BHack 2022
Pela primeira vez participei da BHack e gostei muito do que vi, primeiro por ser fora de SP e segundo pela qualidade das palestras, a quantidade de patrocinadores, um CTF interessante preparado pela equipe FireShell e uma geladeira cheia de cerveja, pra qualquer um que conseguisse abrir o cadeado através de Lockpicking.
Além de todos esses motivos, a cidade de Belo Horizonte já valeu a visita, a região escolhida tinha toda infraestrutura para comer, beber e curtir, pra todos os gostos, inclusive a hospedagem no hotel do evento, bem honesta.
Aproveitamos também para melhorar o networking, conversar com referências do mercado, rever amigos e aprender sobre segurança, o que acaba acontecendo quando sobra tempo para as palestras (contém ironia), já que tocamos no assunto das palestras, aproveitarei para compartilhar alguns insights e anotações.
Na palestra do Sergio sobre Ransomware num panorama geral, ele trouxe os apectos do “RAAS — Ransomware as a Service” e como ele está sendo utilizado como arma por diversos agentes no panorama de segurança, impactando inclusive na geopolítica, defesa de sistemas críticos, nações, entre outros aspectos.
Enquanto o V1n1v131r4, falou sobre Opsec e privacidade na era digital, os impactos da sua falta ou quebra dela na vida das pessoas e sociedade como um todo.
Já o Sp00ker falando sobre segurança em AWS, alertou fortemente sobre a necessidade de revisarmos as configurações padrões dos serviços que utilizamos, desabilitar todos os demais que não são utilizados, para evitar um mal uso ou que numa possível exploração esses serviços sejam habilitados e abusados, inclusive reforçando que não devemos confiar nas permissões solicitadas/indicadas por fornecedores e parceiros, pois já se perguntou (ou analisou) se as permissões read-only, são realmente restritivas e atendem somente o que é necessário para o funcionamento do serviço ou ferramenta contratada?
Osmani falou bastante sobre Living Off the Land e como utilizar os projetos do Mitre, entendendo sobre os ataques existentes em suas matrizes e com isso melhorar as nossas defesas. Os projetos apresentados foram o LOLBAS, o próprio Mitre Att&ck e também o Mitre Engenuity.
E pra finalizar as minhas observações, ouvi um pouco mais de como a Tempest está trabalhando para gerar treinamentos às universidades, auxiliando numa melhor preparação dos estudantes e as formas que estão buscando suprir a falta de mão de obra no mercado.
As demais palestras, que foram excelentes da mesma forma, não foram destacadas nas minhas anotações por restrição intelectual da minha parte (onde eu assisti e não consegui compreender ou entender como aplicar no meu dia-a-dia), ou por não ter assistido efetivamente, por conflito de agendas =).
Foi assim que aproveitei esse excelente evento, espero nos encontrarmos por lá em 2023!!!
Obrigado pela leitura e até a próxima!
Referências:
