A Vale Security Conference é a maior conferência de Segurança da Informação do Vale do Paraíba (interior de SP) e está em sua terceira edição. A primeira edição aconteceu em 2011, em São José dos Campos e a segunda edição aconteceu em 2013, sendo a última antes de um hiato de 7 anos. Somente após esse período, o evento voltou para ficar – mas, dessa vez, por conta da pandemia de COVID-19, foi necessário que o evento acontecesse online. A terceira edição, online, de 2020, foi um sucesso absoluto, com quase 2000 visualizações e um pico de quase 200 pessoas simultâneas assistindo!
O evento aconteceu em maio, nos dias 15 e 16.
Dia 1
O primeiro dia de evento foi durante a noite, das 18h às 22h, com palestras de 1 hora nos temas: Criptografia Quântica, Guerra Cibernética, CTF e Engenharia Social. Eu, João Góes, fiquei responsável por abrir o evento com a palestra de Criptografia Quântica, que acabou ficando super elaborada em alguns pontos e teve que ser apressada no final, o que me agradou pouco, apesar do público ter dado bastante feedback positivo. A palestra teve como objetivo falar sobre a relevância que tecnologias quânticas tem e terão cada vez mais no futuro, além de prover contexto e informação suficiente para que qualquer pessoa, independentemente de conhecimento prévio, entenda como funciona.
Depois dessa “bazucada” de informação, houve a segunda palestra do dia, que trouxe um público e uma animação nunca antes vista para o chat ao vivo da live, com a Divina Vitorino. A palestra dela, sobre CTF, teve como objetivo apresentar os resultados de sua pesquisa na USP, então foi uma palestra bem abrangente, indo desde o tema pesquisa e gamificação até funcionamento de competições de Capture the Flag e hackerspaces. Por estar sempre em alta, o tema CTF instiga muitos profissionais da área ou mesmo entusiastas e curiosos a buscar participar de tais competições, tornando essa palestra um baú do tesouro para introduzir pessoas nesse mundo de game + segurança.
Após a interação frenética do público com a Divina, chegou a vez da Lígia Soares chegar chutando a porta sua palestra. Lígia falou sobre Guerra Cibernética e sua palestra tinha a missão de explicar o porquê o mundo precisa de mais hackers, além de passar de maneira bem compreensiva por temas como hacktivismo, Deep Web e todos os outros temas que envolvem os conflitos virtuais sobre Guerra Cibernética, incluindo projetos de segurança e espionagem governamentais e terrorismo. A palestra da Lígia também trouxe bastante informação acerca de como se proteger e também levantou reflexões extremamente importantes sobre privacidade.
Por fim, depois de várias perguntas super interessantes, chegou a vez de Wellington Honorato encerrar o evento, falando sobre Engenharia Social, 100% no gogó, sem PowerPoint, apenas com a oratória e conteúdo de um “hacker social”. A intenção dele era abordar o tema em um bate-papo, tendo o conteúdo bastante orientado a interação e perguntas dos participantes. O objetivo da palestra era literalmente contar sobre aprendizados e o que há por trás dos pouco conhecidos “PenTests físicos”, ou seja, as tentativas de invasão de locais físicos, por engenheiros sociais. Além da forma como foi feito e aprendizados tirados dessa experiência, Wellington comenta sobre que tipos de ativos são expostos no interior de uma empresa e que podem ser facilmente coletados ou mesmo vistos por quem não deveria ter tal acesso.
E chega ao fim o primeiro dia de evento, bastante orientado a perguntas, com uma parte considerável do público tendo ficado até o final, do começo da noite até bem tarde, animados para o dia 2!
Dia 2
Último e também mais longo dia de evento, dessa vez, com 5 palestras e durante a tarde de sábado (das 14h às 19h). Curiosamente, com uma média de experiência profissional dos palestrantes de mais de 15 anos! De fato o dia da old-school. A responsabilidade de abrir o evento dessa vez foi do Paulo Galego, professor e coordenador muito mencionado pelos palestrantes do dia anterior. Paulo Galego com sua extensa experiência em sala de aula, trouxe da maneira mais didática e informativa possível, tudo sobre carreiras na área de Segurança da Informação. Sua palestra começou comentando sobre o perfil do profissional de segurança, chegou ao objetivo de passar informações sobre carreiras na área (profissões, áreas e funções) e foi até explicações de incidentes de segurança de grande destaque, ilustrando bastante a relevância do profissional dessa área. A palestra foi fortemente aplaudida pelos participantes no chat e ao vivo e demarcou o início de um dia fantástico de palestras.
A segunda palestra foi do Davi Suga, profissional de infra e segurança na Root Security, empresa patrocinadora do evento. A palestra do Davi focou bastante na interação com o público também, sendo bem curtinha e objetiva, trazendo o tema web scraping e Google Dorks, para deixar a galera que curte programação e OSINT louca. Davi falou sobre algumas das dorks mais populares e úteis, ensinou a pesquisar no Google usando Python, mostrou funcionalidades do Inspecionar Elemento do navegador e abriu ali, na hora H, a IDE para programar junto com a galera os scripts em Python… Como diria o Faustão, “quem sabe faz ao vivo!”. A palestra do Davi foi altamente elogiada, especialmente pela galera que viu a palestra depois do evento.
Logo depois da palestra do Davi, envolvendo bastante Python, chegou a vez da terceira palestra do dia, também envolvendo Python, dessa vez com foco em Segurança Ofensiva (Red Team). E essa próxima palestra fantástica foi apresentada pelo Daniel Moreno, também patrocinador do evento, e a palestra tinha como objetivo demonstrar como Python pode ser usado em operações de segurança ofensiva, de maneira bem abrangente e inovadora. Daniel começou mostrando algumas de suas CVEs recentes, passou por diversos exploits (inclusive fez ao vivasso!), métodos de escalação de privilégio, evasão de antivírus e tudo isso em uma única palestra. Posso dizer seguramente que essa foi uma das melhores palestras que já assisti na minha vida, sobre segurança ofensiva. Daniel basicamente bombardeou o evento de conhecimentos valiosíssimos para todos da área técnica e ofensiva. Ah, cabe dizer também que em sua palestra, Daniel mostrou ao vivasso como ele derrubou uma instância EC2 da AWS da Root Security (criada para testes, mas com largura de banda ilimitada e todos as configurações de uma máquina normal), em 1 segundo, usando um 0day encontrado por ele. Bizarro!
A palestra seguinte não poderia ter vindo em melhor hora! O tema cibercrime e segurança durante a pandemia e home-office trazido pelo ilustríssimo Anchises Moraes, organizador de um dos eventos que mais gosto no Brasil, a BSides São Paulo. Anchises, com toda sua absurda experiência e conhecimento no ramo, trouxe diversos insights não só para profissionais de Segurança da Informação, como também pro público em geral, que agora está lidando com o trabalho de casa. Anchises falou bastante sobre o fenômeno das Fake News, fraudes online (especialmente via WhatsApp), peso do COVID-19 na psique dos profissionais de empresas em home-office e deu diversas dicas não só de segurança para sua empresa como também segurança pessoal no que tange seu computador, aplicativos de teleconferência e muito mais! Essa palestra literalmente resumiu grande parte do esforço de equipes de segurança em empresas nesses tempos sombrios em que vivemos.
Para finalizar o evento, tivemos a participação de um palestrante “secreto”, revelado no último momento e que fez a galera da área técnica pirar completamente. César Marcondes, também um professor, com longa experiência nessa área, apresentou o trabalho de mestrado que fez em conjunto com um aluno. O trabalho é sobre a “HonIoT”, uma arquitetura de honeynet com controle de propagação de malwares para dispositivos de IoT, ou seja, um prato cheio para os times de segurança defensiva, SOC e também para empresas que lidam com IoT. César passou um overview geral dos números e estatísticas relacionadas a ataques em IoT, malwares e vulnerabilidades em dispositivos, mostrou ao vivo o funcionamento do Shodan, explicou no detalhe o conceito por trás da honeynet e demonstrou também ao vivo como funciona tudo. Depois de deixar o público em silêncio absoluto, apenas prestando atenção sem piscar, César demonstrou quais eram os desafios no futuro para melhorar o projeto e respondeu diversas dúvidas bastante técnicas, encerrando o último dia da Vale Security Conference 2020.
Conclusão
Como você pode ver, a gama de assuntos tratados pelo evento foi extremamente ampla, tendo desde palestras para o público em geral até palestras para o público mais técnico, baús do tesouro para profissionais de segurança e baús do tesouro para quem começou a estudar a área agora. Os palestrantes fantásticos, com uma experiência, bagagem e conhecimento absurdamente grandes em suas áreas, puderam com sucesso não só apresentar os temas propostos como também responder as mais diversas dúvidas síncronas e assíncronas que surgiam em um site terceiro, chamado Sli.do, onde os participantes que assistiam a gravação (que não estavam ao vivo) podiam enviar suas dúvidas e o palestrante responderia, estimulando muito mais a interação!
Se você se interessou pelo evento e gostaria de assistir as gravações, saiba que a Vale Security está disponibilizando todas as palestras (e também o workshop da Wi-Fi Hacking que realizei com o pessoal na semana seguinte!) por um valor super especial. Interessados podem entrar em contato com a organização via e-mail em contato@valesecconf.com.br.
Nos vemos na próxima edição!
Visits: 52
