A Black Hat em Las Vegas, nos EUA, é uma das maiores conferências do mundo dedicadas ao tema da segurança informática. Tão grande, de prestígio tamanho e de interesses vários que nem sempre todas as apresentações tinham lugar garantido. Mas hacker que é hacker tem sempre uma forma de contornar o problema: foi assim que surgiu a BSides.
Na prática esta passou a ser um outro ecossistema de conferências dedicadas ao tema da segurança informática, mas com um maior conceito de abertura para a comunidade. Nasceu em 2009 na ‘cidade do pecado’ e nos anos seguintes espalhou-se por vários países e cidades.
Também chegaria a Portugal. “Na altura estávamos em 2012 e surgiu em conversa que era giro fazer em Portugal uma conferência deste género. Independentemente de ser BSides ou algo semelhante, mas que fosse mais informal. Tipicamente as conferências também são mais viradas para o lado técnico e portanto era giro fazer algo assim, pois cá não havia”, contou Bruno Morisson em entrevista ao FUTURE BEHIND.
O especialista em segurança informática esteve envolvido na organização das duas BSides já realizadas em Portugal.
Existem mais de 60 BSides a nível internacional
“Na altura eu e o Tiago Henriques entramos em contacto com a The Mothership, que é a organização central que no fundo gere a marca BSides. Dissemos que estávamos interessados em organizar, enviaram-nos a informação com as condições e a partir daí organizámos o evento em 2013. Acho que correu bastante bem logo no primeiro ano, tivemos mais de cem pessoas na altura”.
A segunda BSides aconteceria em 2015, pois em 2014 devido à falta de tempo não foi possível avançar com uma edição do evento. “Pelo facto de haver mais pessoas a ajudar à própria organização, conseguiu-se fazer então no ano passado e mais uma vez correu bem. E decidimos logo fazer outra vez este ano, na altura nem havia dúvidas de que íamos fazer, era só uma questão de datas”.
A terceira BSides Lisbon acontece dentro de algumas semanas, no dia 11 de novembro. Os bilhetes já estão à venda.
DEF CON à portuguesa
Outro nome grande das conferências de segurança informática é a DEF CON, também realizada em Las Vegas e que se autointitula de também ter um espírito mais independente. Foi aliás na conferência deste ano que assistimos pela primeira vez a uma competição de hacking protagonizada exclusivamente por máquinas. É a BSides Lisbon uma DEF CON à portuguesa?
“É um pouco na perspetiva de ser algo com um feeling mais técnico, mais geek e mais informal. E provavelmente cá é a coisa mais parecida que possa haver com a DEF CON – embora a DEF CON tenha 22 mil pessoas e nós 200 [risos]. Em termos do tipo de conteúdo, à escala que temos e a nível de espírito, é mais ou menos a mesma ideia”, explica Bruno Morisson.
Sentados à mesma mesa estavam ainda Cláudio André, Filipe Reis – um dos Uber hackers portugueses – e Herman Duarte, todos eles elementos da organização. Vieram todos dizer o que podemos esperar da BSides Lisbon 2016.
Diversidade é um dos pilares do evento pois devido à sua abertura para a comunidade, não cabe à organização definir o que vai ser apresentado. Isso fica do lado dos convidados e de todos os interessados que submeterem uma apresentação. O Call for Papers continua aberto e só termina no dia 16 de setembro.
Além da ‘comissão de festas’, a organização da BSides Lisbon conta ainda com uma segunda equipa que tem estado a fazer a avaliação dos trabalhos submetidos. O objetivo é que a agenda fique completa até ao final de setembro.
“Acho que temos um pouco de tudo. Eventualmente poderá haver vulnerabilidades que ainda não sejam conhecidas, mas tipicamente isso não acontece nas conferências a não ser em algumas mais especificas. Mas alguma investigação feita que envolva vulnerabilidades mais ou menos conhecidas, não só na perspetiva ofensiva, mas também defensiva”, explica Bruno Morisson para depois acrescentar:
“Alguns oradores que temos confirmados vão focar-se na área da proteção. O ideal pelo menos a meu ver era ter um bocadinho o balanço das duas coisas. Ter por um lado o nível das falhas de segurança, como explorar determinadas falhas, num nível mais de testes de segurança, como também do lado de como proteger dessas ou de outras falhas”.
Por agora estão confirmados vários oradores – a lista provisória pode ser consultada aqui – entre os quais estão vários portugueses como Dinis Cruz da OWASP O2 Platform, Diogo Mónica da Docker, David Sopas da Checkmarx e Pedro Vilaça, conhecido pelas suas investigações em Mac OS X.
Dan Guido [Trail of Bits] e David Sancho [Trend Micro] são outros oradores já confirmados
A presença de vários nomes portugueses como oradores principais é para Bruno Morisson uma prova da qualidade que os investigadores portugueses têm no segmento da segurança informática.
“Só para dar quatro exemplos de pessoas que são portuguesas e que no fundo a nível internacional acabam por ser uma referência na área de segurança. E portanto não há razão para que não existam outras pessoas, se calhar mais desconhecidas, que até têm o bichinho e têm o conhecimento, mas não têm muitas vezes a oportunidade de mostrar. Acho que podemos incentivar outras pessoas”.
As apresentações serão de 45 ou 25 minutos e prometem ser ricas na parte técnica. Mas isso não deve demover os menos versados na arte da segurança informática de marcarem presença no evento.
“Temos diferentes apresentações com diferentes níveis e mesmo nas mais difíceis as pessoas acabam sempre por aprender coisas. Ao fim e ao cabo é uma maneira de puxarmos mais pessoas para a área e mostrar que não é um bicho de sete cabeças, mostrar que qualquer pessoa pode chegar lá e aprender”, explicou Cláudio André.
O que esperar
Além do ciclo de apresentações que vai existir ao longo de todo o dia, este ano a BSides Lisbon vai ter uma vertente mais prática com a existência de vários workshops. Serão sessões mais pequenas, com grupos de 15 a 20 pessoas, tendo o objetivo claro de trazer uma maior interação entre todos os que vão marcar presença na sede da Microsoft Portugal, local onde vai realizar-se o evento.
“E ainda há mais uma coisa que vai acontecer que são as Lightning Talks, apresentações de cinco a dez minutos e o registo à partida é só feito no local. Também alguém que queira expor uma ideia ou queira discutir alguma coisa, regista-se na altura. Depois vai haver horário específico para isso, as pessoas que quiserem vão lá falar durante cinco minutos e abrem essa discussão. Nem que seja um brainstorming de cinco minutos”, detalhou Bruno Morisson.
Foi aí que Herman Duarte recordou uma Lightning Talk que aconteceu numa das edições anteriores. “Houve uma pessoa num ano em que não tinha slides, foi desenhar num quadro branco e fui muito giro. Mas a ideia é essa, não é somente uma pessoa a passar informação, mas ser nos dois sentidos”.
Para a edição de 2016 está ainda confirmado um momento de Capture the Flag, um clássico dos eventos de segurança informática.
“Basicamente com estas atividades, que acabam por acontecer na conferência, acaba-se por tentar criar ali alguma interação e partilha”.
A primeira vaga de bilhetes ainda está disponível para compra com um preço de 6,22 euros. A organização espera colocar à venda um número mais reduzido de bilhetes numa fase posterior.
