Jump to content
    • Julliana Bauer
      Você ainda acha que a função de um analista de segurança é restrita apenas a Pentest? Então este artigo é para você. Afinal, esse é um dos erros mais comuns de profissionais em início de carreira. É claro que Pentest é, sim, uma  parte essencial na segurança de aplicações. Mas AppSec vai muito além do Pentest! 
      Na primeira parte deste artigo sobre carreiras em AppSec, abordamos alguns papéis como Product Manager - essencial em empresas de produto, como é o caso da Conviso - bem como profissionais de Sales e de Engineering. Nesta  segunda parte, vamos abordar as diferentes possibilidades de direcionamento de carreira que um Analista de Segurança da Informação pode seguir. 
      Na Conviso, por exemplo, há três times diferentes de Professional Services  em que um Analista de Segurança da Informação pode trabalhar: PTaaS - Pentest as a Service, Consulting e MSS - Managed Software Services. Isso porque a empresa trabalha com as melhores práticas de segurança de  aplicações e, para isso, entre suas ferramentas, utiliza também o modelo da OWASP SAMM, que sugere um conjunto de práticas de segurança que atende todo o ciclo de vida do software. 
       
       
       
      Desenhando soluções seguras 
      O Omayr Zanata (foto ao lado), que é Tech Lead do time de Managed Services, explica que a área de MSS atua em três dos cinco pilares propostos pelo SAMM - Design, Implementação e Verificação. No pilar de Design, por exemplo, ele conta que o time de MSS atua ajudando o cliente a desenhar uma solução pensando em segurança desde o início. 
      "A gente bola a parte da arquitetura segura, executa a modelagem de ameaças, e elencamos os requisitos de segurança necessários, para desenhar uma arquitetura segura. Tudo isso em parceria com o cliente, para garantir a segurança da aplicação desde o início - que é justamente o que manda o famoso conceito Shift Left", explica. "A segurança tem que ser pensada na etapa desde os desenhos iniciais de arquitetura", reforça. 
      Na parte de Implementação, entra a segurança no DevOps, com o building seguro, o deploy seguro e a gestão dos defeitos, por exemplo. Já na fase de Verificação é quando é realizado o Assessment de Arquitetura, bem como os testes baseados em requisitos e os testes de segurança, como por exemplo SAST, DAST, SCA - que, aqui, são automatizados, diferentemente dos Pentests e Code Review, que são manuais.
      Quanto ao perfil de analista que atua na área de MSS, Omayr explica que é  bastante importante que o analista tenha background de desenvolvimento e dois perfis são bastante interessantes para a atuação na área: o primeiro é um perfil mais orientado a DevOps e um segundo perfil mais orientado à arquitetura. 
      "Muita gente acha que precisa ter experiência em pentest para atuar com segurança, e na verdade, os maiores diferenciais nessa área são o background de desenvolvimento e experiência com desenhos de arquitetura, cloud, microsserviços e esteiras de desenvolvimento", afirma. Ele conta ainda que uma boa dica para quem busca uma colocação na área é ganhar familiaridade com o modelo da OWASP SAMM e o OWASP ASVS. 
      Quer trabalhar com o Omayr? Confira as vagas no time dele! 
       
      Treinamentos e capacitações 
      Dentro dos pilares do SAMM, a área de Consulting é voltada para de Governança e Operações - e atua também em Design. Neste time, o Analista de Segurança tem em sua rotina inúmeras atividades que abrangem desde uma documentação de procedimentos até a condução de treinamentos; além disso, deve prestar uma assessoria aos clientes internos e externos em relação às soluções e boas práticas de desenvolvimento e gerenciamento de segurança em seu ambiente. 
      Evandro Pinheiro de Oliveira (foto o lado), que é Analista de Segurança, conta que faz parte do seu dia a dia na área ministrar treinamentos para os times, com a estratégia de formar Security Champions. Isso significa preparar materiais, capacitar pessoas. Ele também atua na parte política, de dar consultoria no suporte a regras e normas - isso tudo o que faz parte do pilar de Governança do SAMM. 
      Já na fase de Design, atuam com o levantamento de Requisitos, aplicando uma estratégia de análise de ameaças, que ocorre na construção de software. No pilar de Operações, é feita a observação de indicadores. “Para trabalhar em Consulting, o pessoal precisa ser mais comunicativo, justamente por estar mais no dia a dia com o cliente - além, é claro, do conhecimento técnico necessário, uma vez que ainda é essencial conhecer as lógicas de programação, para falar com propriedade, embasamento”, reforça.
      Ele conta que embora o time conte com profissionais de experiências variadas - de júnior a sênior - trata-se de uma excelente porta de entrada para o mercado de AppSec, justamente por exigir de pesquisas e estudos constantes sobre todo o ciclo de desenvolvimento - assim, o profissional consegue ter uma melhor compreensão de qual área ele se identifica mais. E o próprio Evandro é prova disso - ele trabalhou por 10 anos com desenvolvimento e tinha paixão por Segurança de Aplicações. Estudou bastante, buscou se familiarizar mais com os conceitos da área e foi atrás de uma colocação no mercado - e foi assim que chegou até a Conviso. 
      É claro que tem vaga nesse time, né? Saiba mais! 
       
      E, enfim, o Pentest! 
      Heitor Pinheiro(foto ao lado), Tech Lead da Área de Pentest as a Service, conta que neste time, em específico, os analistas exercem três grandes práticas: Operations; onde executam todos os projetos, nos mais variados contextos e escopos possíveis. “Resumidamente o objetivo é entregar valor aos nossos clientes através da identificação de vulnerabilidades”, afirma Heitor. 
      A segunda prática é Research, onde os profissionais fazem pesquisa de vulnerabilidade em softwares e serviços utilizados de forma abrangente, buscando proporcionar aprimoramento técnico e comercial através do compartilhamento dos resultados obtidos. 
      Já a terceira se chama Tooling, e eles contam com a ajuda de especialistas em automações, onde eles são responsáveis por nos prover recursos que nos permite operar em alta velocidade e em larga escala. “Um exemplo básico é auxiliar outras equipes especializadas em segurança em seus esforços de automação, definir e possuir métricas e KPIs para determinar a eficácia das automações criadas”, detalha. 
      “De forma muito geral, para atuar em um time de Pentest, o profissional precisa ter uma boa base em desenvolvimento de software/aplicações, redes, sistemas operacionais e muita vontade de aprender, pois nesse universo existem novos desafios todos os dias”, aconselha. 
      Outra dica que ele dá para quem busca trabalhar na área é arriscar-se. Segundo o Tech Lead, boas formas de fazer isso são participando de competições de CTF, contribuindo para a segurança de um projeto open-source; ou mesmo mantendo um projeto ou blog sobre o tema. “Através desses desafios, é mais rápido e divertido de entender o que funciona no mundo do AppSec - e também é uma forma de conseguir maturidade com casos reais”, conclui. 
      Curtiu? Então vem trabalhar com o Heitor! 
       


    • Golpes de phishing e tentativas de extorsão têm sido cada vez mais comuns e alguns se tornam bem elaborados na medida em que criminosos estão se aprimorando para tentar ao máximo enganar a vítima a pagarem uma quantia de dinheiro sem perceber que estão sendo confundidos. 
      A equipe do Mente Binária recebeu a denúncia de mais uma caso clássico de utilização de faturas falsas para tentar enganar vítimas a pagarem boletos. Desta vez, se trata de uma fatura que imita um boleto da Claro/Net. 

                                                                                                            Boleto original (à esq.) e boleto falso (à dir.) recebidos pelo mesmo cliente
      Neste golpe, há algumas diferenças claras entre o boleto original, à esquerda, e o falso, à direita. Primeiramente, o número do cliente está errado, portanto, não o boleto não foi enviado de algum de dentro da Claro/Net, apesar de ter sido recebido por um cliente da empresa. Outro dica para se proteger de golpes como esse é, caso você seja um cliente da empresa, reparar se o boleto enviado têm as mesmas cores e comunicação dos boletos anteriores, o que não é o caso. 
      A vítima alerta ainda que a conta chegou no mesmo período que chega normalmente a cobrança da Claro/Net, com um vencimento plausível e um valor próximo do real que precisaria ser pago. Mas houve em meio às desconfianças, estava o endereço de e-mail do remetente, que neste caso é do ig, sendo mais um indício de que a conta é falsa.

      E-mail recebido utiliza remetente falso

    • Nos artigos anteriores, reunimos algumas dicas para quem busca uma carreira em segurança de aplicações. Contamos também sobre o dia a dia de um estagiário do time de Pentest. Mas você sabe quais são as demais possibilidades de carreiras que a segurança de aplicações permite? 
      Para entender melhor, conversamos com algumas pessoas que vivem a  rotina de AppSec na prática. Afinal, como já contamos aqui anteriormente, AppSec é uma das carreiras mais promissoras para o futuro! 
       
       
      Product Manager - conectando a estratégia da empresa às necessidades do cliente 
      Vamos começar pela Product Manager - uma função muito importante quando se trata de uma empresa de produto, como é o caso da Conviso, que desenvolve o AppSec Flow. Isabelle Gomes (foto ao lado), que é responsável por esse papel no time de Produto da Conviso, conta que a Product Manager é a profissional responsável por conectar três 3 áreas estratégicas de uma empresa: UX, Tecnologia e Negócios. “É necessário que esta profissional faça a conexão entre a estratégia da empresa e as dores do cliente”, pontua. 
      Dentre seus principais desafios, está o de facilitar o trabalho da equipe, removendo impedimentos e aproximando pessoas que podem ajudar o time a entregarem suas demandas de forma mais estruturada e eficiente. “Para isso, é preciso garantir que as entregas tenham equilíbrio entre tempo de desenvolvimento e qualidade”, esclarece. 
      Sobre a rotina do time, ela conta que é marcada por rituais - desde reuniões diárias para abordar a programação do dia e alguma eventual barreira no desenvolvimento, a Ritos Ágeis de início e encerramento de sprints, que ocorrem quinzenalmente. Retrospectivas também fazem parte da rotina.
      “Por outro lado, temos continuous discovery acontecendo, onde juntamente com o Product Designer, temos interações com usuários reais por meio de entrevistas, testes de usabilidade, shadowing, focus group entre outras atividades de ideações e validações do produto”, explica. 
      Segundo Isabelle, para fazer um trabalho de excelência, uma Product Manager precisa ter algumas características como: empatia, saber trabalhar a liderança por influência e sem autoridade; facilidade de comunicação; um mindset de pensamento e visão estratégicos alinhados com a estratégia da companhia; ter a capacidade de decisão e priorização de roadmap e conhecer muito bem o seu mercado. 
      A dica dela para quem sonha em entrar para Segurança de Aplicações é estudar sobre produtos, estar sempre atualizado com cursos, podcasts, meetups, notícias, youtube. “Seja muito humilde e pratique a empatia a todo momento”, aconselha. 
      Ah, vale lembrar que tem vaga para o time da Isabelle. Confira aqui. 
       
      O Desenvolvedor em uma empresa de AppSec 
      Já o desenvolvedor – ou dev, como é popularmente chamado – é o  profissional que se dedica ao desenvolvimento de software. Você sabe como é a rotina de um dev em uma empresa de AppSec? 
      De acordo com Felipe Lima (foto ao lado), que é Desenvolvedor Ruby on Rails no time de Engineering da Conviso, trata-se de um dia a dia desafiador, porém muito bacana para evolução técnica. “Precisamos entregar códigos seguros, então além de estudar para manter o código seguro, utilizamos o nosso produtos para monitorar qualquer código”, explica. 
      Sobre a rotina do time, ele conta que geralmente eles trabalham com sprints semanais, com o foco sempre na melhor entrega para o cliente - tanto interno quanto externo - e também adicionando testes unitários para validar o código, além de fazer code review nos pull requests de outros devs. “Nosso principal desafio é fazer com que o produto cresça de uma forma simples e segura”, analisa. 
      Para quem já é dev e atua em outros nichos, mas está considerando uma transição de carreira e tem curiosidade para trabalhar com segurança de aplicações, o Felipe deixa uma dica: “Acredito que é preciso entender por quê precisamos sempre entregar códigos seguros, e também ter a vontade de aprender como proteger seu código e seu sistema, bem como aprender mais sobre ferramentas que podem auxiliar na segurança de seu código, e estar atento a updates de bibliotecas que têm algum fix de segurança. Aprender um pouco mais como funciona um scan de código também é bem importante”, ensina. 
      Achou interessante? Tem vaga para Dev na Conviso, confira! 
       
      Sales - como funciona um time de vendas dentro de uma empresa de AppSec  
      Já comentamos sobre isso em nosso texto com 4 motivos para apostar em uma carreira em AppSec, mas uma empresa de segurança de aplicações é feita não apenas por desenvolvedores e analistas de segurança da informação - mas também por profissionais de Comunicação, Finanças, Marketing, Sales - ou seja, existem muitas possibilidades para quem se identifica com a área, mas não é necessariamente egresso de cursos de tecnologia. 
      A Andrea Pizzato (foto ao lado), por exemplo, é Account Executive no time de Sales da Conviso, e explica que embora para trabalhar no time dela não seja necessário abordar AppSec com a mesma profundidade técnica que um desenvolvedor usaria, é importante ler bastante sobre o assunto para ter um bom embasamento. 
      A Andrea explica que seu time conta com um canal de sales-advisory, onde são trocadas informações com o time técnico, que está sempre disposto a ajudar. “O grande negócio é ser curioso e interessado, consumir bastante conteúdo que é compartilhado entre as equipes, e gostar de aprender”, aconselha.
      A rotina dela envolve realizar reuniões com os clientes e entender suas necessidades, bem como identificar suas dores e desafios, estruturar um projeto que tenha aderência ao cenário deles e fazer todo esse acompanhamento: desde o primeiro contato até o kick off do projeto. “Pode até parecer fácil, mas para isso acontecer, rolam muitos desdobramentos”, ela explica. “Além disso, ficamos muito atentos aos indicadores, sempre pensando em como podemos crescer e melhorar nosso funil de vendas”, complementa a Account Executive. 
      Ah, e tem vaga no time de Sales da Conviso. Inscreva-se! 
      Na segunda parte deste artigo, que publicaremos em breve, falaremos sobre todas as funções e direcionamentos que um Analista de Segurança da Informação pode seguir em uma carreira em Segurança de Aplicações. Não perca! 


    • Um incidente relacionado aos sistemas do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) deixou indisponível o acesso ao currículo Lattes e diversos sistemas de informática da instituição. O problema já ocorre há mais de três dias, levando à repercussão, nas redes sociais, de cientistas e professores que estão se manifestando sobre o quanto o "apagão" pode prejudicar seus trabalhos.
      A Plataforma Lattes CNPq integra as bases de dados de currículos e de instituições da área de ciência e tecnologia em um único sistema de informações. Sua importância e relevância atual se estende não somente às atividades operacionais de fomento do CNPq, como também às ações de outras agências federais e estaduais na área da Ciência e da Tecnologia. O CNPq nomeou o sistema em homenagem a César Lattes, físico brasileiro e um dos principais responsáveis pela criação da instituição. 
      Em comunicado, o CNPq afirma que "o problema que causou a indisponibilidade dos sistemas já foi diagnosticado em parceria com empresas contratadas e os procedimentos para sua reparação foram iniciados". A instituição destaca que existem backups cujos conteúdos estão apoiando o restabelecimento dos sistemas, reforçando que não houve perda de dados da Plataforma Lattes.
      O incidente repercutiu negativamente entre pessoas que atuam nas áreas de Ciência e Tecnologia, já que o site reúne toda a trajetória acadêmica dos pesquisadores brasileiros, enquanto professores e estudantes cadastram as informações sobre sua produção acadêmica, as pesquisas em andamento ou finalizadas, os artigos publicados, as bolsas conquistadas, entre outros.
      Apesar do CNPq afirmar que há backup, a demora para o restabelecimento do sistema incomodou os especialistas da área. A Cientista da Computação recentemente entrevistada pelo Mente Binária, Nina da Hora, manifestou em suas redes sociais a insatisfação com as explicações dadas no comunicado do CNPq sobre o ocorrido:
       
      O professor e político Comte Bittencourt está entre os que se manifestaram sobre a problemática relacionada à indisponibilidade do sistema:
      Nós do Mente Binária notamos que parece haver uma negligência em relação aos processos de backup de dados, já que muitas empresas e instituições sofrem com esse tipo de apagão ou falta de acesso, especialmente por conta de ataques e ameaças de segurança, como ransomware, o que tem sido crescente. Isso denota a baixa maturidade das empresas em relação à segurança, disponibilidade e integridade dos dados, que é o caso do incidente ocorrido no CNPq, mesmo que este não esteja relacionado a um ataque.

    • Com 8 anos de idade, Ana Carolina da Hora já sabia que queria ser cientista. Aos 12, já tinha começado a programar. Nascida em Duque de Caxias (RJ), Nina, como é conhecida, sempre gostou de computação, e aproveitou o apoio da família durante a infância e adolescência para explorar a área com recursos que tinha dentro de casa mesmo. Nina vem de uma família de professoras, então a educação sempre foi muito forte em seu ambiente familiar. "Aqui faltava qualquer coisa, menos livro. Eu lia livros de ciência para crianças em quadrinhos. Também li 'O homem que calculava', de Malba Tahan, que é antigo e fez parte da infância de muitas pessoas. Muita gente fala que se interessou pela matemática por conta desses livros. Eu lia e ficava imaginando como foi possível para esses cientistas e filósofos terem as ideias que eles tiveram", conta Nina. 
      Interessada em tecnologia, Nina desmontava aparelhos de DVD e minigames em casa, até que um dia aproveitou o computador de sua tia para programar. "Sempre tive muita liberdade para fazer isso mesmo sem as ferramentas que as pessoas ricas ou de classe média tinham. Os livros me ajudaram muito, e os desenhos e programas que eu assistia de ciência também, além de professores que nessa fase me ajudaram a buscar conhecimento de formas diferentes".
      Mesmo com todo esse interesse, Nina não sabia direito o "nome" da profissão que ela queria seguir, até que ela descobriu que era Ciência da Computação. "Não só pelo título de cientista, mas por querer passar pelo caminho e pela história da computação, e não só fazer parte do resultado. Eu fui saber isso com quase 17 anos, quando fui prestar vestibular", conta.
      Foi com essa idade que Nina foi aprovada em uma universidade pública. Alguns anos depois, em 2015, ela migrou para a PUC-Rio, onde está agora finalizando o último ano de curso, aos 26 anos. "Desde que entrei na faculdade eu já trabalhava. Fiz curso técnico em informática e comecei atuando nessa área como estagiária. Virei professora porque me dava bem com os alunos e tirava dúvidas deles no laboratório". Foi assim que Nina passou a dar aula de programação com 18 anos.
      Depois disso, ela foi trabalhar como desenvolvedora em inteligência artificial, mas seu objetivo mesmo sempre foi seguir na área acadêmica. "Por isso eu fiz muita coisa, participei do Apple Developer Academy 2018-2020 e de programas de pesquisa da PUC. Durante a universidade, trabalhei em duas startups de robótica no Brasil desenvolvendo produtos e robôs. Também trabalhei em ONG por dois anos, com a ideia de democratizar a computação. Trabalhei em escolas, startups, empresas, ONGs e laboratórios de pesquisa", diz. 
      Agora, perto de se formar, Nina já vai direto iniciar seu doutorado. "Sempre vou atuar na sociedade civil, mas eu gosto da pesquisa e de dar aula, pois acho que é uma forma de se manter sempre atualizado". Toda essa trajetória de Nina converge para a criação de um instituto de computação em Duque de Caxias, que é o próximo projeto no qual ela quer investir. "Para isso preciso ter minhas experiências, entender o que é necessário para esse ambiente". Nina conta que o instituto será focado em educação tecnológica de computação. "O foco é desenvolver cientistas, e não só preparar pessoas para uma carreira profissional. O objetivo é parar de pensar nas pessoas como objeto de mercado de trabalho. Meu público-alvo será os mais jovens e negros, que geralmente querem entrar nessa área e não tem oportunidade, mas também quero atingir um público mais velho". 
      Desafios e preconceito
      A carreira de Nina é repleta de conquistas e aprendizados, mas quem vê de fora nem imagina as dificuldades de ser uma mulher negra em uma área predominantemente composta por homens brancos. "Continua sendo um desafio, acho que as pessoas têm bastante problema em lidar com mulheres negras em posições de tomada de decisão", diz. Segundo ela, essa dificuldade vem de uma ideia de que as decisões dentro da área devem ser objetivas e frias. "Quando colocam mulheres negras, que são pessoas que humanizam os projetos nas ciências exatas, por todo nosso background, há uma dificuldade das pessoas em saber lidar, porque não seguimos os padrões e estereótipos dessa área". 
      "A dedicação que tenho que ter é o triplo da dedicação que um homem branco que trabalha
      na mesma área que eu"
      Mesmo tendo encontrado muitas portas abertas ao longo de sua trajetória, Nina conta como é a pressão de ter que se reafirmar para ser aceita como profissional e cientista. "Ninguém tem noção de quantas vezes por dia eu tenho que provar que sei o que estou fazendo. Hoje em dia eu sei provar mais rápido. Mas a dedicação que devo ter é o triplo da dedicação que um homem branco que trabalha na mesma área que eu". 
      Nina conta que por ser uma mulher negra e fazer parte da comunidade LGBTQIA+, ela acompanha muito de perto a dificuldade que há nas empresas em trabalhar com diversidade e inclusão. "Não adianta colocar essas pessoas em um ambiente tóxico, pois elas serão prejudicadas. Até mesmo nas redes sociais, quando tenho que criar conteúdo, sou cobrada a provar que sei sobre o que estou falando. Mas eu sou assídua na internet, e eu respondo o que sei responder. Se eu não souber, eu falo que não sei. Ainda assim, as pessoas estão sempre esperando que a gente responda a altura do que elas consideram o certo".

      Nina participou do Apple Worldwide Developers Conference (WWDC) em 2018
      Dificuldades na área de cibersegurança 
      Nina também trabalha com ética e inteligência artificial responsiva, e a cibersegurança sempre esteve muito perto das outras áreas em que atuou. "Não tinha a oportunidade de colocar em prática, mas quando comecei a fazer pesquisas, fui para o estudo de criptografia. Agora estou mais perto de projetos focados na segurança digital no Brasil. Não posso revelar o nome de todos, mas também sou conselheira de segurança do TikTok". Esse conselho consultivo foi pensado para a segurança da informação, explica Nina. "Tem sido interessante colocar em prática a experiência que eu tive".
      Mas na área de segurança, Nina também vê diversos problemas. "É um setor muito fechado, não acostumado a ter mulheres negras protagonizando, participando das construções de projetos". Ela conta que muitas decisões prejudicam a vida de pessoas negras. "Não dá para lutar pela abertura dos dados, por exemplo, se você não luta pela segurança. Temos muitas mulheres parlamentares negras sendo ameaçadas porque os dados delas estão abertos, sem segurança, personalizando a pessoa. O cruzamento das informações é prejudicial para o que queremos construir em cidadania digital e segurança", aponta. 
      "O cruzamento das informações é prejudicial para o que queremos construir em cidadania digital
      e segurança".
      Ela conta que nessa área é preciso entender o contexto em que uma ferramenta será inserida. "Precisamos reconhecer que estamos em contextos diferentes para falar em segurança digital. Estou participando da construção de ferramentas que lidam com violência política, por exemplo. Como foi fazer uma ferramenta para ser usada por uma parlamentar negra de São Paulo e ao mesmo tempo por uma parlamentar indígena do Nordeste? É preciso adaptar sem perder a essência. Esse é um exemplo, e não é fácil, mas as pessoas precisam não ter medo dessa dificuldade e complexidade, senão somente avançaremos com as ferramentas, que daqui a pouco não serão mais usadas, mas não avançaremos com pensamento crítico".
       
      Hacker Antirracista
      "Em todos os lugares que eu passei, vi coisas parecidas, desde pessoas falando abertamente que não gostavam da minha atuação porque sou negra e que eu não tinha que levar questões raciais para a empresa, até pessoas que não queriam que a pesquisa que eu estava fazendo na época abordasse questões raciais. Não tem como a gente estar nesses ambientes e não lutar por respeito", diz Nina. 
      "Quando vou em um evento, se me chamam de novo para o mesmo evento eu falo que não, que tem que chamar outra pessoa negra. Isso é ser Hacker Antirracista". 
      Acompanhando – e vivendo – de perto todas essas questões, ela iniciou um movimento ativo para gerar a desconstrução desses padrões, e hoje se autointitula uma Hacker Antirracista. "Ainda não estamos perto do ideal. Por isso, quando vou em um evento, se me chamam de novo para o mesmo evento eu falo que não, que tem que chamar outra pessoa negra. Isso é ser Hacker Antirracista. Eu gero uma corrente para que essas questões não fiquem centralizadas em uma pessoa só".

      Menos30 Fest, festival de empreendedorismo e inovação da Globo que Nina participou
      Nina também trabalha com iniciativas que promovem o conhecimento sobre pessoas negras que atuam na área de ciências. O Ogunhê é um podcast que trata desse assunto. "Eu criei porque mantinha um diário desde a adolescência, quando descobri a área que eu queria atuar. Minha mãe e minha família ficaram com medo, por ser uma área de pessoas brancas e muitos homens, e aí eu comecei a pesquisar sobre cientistas de outros países, criei um diário e ele virou o Ogunhê. É mais uma prática antirracista, mas não só do meio tecnológico. Eu trago pesquisas alinhadas à sociedade", explica. 
      Apoio da família
      Sem a ajuda da família, Nina não teria chegado onde chegou. Foi sua mãe e suas tias que deram todo o suporte e o incentivo para ela descobrir, inclusive, o que realmente queria fazer. "Elas me faziam perguntas e me incentivaram a conversar sobre isso em casa. Eu não tinha muita gente com quem conversar sobre esses assuntos, e mesmo elas não sendo da área de exatas, – são todas da área de humanas e biológicas – me incentivaram a pensar em formas de buscar conhecimento para que eu não me limitasse". 
      O incentivo continua até hoje. Em casa, Nina é "provocada" a pensar no coletivo. "Não existe estar numa área como da computação e não pensar no que estou oferecendo para a sociedade. A computação só existe por conta de outras áreas, como engenharia elétrica e filosofia. Por isso sempre fui provocada pela família para explicar aqui em casa o que faço para minha avó, mãe, tias, e meus irmãos. São os primeiros testadores de qualquer coisa que eu coloco na rua. Se eles se entenderem, qualquer pessoa vai entender".
      "Você não está sozinha em nenhum ambiente tóxico, por mais que façam você acreditar nisso".
      Se você é uma mulher negra, ou representante de qualquer grupo de diversidade, e quer entrar na área de tecnologia, Nina tem um recado: "vocês não estão sozinhas". Ela diz que há muitas pessoas por aí que passam pelas mesmas dificuldades nesse caminho e que quando ela percebeu isso, viu que não iria desistir. "Você não está sozinha em nenhum ambiente tóxico, por mais que façam você acreditar nisso. Quando percebemos que não estamos sozinhas, conseguimos colocar os problemas na luz e ver como resolver, sempre coletivamente". 
      Nina contou ainda com uma base religiosa para conseguir seguir em frente diante das dificuldades, mas diz que independente de acreditar ou não em religião, todo mundo pode encontrar portas de saída. "Qualquer forma de ver a vida e qualquer perspectiva de base precisa ser revisitada nos piores momentos da sua vida", complementa.

    • O livro Programação Shell Linux é uma referência completa sobre programação Shell nos sistemas operacionais Unix/Linux, e chegou na sua 12ª edição depois de mais de 22 anos que o autor, Julio Cezar Neves, veio adaptando essa obra. Apresentando o assunto de forma didática e descontraída, Julio se utiliza de exemplos e dicas de fácil compreensão para explicar para seu público como programar em Shell. Quem pensa que esse é um livro de cabeceira está enganado. É um material prático para ser usado do lado do computador, sendo uma referência completa da linguagem Shell. "Esse livro não é para estudar, é um guia de referência, porque ele está completo", diz o próprio autor, Julio Neves. 
      Ele conta para o Mente Binária como foi seu processo de construção desse rico material. "Tudo começou como uma brincadeira. Durante muitos anos eu fui gestor e de repente eu estava de saco cheio do meu departamento, não queria ficar administrando pessoas. Então resolvi abandonar essa área e voltar para a área técnica". Foi assim que Julio passou a atuar no suporte técnico. No início dos anos 1980, ele já tinha trabalhado desenvolvendo um Unix na Cobra Computadores e Sistemas Brasileiros, hoje BB Tecnologia e Serviços (BBTS). "Eu continuei usando o Unix, porque quando apareceu o primeiro sistema operacional da Microsoft, o DOS, ele saiu da costela do Unix. Se eu já tinha o Shell, para que eu iria usar o DOS?", diz. 
      Assim, Julio decidiu fazer um sistema para protocolo, transferência e check de integridade de arquivos via FTP para a empresa na qual trabalhava. "Eu fiz tudo em Shell". Ele passou a fazer treinamentos com seus colegas na empresa, e acabou escrevendo um manual no qual conta que tinha muita piada e conteúdo descontraído. "A cada treinamento que eu dava eu ia melhorando. Um belo dia minha esposa falou que isso tudo daria um livro", conta Julio. Foi assim que ele publicou a primeira edição do livro Programação Shell Linux, em 2000.
      Motivação
      Os treinamentos internos que Julio fazia em sua empresa sempre davam muita audiência. Ele conta que quando trabalhou na Cobra Computadores, foi feito um convênio com a Universidade Estácio de Sá, do Rio de Janeiro, que cedia as instalações para o pessoal da Cobra dar treinamentos. Em contrapartida, a Cobra dava suporte para a Estácio de graça. "Foi minha primeira experiência dando aula. Eu fiz um curso de didática com técnicas de apresentação e quando fui dar os treinamentos na empresa, anos depois, já tinha essa prática de didática. É uma coisa que gosto de fazer", conta. Hoje, Julio oferece treinamentos sobre Shell Script junto a Rubens Queiroz De Almeida (saiba mais sobre os treinamentos).
      Além do gosto por dar aulas, Julio conta que o livro é uma maneira de disseminar o conteúdo sobre Shell em uma linguagem fácil e acessível, o que não existe em outros materiais. Ele cita o Linux man pages, um manual escrito em inglês rebuscado, sem exemplos. "Praticamente tudo que tem no man pages tem no meu livro, só que o livro tem um monte de exemplo e bom humor. O man page não te ensina a programar, mas só a usar uma instrução. O meu livro mostra as instruções, de forma ordenada, e o funcionamento do Shell. Eu mesmo aprendi Shell pelo man pages, mas é muito chato!", avalia.

      "Meu livro mostra as instruções, de forma ordenada, e o funcionamento do Shell" – Julio Neves
       
      Por que um profissional precisa ter conhecimento de Shell?
      "Uma vez eu dei uma palestra sobre Shell e na hora das perguntas um cara falou que não gostava da linguagem. E eu falei que sem o Shell, o Linux não existe. Quando você dá boot na máquina, ela executa centenas de scripts em Shell; quando você loga, ela roda dezenas de scripts em Shell. Tudo que é feito na máquina está em C ou em Shell. O administrador de sistemas antigamente era obrigado a conhecer profundamente Shell", explica. 
      Na área de segurança, a necessidade desse conhecimento é igualmente importante, conforme explica Fernando Mercês, que é pesquisador na Trend Micro e fundador do Mente Binária. "O Linux é um sistema operacional obrigatório na área de segurança. Quem não conhece Linux, não consegue andar nessa área. E o Shell é o coração do Linux, é por onde um usuário controla o sistema inteiro e usa todos os recursos. Programar em Shell é obrigatório para automatizar o que precisa ser automatizado no Linux", explica Mercês.
      Ele conta que no lado dos ataques, por exemplo, do ponto de vista de segurança ofensiva, e também para criar defesas e ações de proteção de um servidor Linux diante de algum ataque, é preciso usar programação em Shell. "Se seu sistema Linux está sob ataque, você detectou isso e vai bloquear a comunicação do atacante para com o seu servidor, e isso vai ser um comando em Shell do Linux. Além do Linux ser um sistema operacional que precisa ser conhecido, programá-lo bem e saber operá-lo em nível de programação via Shell é essencial para um bom profissional, e um grande diferencial para profissionais de tecnologia em geral", destaca Mercês. 
      Para Julio Neves, não saber programar em Shell pode ser inclusive um risco de segurança. "A pessoa tem que saber Shell, porque a interface gráfica não sabe tudo sobre a digitação, e aí se ele tiver alguma dúvida, vai recorrer à Internet. Se ela fizer isso, pode colocar dentro do computador algo que pode ser ruim, um malware", diz.
      "Meu nível de Shell depois desse livro ficou muito acima da média", diz Fernando Mercês 
      Na experiência de Mercês, de fato o livro Programação Shell Linux é o material mais completo que se tem em língua portuguesa sobre o assunto. "Quando comecei a estudar Linux, em 2008, vi que os materiais que tratam do assunto introduzem o Shell, mas não vão muito além disso. Aí comprei a 6ª edição desse livro do Julio e me impressionei, porque além de ser muito mais profundo que as introduções que eu tinha lido, a didática é impecável. O livro realmente ensina a programar com alguém que sabe muito", conta. 
      "Meu nível de Shell depois desse livro ficou muito acima da média, mesmo no meio do mundo Linux, porque esse conhecimento veio de alguém que não simplesmente estudou, aprendeu e escreveu um livro. O Julio fez parte do time de desenvolvimento de um Unix. Ele foi capaz de criar um Shell. É uma pérola no Brasil". 
      12ª edição
      Julio Neves conta que ao longo do tempo, as edições do livro foram "engordando", cada vez contendo mais material. Mas nessa 12ª edição, ele acabou publicando o livro em uma nova editora, a Novatec, muito motivado a baixar o custo. "Eu estava achando o preço do livro um absurdo e resolvi pegar o livro, que tinha duas partes, um Shell básico e um Shell programação, e tirei o Shell básico para diminuir o custo do livro". 
      Ainda assim, o material continua com 600 páginas, já que ao longo do tempo Julio foi agregando mais conhecimento. "Na primeira edição eu disse que o intuito do livro não era ser um compêndio sobre Shell. Hoje, coloco ele como uma referência sobre Shell", destaca.
      O livro pode ser comprado online nesse link, e tem um cupom de 25% de desconto válido até o dia 30 de julho. Para utilizar, basta digitar PROGSHELL na hora de realizar a compra.

      Capa do livro Programação Shell Linux – 12ª Edição
       
      Falando em referência, o Julio também é uma inspiração para nós do Mente Binária, afinal foi o primeiro entrevistado no programa Papo Binário, em janeiro de 2016. Assista na íntegra:
       

    • O Departamento de Estado dos EUA abriu o programa Rewards for Justice, administrado pelo Serviço de Segurança Diplomática, e que oferece uma recompensa de até US$ 10 milhões por informações que levem à identificação ou localização de qualquer pessoa que participa de atividades cibernéticas maliciosas contra a infraestrutura crítica do país sob a direção ou controle de um governo estrangeiro. Mais informações sobre a oferta de recompensa podem ser encontradas no site Rewards for Justice. 
      Segundo comunicado, o programa criou um canal de denúncias Dark Web (baseado em Tor) para proteger a segurança das fontes, além de trabalhar com parceiros interagências para permitir o rápido processamento de informações, bem como a possível transferência e pagamento de recompensas, que inclui pagamentos em criptomoeda.
      O Departamento de Estado afirma ainda que as atividades cibercriminosos que violam a Lei de Fraude e Abuso de Computadores incluem a transmissão de ameaças de extorsão como parte de ataques de ransomware; acesso não autorizado intencional a um computador ou excedendo o acesso autorizado e, assim, obtendo informações de qualquer computador protegido; e causar conscientemente a transmissão de um programa, informação, código ou comando e, como resultado de tal conduta, causar danos intencionalmente sem autorização a um computador protegido, que incluem não apenas sistemas de computador de instituições financeiras e governamentais dos EUA, mas também computadores usados para o comércio ou comunicação interestadual ou estrangeiro.

×
×
  • Create New...