SECCOM 2024: Experiências e Conhecimentos

Olá caros leitores, esse post traz a minha interpretação e insights obtidos durante alguns eventos da SECCOM 2024, que ocorreu entre 21 e 25 de outubro, no CTC da Universidade Federal de Santa Catarina. Desde já, deixo claro que algumas coisas podem ter passado em branco, porém, deixo registrado aqui o que mais me marcou em cada uma das palestras. Junto aos temas, estou colocando o nome do palestrante e a data, para atribuir os respectivos créditos e trabalhar na cronologia dos fatos. No geral, foi uma semana muito produtiva que conciliou a socialização dos cursos de tecnologia e trabalhou muitos temas da área de segurança da informação.

Sigilo sob uma perspectiva Prioritariamente Computacional 
Wellington Fernandes Silvano - 21/10/2024

Nesta palestra, se trabalhou a noção de sigilo que percorre diversas áreas de conhecimento, desde a epistemologia até a computação, tendo um ponto em comum: a importância de manter dados confidenciais protegidos e fora do alcance de pessoas não autorizadas. Em um mundo digitalmente interconectado, entender como assegurar a proteção de informações em sistemas computacionais é essencial e Wellington trouxe seu estudo sobre a área de sigilo computacional. Um dos temas principais do estudo de Sigilo, é a relação entre Sigilo Computacional e Shannon’s Secrecy, com seus três níveis de sigilo. O sigilo computacional não equivale a sistemas sigilosos. Na computação, o sigilo se refere à proteção de informações em três níveis que seguem o modelo de Shannon’s Secrecy (SS):

  1. SS Tipo 1 – Desconhecimento Completo: neste nível, a existência da informação é completamente desconhecida por terceiros. Trata-se da forma mais elevada de sigilo, onde o próprio dado não deixa vestígios.
  2. SS Tipo 2 – Evidência Sem Acesso: há metadados ou outras evidências sobre a existência da informação, mas o conteúdo continua inacessível.
  3. SS Tipo 3 – Criptografia: este nível usa métodos criptográficos que tornam o conteúdo acessível somente por meio de chaves específicas.

Esses níveis de sigilo podem ser combinados para criar ambientes de segurança com diferentes características. Por exemplo, combinar SS Tipo 1 e Tipo 3 resulta em informações criptografadas e ocultas; já SS Tipo 2 e Tipo 3 oferece um nível de segurança onde a informação é restrita e criptografada. A combinação dos três níveis cria um sigilo composto, ideal para sistemas de alta segurança, como redes criptografadas em blockchain. Essa abordagem não só destaca a importância de arquiteturas de sigilo, mas também as maneiras como podemos aplicá-las para proteger ambientes críticos na computação.

Power Bi para profissionais de TI
Brian Henkels - 21/10/2024

Em sua palestra, Brian falou sobre o Power BI, tradicionalmente conhecido pela análise de dados empresariais, que tem expandido seu escopo para atender demandas mais avançadas em ambientes de TI. Hoje, ele oferece funcionalidades que vão além do que se espera de uma ferramenta de Business Intelligence (BI), permitindo integrações e análises complexas em áreas diversificadas:

  • Integração com ERPs e CRMs: Essa integração permite consolidar informações de diferentes sistemas de gestão empresarial, como ERP e CRM, em um só lugar. Isso facilita o gerenciamento de dados empresariais, ajudando a centralizar métricas e relatórios de várias áreas de uma organização, o que é essencial para uma visão estratégica dos processos de negócios.

  • Projetos de Análise para Operações Específicas: Pode ser utilizado para atender a demandas de análise em setores operacionais especializados, como energias renováveis e logística. Por exemplo, no setor de campos eólicos, ele possibilita monitorar e analisar dados em tempo real, detectando falhas e otimizando operações. Em logística, ele ajuda a acompanhar fluxos de suprimentos, custos e tempos de entrega, oferecendo uma visão abrangente das operações. Brian, que já havia trabalhado nessas áreas, trouxe exemplos de seus dashboards de BI.

  • Integração com APIs: Um dos recursos mais poderosos do Power BI é sua capacidade de integração com APIs. Esse recurso permite conectar o Power BI a uma variedade de fontes de dados externas, como bancos de dados em nuvem, sistemas internos ou até mesmo dispositivos IoT, facilitando uma análise de dados centralizada e em tempo real. Com isso, os profissionais de TI podem criar painéis que consolidam dados de várias plataformas, otimizando a visualização e o monitoramento de métricas críticas.

Apesar de algumas limitações, como a capacidade de processamento em grandes volumes de dados ou a dependência de conectividade constante, o Power BI é uma ótima ferramenta para quem precisa de painéis dinâmicos e acessíveis. Oferecendo flexibilidade para projetar visualizações que atendem a necessidades complexas, entregando uma experiência de análise robusta e acessível, tanto para TI quanto para as áreas de negócio. Essa versatilidade o torna uma escolha popular não apenas para analistas, mas também para engenheiros de dados e outros profissionais de TI que buscam integrar dados de forma eficiente e gerar insights estratégicos para a organização.

Segurança Ofensiva - Minicurso
Derick Andrighetti e Roberto Filho - 23/10/2024

Offensive Security (OffSec) é a prática de desafiar e validar defesas de sistemas para identificar e corrigir vulnerabilidades. Com a popularização do OffSec, profissionais trabalham divididos em Red no ataque, e Blue Teams na defesa:

  • Red Team: concentra-se em testar a segurança de sistemas através de ataques simulados.
  • Blue Team: protege o sistema contra invasores e responde a ataques.

Entre as ferramentas utilizadas para a segurança ofensiva, os palestrantes mostraram:

  • Nmap: escaneamento de redes e descoberta de portas abertas.
  • FFUF: fuzzing para descoberta de diretórios web.
  • NetCat: criação de shells reversos.
  • Wireshark: captura e análise de pacotes de rede.

Essas ferramentas são aplicáveis tanto em testes de penetração (pentesting) quanto em bug hunting, onde o objetivo é identificar vulnerabilidades significativas em aplicações. As áreas de especialização incluem validação de frontend e backend, engenharia de mobile e cloud, além de DevSecOps, que promove a segurança ao longo do desenvolvimento de software. Após a conceituação de Offsec, os palestrantes proporam um desafio e fizeram a invasão de uma máquina durante a palestra (máquina disponível em www.hackthebox.com), mostrando sua metodologia em procurar vulnerabilidades que permitam assumir o controle da outra máquina, adquirindo privilégios e escalando até o 'root'.

GENESIS: SEGURANÇA EM CLOUD BY DESIGN
Luciano Borguetti Faustino da NeowayLabs - 23/10/2024

Nesta palestra, Luciano aborda a crescente necessidade de proteger a infraestrutura digital das empresas devido ao aumento do uso da computação em nuvem. A prática de Infrastructure as Code (IaC) facilita a configuração de ambientes como código, permitindo um controle mais preciso de permissões e a automação de operações. Para reforçar a segurança, algumas práticas são fundamentais como o Princípio do Menor Privilégio, Centralização de Logs e o Bloqueio de Alterações Web. Além disso, ferramentas como Terraform e Ansible são essenciais para criar e gerenciar infraestruturas em provedores de nuvem, como AWS, Azure e Google Cloud Platform (GCP). Luciano também recomenda outras práticas de segurança, tais como:

  • Isolamento de Acessos: implementar VPNs, bastion hosts e políticas de firewall robustas para proteger o acesso.
  • Indexação Limitada: indexar apenas dados essenciais, reduzindo custos e facilitando o gerenciamento de informações.
  • Monitoramento e Auditoria: a utilização de uma plataforma de Security Information and Event Management (SIEM) centraliza a coleta de eventos e possibilita auditoria constante, fortalecendo a segurança.
Toda a apresentação foi baseada na experiência de Luciano na Neoway, onde trabalhou na construção de estruturas indexadas centralizadas em um único diretório. Esse modelo permite um controle preciso por meio da manipulação detalhada de entradas, saídas e hierarquias específicas. Dessa forma, a segurança se torna uma consequência natural das múltiplas camadas de proteção que fortalecem a Infrastructure as Code (IaC).

COMO ENTENDER VULNERABILIDADES DO COMPILADOR
SAMUEL CARDOSO - 24/10/2024

Samuel levanta questionamentos pela segurança de entradas digitais que requerem atenção a vulnerabilidades que surgem nas expressões regulares e nas assinaturas digitais criptografadas, dentre elas:

  • Expressões Regulares: ataques de Denial of Service em expressões regulares (ReDoS) são possíveis quando manipuladas indevidamente. A execução da expressão pode ser manipulada para sobrecarregar o sistema, causando falhas.
  • Redes e Operadoras de Internet: As vulnerabilidades em regex são ainda mais significativas quando usadas em sistemas distribuídos, como servidores ou redes operados por provedores de Internet. Uma regex vulnerável pode comprometer a estabilidade dos serviços, afetando a experiência de usuários e gerando riscos de segurança. Provedores e redes devem ser projetados para mitigar tais vulnerabilidades, como limitando a complexidade de expressões regulares e implementando ferramentas de monitoramento de desempenho.

Ao final, Samuel demonstra ao vivo as vulnerabilidades comuns em entradas de hash, como na digitação de emails que destacam defeitos tanto na possibilidade de poder digitar essas entradas, quanto na consideração de que são entradas válidas.

Nesta série de palestras que traduziam a área de segurança computacional, se observa que é necessário uma abordagem sistemática e que inclua práticas sigilosas, segurança ofensiva e defensiva, além de uma infraestrutura robusta na nuvem. Ao mesmo tempo, a conscientização sobre vulnerabilidades emergentes e práticas atualizadas de proteção é essencial, pois o cenário de ameaças está em constante evolução. Profissionais de TI que se mantêm atualizados e adotam uma abordagem proativa no desenvolvimento e manutenção de sistemas digitais têm maiores chances de proteger seus dados e reduzir o impacto de ameaças cibernéticas. Dessa forma, esta é a mensagem que eu sintetizo com a Seccom 2024, ficando ansioso pela próxima. Deixo aqui o lembrete de conferirem o perfil da Seccom no Instagram (@seccom.ufsc) para verem os outros trabalhos que aconteceram tanto neste ano quanto nos anos passados.

Um grande abraço aos que leram até aqui, até o próximo post!

Local: UFSC

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Meu Primeiro Semestre na UFSC - 2024.2 e a Rotina de um Universitário

Imagem
 Meu Primeiro Semestre na UFSC 2024.2 e a Rotina de um Universitário       Olá, futuros leitores! Sempre que um novo ciclo se inicia, eu gosto de olhar para trás e refletir um pouco sobre as vivências que passei antes de criar expectativas para o futuro. No contexto acadêmico, gostaria de compartilhar um pouco das minhas experiências no primeiro semestre na UFSC. Irei focar nos aspectos que realmente agregaram à minha jornada, como por exemplo, as disciplinas que cursei e as conferências que participei, além de dar um panorama da minha rotina. As festas e confraternizações, por mais marcantes que foram, ficam para cada um viver de sua forma. Então, me acompanhe:      Logo na primeira semana, minha turma precisou definir seu futuro para os próximos meses ao montar a grade curricular manualmente. Além disso, tivemos que nos adaptar às mudanças que o curso de Ciência da Informação estava passando devido à implementação de uma nova grade curricular. D...
Leia mais

2025.1 : Novo Semestre, Novos Desafios

Imagem
  Olá caros leitores!     Trouxe  algumas atualizações sobre minha vida acadêmica, um pouco atrasado, é verdade. Já estamos no segundo semestre de 2025, e eu estou cursando o terceiro período de Ciência da Informação, mas trago boas novidades para compartilhar e colocar vocês a par desse último período.      Primeiro, acho importante falar sobre a minha grade de disciplinas, que devo dizer, foi um tanto frustrante. Inclusive, precisei abandonar uma matéria que não estava conseguindo acompanhar. No início do semestre, eu tinha alguns objetivos bem definidos, mas nem todos consegui cumprir e alguns acabei adiando para o próximo ano. Mas vamos deixar as partes negativas de lado e focar no que interessa: as matérias.  Ao todo, foram 10 disciplinas escolhidas e 9 cursadas, somando 25 créditos válidos. Abaixo, segue a lista das que concluí: Sociedade da Informação (CIN7202)   Tutoria Acadêmica II (CIN7204)    Recuperação da Informaçã...
Leia mais

Postagem inicial - Introdução e Objetivo do Blog

     Bem-vindos, caros leitores, amigos ou curiosos! Este blog é uma criação pessoal não profissional, cujo objetivo é compartilhar algumas ideias, leituras e projetos nos quais estou trabalhando. Antes de mais nada, seria indelicado não contar um pouco da minha breve história.      Meu nome é João Pedro, um jovem sonhador de 19 anos, nascido em Porto Alegre e criado em Santa Catarina na região de Florianópolis. Tive uma infância humilde, mas sem passar por necessidades extremas, o que me deixa grato. Tenho diversos interesses na área de tecnologia, mas minha verdadeira paixão são os carros, tanto que aos 17 anos meu primeiro emprego foi em uma oficina mecânica, onde trabalhei por 12 meses. Embora tenha aprendido muito, o trabalho era exaustivo, e por razões familiares, decidi pedir demissão.  Durante o ensino médio, estudei em um curso técnico de desenvolvimento de jogos digitais, onde gostei muito de trabalhar com projetos na Unity e programar em C#...
Leia mais