 20 anos depois, a raridade de encontrar brasileiros fluentes em inglês é a mesma", constata a especialista.
Acostumada ao ambiente corporativo global, Renata lamenta: "O brasileiro é muito bom, astuto, criativo, trabalhador! Todas as vezes que eu tive a oportunidade de testar a habilidade de pessoas brasileiras comparadas com outras nacionalidades, as brasileiras eram melhores, sempre. O que nos falta: educação". Na opinião dela, "se tivéssemos a educação de um sueco, já teríamos deixado de ser um país de terceiro mundo".
Com uma tristeza perceptível na voz, Mercês também conta que nunca conseguiu indicar um brasileiro para trabalhar na sua equipe. Contexto: seu trabalho de pesquisa de ameaças é global e, no dia a dia, ele fala com pessoas de mais de 20 países, trocando informações, impressões e análises sérias. "Eu preciso de alguém que conheça da minha área e que fale inglês. E aí afunila. Os estagiários que já trabalharam comigo são todos de fora, Egito, Itália, Filipinas", comenta o pesquisador, constatando: "Pra ele ter aprendido o assunto, ele já tinha que falar inglês antes, porque todo o material de estudo é em inglês".
A síndrome do vira-lata
Sabe aquele papo de "isso não é pra mim, imagina…", típico de quem não reconhece o próprio valor? É sobre isso que vamos conversar agora.
Executivo do mercado financeiro, Vitor Assef também é cofundador do Instituto Trampolim. Como o nome diz, sua intenção é dar uma força para que jovens de baixa renda complementem sua educação e saltem para oportunidades de trabalho de melhor nível. "No Trampolim, entendemos que a matemática é importante, já que, pra mim, é a base do pensamento crítico. Em termos de línguas, o português te ajuda a ter uma postura melhor no dia a dia na sociedade. E o inglês é o terceiro pilar, igual aos outros. Se quiser se destacar no mercado de trabalho, precisa falar inglês".
Apaixonado pelo assunto e dedicado a isso junto com amigos e família diariamente, Vitor tem uma dor no coração: "Muitos jovens acabam nem tendo noção de que podem viajar pra fora porque nem veem isso como uma possibilidade. Quando você fala inglês, isso abre essas ideias na cabeça e o mundo se abre".

Vitor Assef, fundador do Instituto Trampolim: "Quando você fala inglês, o mundo se abre"
O espaço do Trampolim oferece dois prédios onde os estudantes podem podem ficar, com wi-fi, banheiro, água, lanchinho e atividades extras, como encontro estruturado com uma psicóloga, clube do livro e clube do debate. Mas, segundo Vitor, os alunos vão mesmo só para as aulas de português, matemática e inglês. "A gente pensa em ter ações para visitar empresas, a Av. Paulista, museus… mostrar um mundo que eles não estão acostumados. Vemos um super valor nisso, mas eles não necessariamente vêem também. Então, parte do nosso trabalho de engajamento é mostrar o valor disso.
Esse comportamento é o berço de um problema que parte o coração e que precisa ser eliminado, a síndrome do vira-lata brasileiro. Essas experiências do Vitor e da Renata mostram a base desse sentimento silencioso de inferioridade ou falta de "pedigree" que as pessoas brasileiras assumem para si.
"Já tive muitas experiências de começar a falar com um gringo pedindo desculpas por não falar perfeito. E a pessoa, muitas vezes, nem entende o pedido de desculpas. Esse nível de melindre que temos no Brasil é raro lá fora. Ninguém quer te agradar. A pessoa diz que o inglês está ótimo, mas a gente não se vê qualificado. Nós, enquanto brasileiros, tendemos a agir como se eles (gringos) fossem sempre mais bonitos, mais ricos e mais inteligentes", desabafa Mercês.
Marcus Vinicius dos Santos e Fernando Dias, consultores da divisão de recrutamento e seleção de profissionais especializados da Gi Group Holding, também notam essa "síndrome": "Percebemos que os candidatos demonstram grande insegurança aos serem colocados em posição de comprovação do seu domínio da língua, mesmo que, em alguns dos casos, a fluência que ele tinha era suficiente, não só para a posição em questão, como para atender demandas além das planejadas inicialmente. Essa insegurança torna ainda mais difícil a busca pelo profissional, já que, por não sentir confiança no seu domínio, muitas vezes, nem participa do processo", reconhecem.
É nessa hora que precisamos, enquanto representantes de um País, entender que essa mentalidade existe e que ela nos comanda mesmo sem a gente perceber. Tendo consciência disso, conseguimos ser persistentes para reverter isso enquanto pessoa e enquanto País.
Manual Improvisado do Persistente
A gente sabe que há muito a ser feito pela educação no Brasil e que isso é urgente. No terceiro setor, muita gente está se mexendo também e impactando a vida das pessoas que mais precisam de suporte.
Independente dos rumos oficiais da educação do País, o João, a Gabrielly e o Mercês estão aí para mostrar que ninguém tira o direito ao aprendizado de alguém que realmente queira aquilo.
Então, se você está querendo dar um up no seu inglês e não sabe muito bem por onde começar, resumimos os pontos-chave de todos os hacks que eles criaram e que culminaram nessas histórias inspiradoras. Pode pegar pra você!
ABRACE as oportunidades que te aparecerem. Tenha sinceridade, franqueza e humildade para admitir o que não sabe, para se abrir para aprender. Não se comporte como alguém que não tem direito a alcançar o lugar mais alto que o inglês possibilita. Tenha curiosidade e sinta o prazer de entender uma música, um filme, uma série, uma gíria, uma conversa. Não desista, por mais que pareça que tem gente muitos degraus na sua frente. Tenha mais vontade de se comunicar do que medo de errar. Não é uma falácia de mercado de trabalho, é uma realidade: você precisa de inglês para conversar, fazer networking, estudar. Você não precisa do inglês perfeito, mas tem que ser funcional! Use o que você já sabe! Não aceite bullying com quem pronuncia corretamente uma expressão em inglês, isso nos empurra para baixo. Aprenda e use também. Se para você é financeiramente complicado investir em aprender inglês agora, consulte essas organizações e veja se as soluções delas se aplicam à sua situação ou à de alguém que você tenha se lembrado: Instituto Trampolim, Alicerce Educação, Cidadão Pró-Mundo, Soul Bilíngue.  
Aline Mayra

Brasil é o terceiro que mais baixou o Block Box com adware

A McAfee divulgou que encontrou nada menos que 38 clones de Minecraft com adware (malware que gera "cliques" em anúncios para os desenvolvedores) na Play Store. Se você baixou um desses recentemente, deveria considerar remover:
Block Box Master Diamond Craft Sword Mini Fun Block Box Skyland Sword Craft Monster Crazy Sword Block Pro Forrest Diamond Block Game Skyland Forrest Block Rainbow Sword Dragon Craft Rainbow Mini Builder Block Forrest Tree Crazy Craft Clever Monster Castle Block Monster Diamond Dragon Craft World Fun Robo Block Pixelart Tree Pro Craft Mini Lucky Fun Block Earth Skyland World Block Rainbow Monster Castle Block Fun Rainbow Builder Craft Dragon Diamond Robo Block World Tree Monster Block Diamond Boy Pro Block Lucky Master Earth Craft Forrest Mini Fun Craft Sword City Pro Block Loki Monster Builder Block Boy Earth Mini Block Crazy Builder City Craft Sword Vip Pixelart Block City Fun Diamond Craft City Loki Rainbow Craft Boy Clever Sun Block City Dragon Sun Craft Loki Forrest Monster Lokicraft: Forrest Survival 3D Craft Castle Sun Rain Craft Game Earth World Craft Lucky Castle Builder Craftsman: Building City 2022 Craft Rainbow Pro Rain A lista está em ordem dos mais baixados. O Block Box Master Diamond teve incríveis 10 milhões de downloads no mundo todo, enquanto o menos baixado Craft Rainbow Pro Rain teve 50 mil. O Brasil é o terceiro país com mais dispositivos Android infectados, atrás apenas de EUA e Coréia do Sul.
O pior é que o jogo funciona, então é difícil desconfiar, mas lá no fundo tem malware rodando pra gerar requisições em sites de anúncios, o que dá lucros para os criadores do adware. Dá pra questionar e dizer que esta é a maneira com a qual os desenvolvedores ganham dinheiro já que o jogo é de graça. No entanto, é antiético não avisar ao usuário. Por isso, a Google removeu todos esses jogos da loja. 🕵🏽‍♀️
 
Fernando Mercês

x64dbg 2023-04-07

Foi lançada na última sexta-feira, dia 7 de Abril de 2023, a versão snapshot_2023-04-07_18-12 do x64dbg. Os commits desde a versão anterior foram:
7 de Abril de 2023
Fixed compilation error caused by generated code 5 de Abril de 2023
Merge pull request #3044 from torusrxxx/patch000000d9 Fix a one-off issue while painting Add the plugin directory to the DLL search path 11 de Março de 2023
Fixed cannot delete a variable using "vardel x" Clean up XMM formatting; Fix build error with QMutex not found 10 Março de 2023
Add support for enumerating a range of symbols Em termos de novos recursos, não veio nenhum novo dessa vez, mas tem correções de bugs importantes na apresentação dos valores dos registradores XMM (existem oito na arquitetura IA-32 da Intel, introduzidos com as extensões SSE). Além disso, o diretório de plugins (release\x32\plugins ou release\x64\plugins) foi adicionado na busca padrão de dependências. Imagino que isso facilite quando um plugin for necessário no processo de boot do x64dbg, mas vamos esperar para ver se esse recurso será utilizado por algum plugin, afinal, os desenvolvedores devem ter um bom motivo para empenharem tempo nisso.
Happy Hacking. 🤠
Fernando Mercês

YARA 4.3 vem com Telfhash

Que o número de malwares feitos para Linux vem aumentando todo mundo sabe. Passamos por botnets IoT, ransowmare alvejando VMware ESXi e ambientes de nuvem. Sem falar em rootkits ring 3, ring 0, ring o caramba a quatro. Não tá fácil. 😷
Para ajudar na busca por samples de malware similares, em abril de 2020 eu tornei público o Telfhash, uma espécie de imphash com anabolizantes para executáveis ELF. As principais diferenças são:
Telfhash usa TLSH, um hash de similaridade, enquanto o imphash usa MD5. Telfhash não requer que o binário tenha símbolos. Telfhash é desenhado para ter o hash mais próximo possível entre versões do mesmo executável compiladas para diferentes arquiteturas. Deixarei os detalhes de implementação do Telfhash para um futuro artigo, mas se tiver curiosidade pode ler o artigo que escrevi em inglês. De qualquer forma, para minha felicidade, o algoritmo foi bem aceito pela comunidade. Além de pesquisadores, cataloguei os seguintes projetos/empresas usando o Telfhash:
Trend Micro MISP McAfee FileInsight Plugin VirusTotal Malware Bazaar VMware AlienVault Por este motivo, eu considero o Telfhash a minha principal contribuição de âmbito técnico para a comunidade anti-malware. 💚
No entanto, há algum tempo me sinto um pouco triste de não ter tempo para fazer alterações de código no projeto. Originalmente em Python, eu queria reescrever em C para possibilitar a adição no YARA, dentre outras coisas. Para minha surpresa, no entanto, graças à mágica do software livre (tanto o Telfhash quanto a TLSH usam a Apache License), o pesquisador Karel Hájek, da Avast, reimplementou tanto o TLSH quanto o Telfhash em C e adicionou a função telfhash() na última versão do módulo elf do YARA. Portanto, a partir da versão 4.3.0 do YARA, você e o resto do mundo podem fazer:
import “elf” rule minha_regra { condition: elf.telfhash() == "t166a00284751084526486df8b5df5b2fccb3f511dbc188c37156f5e714a11bc5d71014d" } Legal né? Tá na documentação oficial do YARA já.
Fiquei feliz com essa notícia por dois motivos:
Por ser de código aberto, outra pessoa fez o que eu queria ter tempo pra fazer: reimplementou o bagulho em C e subiu no YARA. Vai ajudar muito a comunidade mundial na luta contra malware Linux. Indiretamente, essa é minha segunda contribuição para o YARA. A primeira foi quando adicionei nele a capacidade de ler os overlays de arquivos PE em 2016.
Espero que a comunidade ache a função telfhash() útil e que ela ajude a caçar uns elfos. 🧝‍♂️
Sem palavras para agradecer o trabalho do Karel! 🙂
 
Fernando Mercês

Inscrições abertas para a turma 2023.1 do Do Zero Ao Um para pessoas pretas

Atualização: Inscrições esgotadas, pessoal. Obrigado a todos pelo interesse!
Entender o contexto racial no Brasil não é simples, mas nem por isso deixamos de tentar. No ano passado lançamos o programa Do Zero Ao Um, que formou pessoas pretas para trabalharem em computação com foco em programação. Foram seis meses de aulas diárias pela internet, uma turma maravilhosa, professores voluntários empenhados, mentores incríveis e uma parceria sem igual com empresas que ingressaram nossos alunos em seus processos seletivos. E os contrataram.
Acertamos, erramos, mas mais importante, aprendemos. Este ano queremos aprender mais. Abrimos hoje a pré-inscrição para a turma 2023.1 do programa, que desta vez será mais enxuto em sua duração (quatro meses) e terá foco em formar futuros profissionais de segurança da informação, tendo em vista nossa relevância na área e a carência de profissionais qualificados.
Tivemos que fazer escolhas, pois a experiência com turmas muito heterogêneas nos mostrou que precisamos focar. Por isso, estabelecemos um limite de idade para estar turma, mas planejamos beneficiar outras faixas etárias em programas futuros.
O Do Zero Ao Um é uma das formas que encontramos de tentar ajudar na devida reparação histórica com o povo preto no Brasil. Infelizmente, nosso trabalho é para que o óbvio aconteça: que pessoas pretas ocupem o espaço que queiram e desejam estar. E se quiserem estar na computação ou na segurança da informação, não mediremos esforços para abrir estes lugares. Estamos dispostos a absorver as críticas e aprender com elas. Só não estamos dispostos a parar de tentar.
Se você se considera uma pessoa preta e tem interesse em migrar para a área de segurança da informação, leia mais sobre o programa aqui. Compartilhe nas suas redes, pois o programa é online e gratuito e falantes de português do mundo todo podem participar. Assim como a vida profissional dos formados na turma 2022.1 mudou para melhor, queremos transformar a carreira dos alunos deste ano também. Contamos com o seu apoio para tal. Por um Brasil mais justo, mais igualitário, mais como deve ser. 💚
Fernando Mercês

Multinacionais brasileiras na contramão dos layoffs globais

Enquanto os anúncios de cortes em massa seguem pipocando no noticiário, empresas de DNA nacional contam que têm dificuldade de preencher vagas abertas e dão dicas para quem está em busca de uma nova posição.
2023 mal começou e a onda de demissões já está perto de 130 mil pessoas no mundo todo. Nesses dois meses, o número já corresponde a 80% das demissões de 2022 inteiro (161 mil), segundo o Layoffs FYI. No Brasil, de janeiro pra cá, mais de 7.200 profissionais foram demitidos, somando os números divulgados pela Layoffs Brasil
Leia nesta matéria:
Empresas estão procurando profissionais de segurança no Brasil; Capacitar os próprios funcionários acaba sendo uma saída para suprir demanda; Onda de cortes pode deixar profissionais "espertos" na hora de escolher onde irão trabalhar; Multinacionais brasileiras contam por que não estão demitindo; Dicas para quem quer ser contratado. A Stefanini, por exemplo, anunciou 500 vagas no Brasil no final do ano passado e as contratações seguem acontecendo. Rodrigo Pádua, que é o VP Global de Gente e Cultura do grupo, conta que desde o anúncio 200 pessoas já foram contratadas e, mesmo assim, o número de vagas abertas se mantém: "Novos contratos vêm sendo fechados e novas demandas têm surgido", ele explica, e avisa que o núcleo de Cyber Security da empresa será um ponto quente neste ano, com necessidade de profissionais no mundo todo: "Nossa percepção é de que a demanda de cibersegurança está só no começo e com o crescimento de analytics, a segurança é essencial, por isso a formação dos hackers do bem é fundamental".
Na mesma linha, a Tivit, que tem sua divisão de segurança ativa desde 2018, aponta pra cima quando o assunto é crescimento do time. "Vivemos um momento super legal e bom. Não tivemos cortes, mas contratações. Aumentamos o time em quase 30%", comenta Thiago Tanaka, diretor de Cybersecurity e head lob de CyberSec na Tivit. A área dele teve crescimento de 167% no ano passado.
Luciano Ramos, country manager da IDC Brasil, também reflete sobre essa contradição das demissões em massa globais se contrapondo a um espaço vazio que custa ser preenchido por profissionais de TI aqui no Brasil. "É importante considerar que o Brasil tem uma carência muito grande de profissionais de TI. Há segmentos que estão buscando esses profissionais: segurança, dados, desenvolvimento. Ainda há uma lacuna grande".
Capacitar os próprios funcionários acaba sendo uma saída para suprir demanda
Na dificuldade de encontrar pessoas no mercado, o que as empresas têm feito para suprir suas necessidades técnicas mais específicas é procurar dentro de casa, usufruindo de pessoas já conectadas com a empresa, como Thiago, da Tivit, explica: "Em segurança, prezamos quem está dentro da companhia, com treinamentos que abrimos para todas as áreas! As pessoas podem se capacitar e avaliar uma transição de área". O executivo cita um número que costuma ouvir: 40% do número ideal de profissionais de segurança necessários nas empresas simplesmente não existe. Daí a necessidade de partir para a formação interna de equipes. "Nosso turnover é baixo, mas contratamos 1 a 2 pessoas todo mês. E como é difícil contratar gente de segurança, justamente porque não existe, estamos investindo em academy (programas de ensino dentro da empresa) para incentivar", conta Thiago.
O mesmo movimento acontece também na Stefanini, que favorece o upskilling (aprimoramento de habilidades) de quem já está no time. "Isso gera, muitas vezes, a migração de uma área para outra, desenvolvendo pessoas da própria Stefanini", diz Rodrigo, que lidera globalmente a área de pessoas da empresa. Assim como Thiago, da Tivit, ele aponta programas próprios internos da companhia para driblar essa dificuldade.
Onda de cortes pode deixar profissionais "espertos" na hora de escolher onde irão trabalhar
"Tinha um exagero de pessoas pulando de empresa em empresa, às vezes até três empresas em um ano. Como essa onda de cortes pegou as big techs, isso levou reflexões para o mundo de TI", observa Rodrigo, da Stefanini, ao contar sobre o que tem ouvido pelos corredores do mundo corporativo. "Será que não é interessante estar numa empresa consolidada?”, provoca. Ele acredita que o choque entre o boom de contratações e as ondas de demissões pode adicionar esse alerta na mente dos profissionais que, agora, vão se reposicionar em novas empresas.
E no quesito solidez, as multinacionais brasileiras se vêem destacadas. O diretor de cybersecurity da Tivit conta que a empresa pode demorar até quatro rodadas de entrevistas para fechar a admissão de um profissional, justamente para ter certeza de que aquela contratação vai ser duradoura e que vai fazer sentido para ambas as partes. "Aqui, somos muito pé no chão. Até porque, se eu estou chamando uma pessoa para vir para a Tivit, ela provavelmente vai ter que sair de uma empresa e escolher vir pra cá. Essa pessoa pode ser a única fonte de renda de uma família, sustentar uma casa. Você precisa ser consciente da real necessidade da contratação e também contratar a pessoa certa para a vaga", diz Thiago.
Multinacionais brasileiras contam por que não estão demitindo
"Disciplina financeira, foco em gestão muito forte, com gente muito boa". Esse é o mix que Rodrigo Pádua, da Stefanini, enxerga como responsável pela empresa estar contratando, ao invés de demitindo."Vemos que as demissões têm acontecido por busca por produtividade por parte de algumas empresas e um grupo que está economizando caixa. Sempre fomos uma empresa saudável, sem dívidas. Nunca acreditamos no crescimento por crescimento, só crescimento sustentável".
Sob os mesmos argumentos, a Totvs respondeu à reportagem por email. Nas palavras de Izabel Branco, vice-presidente de Relações Humanas, "a Totvs é uma empresa muito sólida, com um caixa robusto, e uma atuação consistente em todo o território nacional", destacando a condição de ter um planejamento eficiente como base para a estabilidade do quadro de equipes da companhia.
No geral, as empresas com maiores cortes de pessoal estão sofrendo com uma pressão inflacionária atípica para a maioria dos países, além das consequências da guerra da Rússia/Ucrânia - que já registra um ano inteiro de conflito - o estabelecimento de um novo mundo pós-covid, com as pessoas de volta às ruas e certa retomada de normalidade nas demandas por tecnologia dentro das empresas. Esses argumentos compõem a base comum que sustenta os bruscos movimentos que temos assistido. Por outro lado, como lembra Luciano Ramos, da IDC, apesar do volume de demissões que assusta, esses números são apenas frações das contratações intermináveis que essas organizações foram fazendo ao longo dos últimos três anos, principalmente em função da pandemia, impondo novas e urgentes demandas tecnológicas.
Dicas para quem busca novas oportunidades
As fontes ouvidas para essa reportagem gentilmente contribuíram para a criação de um pequeno guia de condutas preciosas para quem está à procura de uma boa posição de trabalho. Elas valem para quem foi pego pelos cortes e também para quem está em uma transição de empregos planejada:
Manter a calma, para evitar emoções que atrapalham a vida, o sono, a alimentação, o humor e a sanidade mental. Estudar bem a vaga desejada. Será que ela bate mesmo com seu skill? Se fizer sentido, enderece o currículo ressaltando os pontos que farão a pessoa recrutadora perceber que existe match. Apresentar-se da melhor forma para a vaga, com uma carta que fale sobre você e suas aspirações profissionais e até um pouco do lado pessoal. Manter o currículo atualizado e revisado. Manter-se com a moral alta, afinal, as empresas buscam talento, mas também querem por perto pessoas que tenham garra e disposição. Buscar um método de se atualizar de forma constante, mesmo que seja a partir de cursos curtos e conteúdos gratuitos. Manter o networking aquecido. Ao longo da jornada profissional, estabelecer boas conexões torna mais fácil descobrir novas oportunidades contando com os relacionamentos conquistados. Dica bônus para quem é de segurança
Ao longo da entrevista para esta matéria, Thiago Tanaka, da Tivit, quando refletia sobre os pontos mais importantes para quem quer se colocar ou recolocar no mercado, fez um alerta para o pessoal de segurança: Em segurança, você precisa tirar uma hora do seu dia e estudar todos os dias. Todos os dias vão surgir novas ameaças. Eu, que estudo há 15 anos, se eu não continuar estudando diariamente, logo, já estou desatualizado. Tem que continuar aprendendo todo dia".
Nesse sentido, não deixe de consultar a lista de treinamentos Mente Binária, voltados para educação contínua.
Na nossa newsletter, trazemos sempre um conteúdo interessante, novo ou curioso desse universo da segurança, feito por quem vive imerso nesse ambiente. Vale a pena assinar! É só se cadastrar no portal aqui. 🤗
Aline Mayra

Quais os principais cuidados que você precisa tomar ao migrar dados para ambientes em nuvem

Introdução: o que é a migração para a nuvem e por que você
deve migrar?

Os avanços tecnológicos dos últimos anos, aliados à aceleração digital e às mudanças nos processos corporativos trazidos pela pandemia, criaram um cenário no qual muitas empresas viram a necessidade de migrar parte ou a totalidade dos seus dados, aplicações e outros processos de negócios para plataformas de computação em nuvem.
Seja para tornar seus negócios mais ágeis, seja para garantir a própria sobrevivência do negócio em um cenário de digitalização acelerada, a migração para a nuvem pode trazer inúmeros benefícios que incluem a escalabilidade, a redução de custos, maior flexibilidade e desempenho e, potencialmente, segurança aprimorada.
Segundo o Gartner, “A adoção da nuvem foi acelerada durante a pandemia, e deve acelerar ainda mais nos próximos anos”. “Serviços em nuvem permitem a líderes de negócios responder rapidamente a oportunidades - ou ameaças. Empresas que forem bem-sucedidas em explorar a computação em nuvem terão uma vantagem competitiva. Isso pode mesmo ser preponderante para sua sobrevivência”

Mas, para realizar a migração para estas plataformas utilizando todo o seu potencial e, principalmente, com o máximo de segurança, uma série de ações devem ser tomadas.
Neste artigo, elencamos algumas destas ações.
 
Clique aqui e baixe o Datasheet Serviços de Consultoria de Segurança naNuvem, e conheça as soluções da Tempest para ambientes em nuvem
 
Potencializando uma migração eficaz
Cada negócio possui sua particularidade, por isso, como em toda tomada de decisão, uma migração para a nuvem deve ser encarada como um processo que envolve todo o negócio.

Porém, um equívoco comum a muitas empresas durante o processo de migração para estruturas em nuvem é considerar este processo uma mera decisão tecnológica, de responsabilidade apenas das áreas de TI e de operações.

De acordo com o Gartner, estes times estarão mais focados em aspectos técnicos em detrimento de fatores cruciais para o negócio como “entregar o máximo valor no menor tempo possível”.

Por isso, é essencial enxergar esse processo como uma oportunidade para resolver problemas do negócio e de inovação dos processos, ou seja, preferencialmente todos os tomadores de decisão devem estar envolvidos no projeto de migração.

As lideranças devem ser “educadas” sobre o que é a nuvem e o que ela pode fazer pelo negócio, não para que se tornem especialistas na tecnologia, mas sobre como ela pode impactar o negócio, sua eficiência e competitividade.

São essas lideranças que, mais do que diretrizes técnicas, darão a “motivação” para migrar (e é importantíssimo destacar que esta “motivação” varia de mercado para mercado, de empresa para empresa).

Há inúmeras variáveis a serem consideradas: o tamanho da empresa, o mercado no qual ela está inserida, sua relação com parceiros e fornecedores, os valores e diferenciais a serem entregues para clientes…
 
Pilares para guiar um projeto de migração segundo o Gartner:
Estratégia e Informação: considerar como a nuvem pode ajudar a resolver problemas do negócio e estabelecer uma postura de inovação Governança e Segurança: buscar frameworks de governança que sejam adaptáveis para diferentes perfis de demanda e risco Mobilização e migração: colocar este processo como algo crucial para apoiar a transformação da empresa como um todo  
Mas, dentre os aspectos mais sensíveis da migração para um ambiente em nuvem está a segurança dos dados e aplicativos que serão migrados, independentemente da realidade e dos modelos de negócio.

Neste quesito há uma série de fatores a serem considerados, por isso elencamos algumas boas práticas que devem ser observadas desde o planejamento do processo de migração.

Boas práticas de proteção da nuvem
Proteger este ambiente é uma tarefa que exige uma postura proativa de segurança que considere pessoas, processos e tecnologias.
A seguir, confira algumas boas práticas de proteção de dados na nuvem:
Compreender o modelo de responsabilidade compartilhada: em linhas gerais, provedores de serviço em nuvem e seus clientes são co-responsáveis pela segurança do ambiente em nuvem e dos dados e aplicativos nele armazenados. É importante conhecer as responsabilidades de cada lado.  
Implementar gerenciamento de identidades e acesso: não se trata apenas de usar senhas seguras (o que já é importantíssimo), mas também ter mapeados os privilégios de acesso de cada credencial.  
Considerar a proteção aos endpoints como algo vital: mapear e monitorar endpoints que acessam o ambiente, além de protegê-los contra malwares e outras ameaças que possam comprometer o próprio endpoint e a nuvem como um todo.  
Educar os colaboradores para uma postura de segurança: oferecer treinamentos e conscientização aos colaboradores para que possam identificar ameaças e potenciais ataques.  
Monitorar as atividades na nuvem: monitorar acessos e atividades a fim de identificar potenciais ameaças.  
Contar com um plano de backups: na eventualidade de um incidente de vazamento ou roubo de dados, é de suma importância contar com um plano de backups a fim de recuperar o quanto antes os dados comprometidos.  
Estas são orientações básicas. Fortalecer um ambiente em nuvem, adotando as melhores práticas do mercado, e manter-se adequado às regras de compliance e regulações é uma tarefa complexa.

No entanto, essa tarefa pode se tornar mais ágil ao contar com um parceiro que conheça os desafios do mercado e possa oferecer os produtos e serviços de segurança voltados especificamente para estes ambientes, considerando as particularidades de cada negócio.
 
Sobre a Tempest:  

A Tempest Security Intelligence conta com um portfólio completo de soluções de consultoriade segurança na Nuvem para ajudar sua empresa a manter dados e aplicações mais seguros.
 
Atualmente é uma empresa brasileira com atuação global, e a maior companhia brasileira especializada em cibersegurança e prevenção a fraudes digitais.
 
Sediada no Recife, a Tempest conta também com escritórios em São Paulo e Londres, com mais de 500 colaboradores. Ao longo de seus quase 22 anos, a Tempest ajudou a proteger mais de 500 empresas de todos os portes e setores, dentre elas companhias do setor financeiro, varejo, e-commerce, indústria e healthcare, atuando em clientes nacionais e
internacionais atendidos tanto pelo time no Brasil quanto no Reino Unido.
Em 2020, a Tempest conquistou um parceiro de peso para continuar na vanguarda da cibersegurança, recebendo um grande aporte da Embraer, companhia brasileira de engenharia aeroespacial, o qual resultou em um dos maiores investimentos já realizados na história do setor de cibersegurança na América Latina. 
Acesse o site.
Tempest Security Intelligence

Silêncio aparente e perigo concreto: o que foi o conflito cibernético na guerra entre Rússia e Ucrânia em 2022

Enquanto 2021 se encerrava, na Tempest, nós escrevíamos o relatório “5 ameaças que pautaram a cibersegurança em 2021 e as tendências para 2022“, e acompanhávamos as tensões que se avolumavam entre Rússia, Ucrânia e a OTAN; naquele momento antecipamos que os ataques cibernéticos no âmbito dos interesses geopolíticos seriam um tema determinante para traduzir o que seria a cibersegurança em 2022.
Dias após a nossa publicação, a guerra foi iniciada e os ataques cibernéticos foram centrais na criação de um cenário de desestabilização que permitisse a inserção de outras peças no teatro de operações do conflito, da mesma forma que, durante o século XX, os bombardeios aéreos foram usados como método para abrir o caminho para as tropas em solo.
Ocorre que, assim como nos conflitos cinéticos, os ataques cibernéticos possuem o potencial de causar impactos em negócios legítimos, com o agravante no caso cibernético de que as vítimas podem estar em qualquer lugar do mundo, por isso este assunto é relevante para tomadores de decisão em organizações de todo tipo e que dependem do ciberespaço para operar.
Mais uma guerra
Os primeiros movimentos no ciberespaço que desembocaram na atual guerra foram documentados pela Microsoft em meados de janeiro, em ataques com ameaças destrutivas, ou seja, malwares que apagam de forma irrecuperável o conteúdo dos sistemas. Estes incidentes afetaram alvos na Ucrânia entre os dias 13 e 14 daquele mês; entre estes alvos estavam os sistemas de organizações governamentais, entidades sem fins lucrativos e de tecnologia da informação sediadas no país.
O Centro de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) emitiu um relatório poucos dias depois afirmando que o vetor de ataque mais provável teria sido a exploração de falhas na cadeia de suprimentos dessas empresas, mas não descartava também a exploração de vulnerabilidades de conhecimento público, como a Log4Shell, recém descoberta à época.
Estes incidentes, somados a defacements e a ataques de DDoS documentados originalmente em meados de fevereiro, eram somente os primeiros movimentos dos peões no tabuleiro. O jogo se tornou verdadeiramente global entre os dias 23 e 24 de fevereiro, véspera e primeiro dia da guerra, com a disseminação do wiper Cyclops Blink, desenvolvido pelo grupo de adversários Sandworm para destruir o firmware de modems de acesso à Internet, sobretudo dispositivos usados em ambientes domésticos ou em pequenos escritórios.
O objetivo era causar um apagão no acesso à Internet sem derrubar os links do país; assim seria possível desorientar o governo e a população ucraniana, desabilitando  um meio importante para a coordenação das atividades de resposta e proteção das pessoas mas, ao mesmo tempo, preservando a infraestrutura tecnológica do país, a qual seria usada pela Rússia em uma eventual ocupação.
O caminho para o ataque aconteceu por meio da infraestrutura da Viasat, empresa de telecomunicações americana que intermedeia o acesso à Internet via satélite com diversos provedores pelo mundo. Em nota publicada em março, a Viasat afirma que os atacantes acessaram seu ambiente com o objetivo de usá-lo como ponte para alcançar o provedor de acesso local Skylogic e, a partir da rede desta empresa, ter acesso aos modems.
Nos meses que se seguiram, à medida que o combate cinético escalava, várias hostilidades foram desencadeadas também no domínio cibernético. Elas contaram, claro, com as operações militares e de inteligência dos países envolvidos no conflito e também de seus aliados, mas também com ações de grupos hacktivistas motivados ideologicamente.
No hacktivismo não é possível saber quem está por trás da máscara, então não podemos classificar todos os seus ataques como ideológicos; pelo contrário, temos que considerar as operações hostis nesse campo também como possíveis atos de países com interesses na guerra e que usam o hacktivismo como uma forma de conduzir atividades ofensivas de forma anônima.
Até o momento, os ataques causaram danos a entidades nos dois principais países envolvidos na guerra e também a organizações operando em países sem vínculo direto com o conflito, com múltiplas campanhas baseadas em, pelo menos, oito famílias de malware[1] usadas em ataques destrutivos contra mais de 40 organizações na Ucrânia e hostilidades variadas contra entidades russas. Destaque para a intrusão seguida do vazamento de dados da Roskomnadzor, a agência de censura do Kremlin.
Reveses em adversários significativos
Até a quadrilha de ransomware Conti foi diretamente afetada pela guerra, após um de seus operadores declarar apoio incondicional à Rússia assim que o conflito começou.
Em resposta ao pronunciamento, um (ou mais) membros com acesso a dados importantes da quadrilha vazou mensagens de seus grupos privados, bem como dados sensíveis sobre o dia a dia da gangue e o código-fonte do seu ransomware, o qual foi posteriormente adaptado por um coletivo autodenominado Network Battalion 65′ em ataques contra entidades russas.
Os APTs russos Sandworm e APT28, que possuem longo histórico de ataques notáveis, também sofreram reveses em meio ao conflito.
O Sandworm (cuja atividade é documentada desde 2007, com destaque para os ataques que deixaram a Ucrânia no escuro em 2015 e 2016), tentou, sem sucesso, repetir o feito com uma variante do malware usado no blackout de 2016, a Industroyer2. Em abril, autoridades dos Estados Unidos tomaram o controle de uma de suas botnets, a Cyclops Blink, neutralizando a ameaça.
Já o APT28, também chamado de Fancy Bear (cujo ataque de maior relevância talvez seja a intrusão seguida do vazamento de dados do Comitê do Partido Democrata dos Estados Unidos, em meio à campanha presidencial de 2016), teve o controle de sua infraestrutura tomado pela Microsoft, a qual, após obter as devidas autorizações legais, neutralizou os ataques do APT28 em curso naquele momento.
Desinformação
Uma batalha pelo imaginário das pessoas, sejam elas diretamente ligadas ao conflito, ou não, também se intensificou em meio à guerra. Interceptadores de sinal de celular, conhecidos como IMSI-catchers, foram usados no envio de mensagens SMS cujo objetivo era afetar o moral das tropas Ucranianas. Estações improvisadas também foram usadas para enviar mensagens dizendo que os caixas eletrônicos do país estariam indisponíveis, visando causar pânico na população.
Mas é nas redes sociais que este tipo de tática tem se concentrado. A Meta afirmou, em setembro, ter derrubado uma grande rede de desinformação com origem na Rússia e foco em pessoas na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia. Estas campanhas, partiram de duas empresas registradas na Rússia como Structura National Technologies, uma empresa de tecnologia da informação e Агентство Социального Проектирования (Agência de Design Social, em tradução livre), uma empresa de consultoria de marketing e política.
Sinais adiante
Fez parte da retórica de muita gente uma suposta escassez de eventos de “ciberguerra” relevantes no atual conflito entre Rússia e Ucrânia. Como se os incidentes ocorridos até o momento não estivessem à altura das expectativas para se considerar que houve um conflito cibernético.
O assunto foi inclusive objeto de um artigo na Foreign Affairs assinado por David Cattler e Daniel Black, respectivamente, o Secretário-Geral Adjunto para Informações e Segurança e o Analista Principal na Divisão de Análise de Ameaças Cibernéticas na OTAN. Nele, os especialistas argumentam que sim, há um conflito cibernético em curso e ele tem sido, por sinal, bastante intenso.
É importante considerar que, embora seja farta a documentação sobre muitos dos ataques que têm ocorrido, sua incidência não é frequente na grande imprensa. Em muitos casos, devido a documentação ser hermeticamente técnica, mas também porque os ataques cibernéticos, sobretudo aqueles conduzidos por grupos experientes, deixam um rastro maior de dúvidas do que de certezas sobre a identidade do adversário, sendo que alguns deles podem permanecer silenciosos por anos no ambiente das vítimas.  
É possível dizer que a atual fase da Guerra Russo-Ucraniana foi responsável por elevar o patamar sobre o que até então conhecíamos sobre o conflito cibernético, de modo que tanto operações ofensivas quanto defensivas (e até hacktivistas) passaram por um aperfeiçoamento em suas técnicas, acelerando uma evolução que já era fartamente documentada, gerando vitórias e derrotas entre os mais variados atores e tornando o acúmulo de poder cibernético algo menos assimétrico.
Ou seja, quem acompanhou o tema no decorrer do ano testemunhou forças, que até então eram tratadas como se tivessem uma aura de invencibilidade, perderem o controle de parte de seus ativos, desmistificando a imagem, muitas vezes artificial, de que só um país dominaria o espaço cibernético.
Não é possível afirmar que esse “gênio um dia voltará para a garrafa”. Pelo contrário, o acúmulo de saberes e ferramentas, bem como seu uso, tende a se intensificar. Sobretudo porque outros atores do cibercrime têm cada vez mais se profissionalizado e tanto criminosos, quanto as forças de inteligência e de segurança usam as mesmas ferramentas e adotam técnicas semelhantes, de modo que uma atividade retroalimenta a outra e ambas seguem progredindo.
Às organizações que precisam defender seus ambientes é muito importante considerar o movimento das forças geopolíticas em sua estratégia, para além das medidas tradicionais de segurança. Isso porque, no âmbito cibernético, dois ou mais Estados-Nação lutando podem causar danos que transbordam quaisquer limites políticos, pois no ciberespaço as fronteiras não são nada sólidas e, em meio a hostilidades como estas, os atores do conflito podem usar quaisquer recursos disponíveis, inclusive os de sua empresa, de modo a obter vantagem para si.
Ter o apoio de um time de threat intelligence que saiba traduzir estes eventos em insumos técnicos para sua proteção pode ser de grande ajuda, bem como a adoção da disciplina de Threat Hunting para identificar possíveis indícios de que sua rede está, de algum modo, envolvida em um conflito.
Principais eventos de cibersegurança ocorridos em 2022 no contexto da guerra
15/01 – Microsoft reporta a existência de malware afetando o governo ucraniano e várias organizações sem fins lucrativos e de tecnologia. 14/02 – Adversários exibem a mensagem “Esperem pelo pior” em sites de 70 entidades governamentais. 15/02 – Ataques de DDoS indisponibilizam serviços do governo ucrâniano, bancos, rádios, e outros websites por várias horas. 23/02 – Ataques contra websites do governo e com o malware HermeticWiper impactam organizações dos setores financeiro, de tecnologia e de aviação civil. 24/02 – Ataque contra a rede de satélite KA-SAT (operada pela Viasat) de modo a facilitar os primeiros movimentos das tropas russas. 25/02 – Ataques com o malware IsaacWiper contra sites do governo ucraniano. 26/02 – Sites do Kremlin e de outras agências russas sofrem ataques de DDoS. 28/02 – São documentados ataques com as ameaças FoxBlade.A, um trojan com capacidades para disparar ataques de DDoS e FoxBlade.B, um downloader, contra o governo ucraniano. 1/03 – Grupo de ransomware Conti posta comentário em apoio à Rússia e sofre vazamento de sua comunicação, do código-fonte da ameaça e de outros arquivos. 1/03 – Documentada a ocorrência de diversos ataques do grupo Ukrainian Cyber Guerrilla  contra sistemas de energia e de transporte na Rússia. 3/03 – Conti desativa infraestrutura após vazamento dos seus dados. 9/03 – UE discute fundo para aumentar resiliência da Ucrânia em telecomunicações e cibersegurança. 11/03 – Agências de inteligência ocidentais colaboram com a investigação do ataque contra a Viasat. 11/03 – Anonymous ataca a agência de censura russa Roskomnadzor e vazam e-mails e arquivos. 13/03 – Ataque atinge filial alemã da empresa de energia russa Rosneft.  28/03 – A empresa estatal de telecomunicações Ukrtelecom da Ucrânia sofre interrupção no serviço de internet após um ataque cibernético. 30/03 – Campanha de phishing do APT russo Gamaredon afeta alvos na OTAN, militares do Leste Europeu, além de ONGs americanas, um empreiteiro de defesa ucraniano e um militar de um país da região dos Balcãs. 31/03 -Malware usado no ataque contra a Viasat é documentado. 6/04 – Autoridades dos Estados Unidos tomam o controle da infraestrutura da botnet Cyclops Blink e neutralizam a ameaça. 7/04 – Microsoft toma o controle da infraestrutura do APT28 e neutraliza boa parte de seus ataques. 8/04 – Ataques cibernéticos com origem na Rússia afetam a Finlândia. O incidente ocorreu em meio a uma suspeita de violação do espaço aéreo por aeronaves russas. 12/04 – Sandworm tenta colocar a Ucrânia em situação de blackout, mas falha. 27/04 – Microsoft contabiliza aproximadamente 40 ataques cibernéticos contra a Ucrânia desde o início do conflito. 30/04 – Meta afirma ter removido 46 páginas, 91 contas no Facebook, 2 grupos e 1 conta no Instagram ligadas a operações de desinformação russas. 19/05 – Mandiant detalha extensa campanha de desinformação visando manipular a opinião pública sobre o conflito. 9/06 – Rússia adverte o Ocidente de que os ataques cibernéticos contra sua infra-estrutura corriam o risco de levar a um confronto militar direto. 29/06 – A Noruega é atacada pelo grupo hacktivista de orientação russa Killnet e acusa o país de conduzir o ataque. 7/09 – Google identifica que adversário com histórico de ataques motivados financeiramente também atuou em incidentes alinhados com o governo da Rússia. 27/09 – Meta afirma ter derrubado uma grande rede de desinformação com origem na Rússia e atividade na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia. 6/12 – Banco russo VTB é alvo de ataque de DDoS massivo. Grupo IT Army of Ukraine assume autoria. 15/12 – Meta atualiza post sobre campanha de desinformação publicado em setembro com a informação de que as operações de desinformação russas anteriormente citadas são baseadas em duas empresas no país. [1] A Microsoft cataloga essas famílias como 1-WhisperGate ou WhisperKill
[2]FoxBlade, também chamado de Hermetic Wiper
[3]SonicVote também chamado de HermeticRansom
[4] CaddyWiper
[5]DesertBlade
[6]Industroyer2
[7]Lasainraw também chamado de IssacWiper
[8]FiberLake, também chamado de DoubleZero.
Texto originalmente publicado no blog Tempest Trends. Reprodução autorizada.
 
Tempest Security Intelligence

Binutils 2.40 lançado: Veja as novidades

Quem segue o nosso fórum de releases já viu que o projeto GNU liberou a versão 3.40 do Binutils no último sábado. Baixei e compilei para ver o que tinha de diferente. Seguem os novos recursos direto do repositório oficial:
Changes in 2.40: * Objdump has a new command line option --show-all-symbols which will make it display all symbols that match a given address when disassembling. (Normally only the first symbol that matches an address is shown). * Add --enable-colored-disassembly configure time option to enable colored disassembly output by default, if the output device is a terminal. Note, this configure option is disabled by default. * DCO signed contributions are now accepted. * objcopy --decompress-debug-sections now supports zstd compressed debug sections. The new option --compress-debug-sections=zstd compresses debug sections with zstd. * addr2line and objdump --dwarf now support zstd compressed debug sections. * The dlltool program now accepts --deterministic-libraries and --non-deterministic-libraries as command line options to control whether or not it generates deterministic output libraries. If neither of these options are used the default is whatever was set when the binutils were configured. * readelf and objdump now have a newly added option --sframe which dumps the SFrame section. A opção --show-all-symbols parece interessante de deixar sempre ativada, para o caso de qualquer endereço na saída do objdump coincidir com mais de um símbolo no binário. Não é comum, mas se acontecer, vale a pena saber. 🙂
Habilitar o output colorido em tempo de configuração me parece uma boa ideia e vai servir para os mantenedores de pacotes das distribuições deixarem o output do objdump colorido por padrão. Veja a diferença:

Disassembly normal

Disassembly colorido
Lembrando que o objdump passou a suportar esse destaque de sintaxe em cores na versão 2.39 do Binutils. O que acontece agora é que existe uma opção em tempo de configuração (leia-se: ./configure) para deixá-la ativada por padrão. 😉
Outro destaque é o suporte ao dump de seções SFrame tanto no readelf quanto no objdump. Como a opção --gsframe já havia sido adicionada no as, o GNU Assembler, dá pra usá-la com a opção -Xassembler do gcc assim:
gcc -Xassembler --gsframe -o binario.elf hello.c E com o readelf (ou objdump), usar a nova opção:
$ objdump --sframe binario.elf binario.elf: file format elf64-x86-64 Contents of the SFrame section .sframe: Header : Version: SFRAME_VERSION_1 Flags: SFRAME_F_FDE_SORTED Num FDEs: 3 Num FREs: 8 Function Index : func idx [0]: pc = 0x1020, size = 16 bytes STARTPC CFA FP RA 0000000000001020 sp+16 u u 0000000000001026 sp+24 u u func idx [1]: pc = 0x1030, size = 16 bytes STARTPC[m] CFA FP RA 0000000000000000 sp+8 u u 000000000000000b sp+16 u u func idx [2]: pc = 0x1139, size = 59 bytes STARTPC CFA FP RA 0000000000001139 sp+8 u u 000000000000113a sp+16 c-16 u 000000000000113d fp+16 c-16 u 0000000000001173 sp+8 c-16 u As distros levam um tempinho até subir o novo pacote pra você atualizar no seu Linux. Se não quiser esperar, baixa do repositório oficial e compila. Seguem as instruções:
$ wget https://ftp.gnu.org/gnu/binutils/binutils-2.40.tar.xz $ sudo apt install texinfo flex bison libgmp-dev libmpfr-dev gcc make $ tar xf binutils-2.40.tar.xz $ cd binutils-2.40 $ ./configure --enable-colored-disassembly # já testa a nova opção ;-) $ make $ ./binutils/objdump --version GNU objdump (GNU Binutils) 2.40 Copyright (C) 2023 Free Software Foundation, Inc. This program is free software; you may redistribute it under the terms of the GNU General Public License version 3 or (at your option) any later version. This program has absolutely no warranty.  
Fernando Mercês