Eduardo Santos

Vamos aprender juntos sobre modelagem de ameaças?! Ao vivo - 20h - 30/03/21 youtube.com/watch?v=1mX8TB…

@sandraselmasr Falou tanta besteira em 1min que n deu p ouvir o resto. Uma coisa é brincar sobre Juiz Jair e 22 anos outra é falar q foi profético. Sempre tv desentendimento na politica. Sempre chamaram de comunista. Quando 1 néscio fica em silêncio parece 1 sábio, mas se começar a falar...

Nada melhor do que um ex apoiador para dizer o que é o bolsonarismo nas igrejas.

@bsdaemon Obrigado por tanta entrega e dedicação! Com certeza fez diferença na minha vida (que era um sonho por ir na h2hc e esta no meio de tanta gente boa) e por impactar muitas outras no mundo hacking e de segurança. Desejo sucesso ao Balestra e precisando tamo por aqui. Forte abraço!

Despedida da H2HC! (My goodbye to H2HC!) (English Version Just After the Portuguese) TLDR: Para aqueles que não conseguem ler uma carta longa, estou saindo da organização da H2HC a partir do ano que vem (este ano ainda estarei à frente do evento, como sempre). Todas as responsabilidades do evento ano que vem estarão com Balestra, um dos meus melhores amigos e alguém que sempre se dedicou e muito para o sucesso do evento. Acredito plenamente que o Balestra está totalmente capacitado a garantir o futuro da H2HC. Peço a todos que o apoiem nessa jornada de levar a H2HC ao futuro! Não posso negar que escrevo esta carta com o coração pesado! Mas ao mesmo tempo, estou decidido de que esta é a decisão certa e a melhor para o futuro da H2HC e da comunidade Brasileira de segurança da informação, pesquisas e hacking. Participo há 21 anos da organização do evento. Interessantemente, eu entrei para a organização durante a primeira edição, quando o evento já estava em andamento (que bagunça que foi! mas também uma das edições mais verdadeiras no sentido real do espírito do hacking). Passei a ser o principal organizador quando na 5a edição o comitê que organizava (umas 8 pessoas) estava, pra variar, dividido em diferentes ideias/opiniões e tudo estava atrasado. Na época eu disse que iria sair e nas discussões que decorreram o grupo decidiu que eu deveria continuar com o evento. O combinado era simples: manter o espírito original! A ideia de que as pessoas devem se encontrar, a ideia de que o hacking é uma contra-cultura, a ideia de que o conhecimento não deve ser controlado. Convidei então meu grande amigo, Filipe Balestra a se juntar a mim, e ambos sabíamos que seria um grande desafio. E mais 16 anos se passaram! E o que mudou? Eu mudei, o mundo mudou, a comunidade mudou, os tempos mudaram, e a H2HC mudou! O evento cresceu muito mais do que esperávamos (e pra ser sincero, apesar de eu constantemente controlar o crescimento). A demanda de tempo para manter as coisas alinhadas com o que eu acredito e vejo pro evento passou a ser gigante (pra terem uma ideia, eu uso algo em torno de 1000 horas por ano). Temos algo em torno de 3000 pessoas por dia, 20+ villages, 18+ palestrantes internacionais (muitos vindo para as villages e não apenas para a grade principal do evento). Temos a revista, que aumentou em muito em termos de qualidade técnica nos últimos anos, graças a ajuda impressionante do Gabriel Barbosa. Temos os badges eletrônicos, que apesar de não conseguirmos distribuir a todos, continuam se tornando referência no mundo pela criatividade (tivemos desde um PCB com o layout do mapa do Brasil, até layout de uma arma com laser, implantes e muitos outros - e este ano tenho certeza de que o que virá vai impressionar a todos) - graças ao apoio do Brian Butterly, outro grande amigo meu que adorou a cultura real do evento e topou o desafio. Temos algumas das melhores palestras da área, literalmente palestrantes que não vão em outros eventos e acabam trazendo um reconhecimento internacional para a H2HC que muitos eventos (bem maiores/tradicionais) apenas desejam ter - graças, em grande parte, ao comitê que avalia as palestras. Temos bebida gratuita (incluindo refrigerantes, mas whiskey e cerveja também - tivemos até a nossa própria vodka e nossa própria cerveja), pois acreditamos na interação entre as pessoas. E quem anda pelo evento acaba descobrindo o que é diversidade de verdade pois temos literalmente todos os tipos de pessoas, com um mantra simples: o que todos temos em comum ali é a busca pelo conhecimento. Somos intolerantes em relação à preguiça e a falta de curiosidade. Doamos ingressos para quem tem interesse, mas não tem condições. Tudo isso com verba zero de marketing. Obviamente todos os anos eu tenho aqueles momentos únicos que justificam todos os esforços. Ano passado, por exemplo, alguém me parou no elevador e disse que mudou para a área de segurança pois entrou em contato comigo há muito tempo atrás e eu doei um ingresso para ele conhecer e ver se realmente se apaixonava. Um dos meus grandes amigos recentemente me perguntou se eu lembrava como eu o conheci… e basicamente foi na H2HC, quando também dei uma oportunidade a ele. Um dos voluntários que trabalham no evento (o evento é todo via voluntários, nós não temos funcionários, não tiramos um único centavo, toda a renda gerada é investida em fazer algo ainda melhor) hoje em seus mid-20s começou no evento quando tinha 14 anos! Literalmente eu tive de assinar um formulário de responsabilidade pelo menor, pois os pais dele queriam ter certeza que iríamos tomar todos os cuidados necessários. Vemos no evento gerentes, diretores e até CISOs de grandes empresas literalmente correndo pra lá e pra cá carregando caixas e ajudando. Temos pessoas agora famosas na área que palestraram pela primeira vez na conferência (e quantas e quantas vezes passei madrugadas com palestrantes ajudando nos PoCs, revisando conteúdos, etc). Quantas vidas foram mudadas e quantas oportunidades foram criadas graças ao evento! (pessoas que se conheceram ali, projetos que surgiram dali, trabalhos e muito mais). São tantas histórias que sinceramente daria um livro (e nem sequer começamos a falar das festas!). Mas então, porque sair? Para mim, liderar sempre foi sobre servir. Minha fé (nunca fiz segredo de que acredito em Deus) também me faz acreditar na importância de doar e compartilhar com os outros (e obviamente ninguém precisa acreditar no que eu acredito para fazer o bem ao mundo). Também sempre me senti bem em retribuir à comunidade por tudo que eu aprendi graças aos esforços de outros que compartilharam o que aprendiam. Eu sempre acreditei na frase: “O que nos trouxe até aqui, não necessariamente nos levará até ali”. Ou seja, temos de nos adaptar constantemente. Por exemplo, um evento de hacking ter redes sociais é um pouco engraçado. Mas ao mesmo tempo, é o mundo moderno e a forma como MUITOS se informam e se comunicam (dói meu coração, no entanto, ver um videozinho sem nenhuma informação verdadeira sendo visto pelo equivalente de 30 dias em termos de horas gastas). Como evitar excluir talentos que ainda não tiveram a exposição à sub-cultura e ao mesmo tempo não sucumbir totalmente ao ‘mainstream’? Esse sempre foi o grande desafio. Algo que eu sempre achei que eu estava extremamente bem posicionado e capaz de fazer. Quantas e quantas vezes não recebemos opiniões de formas de melhorar, e insistimos em não mudar (ou mudar, mas não totalmente). Sempre pensando na evolução necessária para que o evento continue tendo o que prometeu desde o início, mas ao mesmo tempo sobreviva a realidade do mundo moderno. Nossa posição sempre foi: pode até ser que em algum momento não exista mais a necessidade da H2HC. E isso é ok! Pode ser que em algum momento a comunidade já tenha descoberto outras formas de interagir, e a comunidade decida que o evento deve acabar! Para ser claro: não acredito que tal momento tenha chegado! Eu jamais quis ser um ‘organizador’ de eventos. Não sou um investidor, não sou uma pessoa de negócios e não tenho a habilidade política necessária para levar o evento para o próximo nível. A H2HC tem a oportunidade de crescer e se expandir. Isso traz uma série de vantagens, como locais melhores, mais atividades, atingir mais pessoas, etc. Mas para isso, a organização precisará se profissionalizar, o que exigirá ainda mais tempo (potencialmente uma dedicação exclusiva) ou diversas outras opções (prefiro não elaborar pois não quero deixar opiniões, confio plenamente que o Balestra saberá o melhor caminho a seguir). Não acredito que sou apaixonado por essas atividades como sou pelos resultados que elas irão gerar. E portanto não sou a pessoa mais qualificada a conduzir nesse caminho. Continuarei focando em ser um pesquisador que se preocupa com o mundo e com as pessoas. Assistirei, com grande entusiasmo, ao futuro da comunidade no Brasil e no mundo. Abraços, Rodrigo (BSDaemon) ================ ==== ENGLISH ==== ================ My goodbye to H2HC! TLDR: For those that can’t read a long letter, I’m leaving H2HC’s organization starting next year (this year I’m still responsible for the conference, as usual). For next year, all the conference responsibilities are with Filipe Balestra, one of my best friends and someone that has dedicated a lot for the success of the conference over the years. I truly believe that Balestra is totally capable of guaranteeing the future of H2HC. I ask that everyone support him in the journey of bringing H2HC to the future! I cannot deny that I write this letter with a heavy heart. But at the same time, I’m convinced that this is the right decision and the best one for the future of H2HC and for the Brazilian information security, research and hacking communities. I've been involved with H2HC for 21 years now. Interestingly, I joined the organization during the first edition, while the conference was ongoing (what a mess that edition was! but also, it was one of the truest ever to the hacking spirit). I became the main organizer when, during the 5th edition, the organizing committee (about 8 individuals) was, as usual, divided between different ideas/opinions and everything was late. At the time I was done with it, and decided to leave, but during the discussions the group decided that I should continue with the conference alone. The agreement was simple: Keep the original spirit! The idea that people should meet, the idea that hacking is a counter-culture, the idea that knowledge should not be controlled. It was then that I invited my friend, Balestra, to join me, and we both knew that it was going to be a huge challenge. 16 years later, I believe we’ve done well! So, what changed? I’ve changed, the world has changed, the community changed, the times changed and H2HC itself has changed with it. The conference grew way more than we'd expected (and to be honest, besides me constantly trying to prevent it). The time demands to keep everything aligned with my personal beliefs and expectations for the conference became huge (just to give an idea, I use something around 1000 hours per year for the conference). The conference has around 3000 people each day, 20+ villages, 18+ international speakers (with many coming to give talks at the villages, not only on the main conference track). We have a magazine that improved a lot in terms of quality thanks to the amazing help of Gabriel Barbosa. We have electronic badges that, while not given to everyone, are still recognized in the community due to the creativity (we had a PCB with the Brazilian map as the layout, we had the layout of a gun with a laser pointer, we had implants and many more - and I’m pretty sure this year’s one will blown everyone’s mind) - all thanks to the support of Brian Butterly, another friend of mine that loved the true culture of the conference and accepted the challenge. We have some of the best talks of this field, with speakers that literally do not go in any other conference and end up bringing international visibility to H2HC, a visibility that other conferences (sometimes bigger, more traditional) only hope to have - and that is thanks, in a huge part, to the technical selection committee. We have an open bar (including soda, whiskey and beer - we even had our own custom beer and custom vodka), because we believe in the interaction between people. And anyone who walks around the conference can see what true diversity is, because it is indeed for everyone. We have all kinds of people, and a unique mantra: everyone there has a common goal in pursuing knowledge. We are all intolerant to laziness and to the lack of curiosity. We donate tickets to those that are interested, but can’t afford. And we do all that without a single expenditure in marketing. Year after year though we have those unique moments that justify it all. Last year, for example, someone stopped me at the elevator and said that they’ve moved to the security field after having reached out to me sometime before and I’ve donated a ticket to them to see if they would feel passion for it. One of my good friends recently asked me if I remembered how we first met… It was during H2HC, when I’ve also given him an opportunity. One of our volunteers of the conference (the conference is run by volunteers, there are no employees, we do not get a single cent, all the money is reinvested in making something even better), today in their mid-20s started in the conference when he was just 14 years old! I’ve literally had to sign a responsibility agreement since his parents wanted to be sure that we would take all the necessary precautions. During the conference we see managers, directors and even CISOs of large companies literally running around carrying boxes and helping. We have individuals that are now famous in our field that had their first talk at H2HC (and many, many times I’ve spent nights helping speakers with their PoCs, reviewing content and more). Many lives were changed and many opportunities were created thanks to the conference! (people that met there, projects that started there, work opportunities and so much more). There are so many back stories that we could literally fill an entire book (and we are not even talking about the parties!). So then, why leave? For me, to lead is to serve. My faith (it was never a secret that I believe in God) makes me believe in the importance of donating and sharing with others (obviously no one needs to have the similar faith to do good for the world). I’ve also always felt good in paying forward to the community for all that I’ve learned from others that shared what they’ve learned. I’ve always believed in the phrase: “What got us here, won't necessarily get us there”. Which means, we have to constantly adapt. For example, a hacking conference that has social media is a bit funny. But at the same time, it is the modern world and the way that MANY get information and communicate (it hurts my heart, though, to see a video without any actual information, seem by the equivalent of 30 days in terms of hours spent). How do we avoid excluding talent that were never exposed to the sub-culture but at the same time, do not succumb to the mainstream? That was always the big challenge. Something that I always felt extremely well positioned and capable of doing. There were many times in which we’ve received feedback on how to improve, but we insisted on not changing (or change, but subtly). Always thinking on the needed evolution to keep the conference focused on our original promises, while making sure it survives to the modern reality. Our position has always been: maybe at some point in time, there will be no need for H2HC. And that is totally ok! Maybe in some moment the community will have other means to interact, and the community itself will decide that the event should end! But to be clear: I do not believe that time is now. I never wanted to be a conference ‘organizer’. I’m not an investor, I’m not a businessperson, and I do not have the necessary political skills to conduct the conference to the next level. H2HC has the opportunity to grow and to expand. This brings a lot of advantages, such as better venues, better activities, better reach, etc. But for that, the organization has to be more professional, and that demands more time (potentially, a fully dedicated individual) or many other options (I rather not elaborate or share opinions, I just want to emphasize that I trust that Balestra will know the best path). I would not be passionate about the work that has to be done as I’m passionate for the results that I believe the upcoming work could generate. And as so, I’m just not the best person anymore to conduct the journey. I will continue with my focus as a researcher that cares about the world and about people. I will watch, with a lot of enthusiasm, the future of the community in Brazil and in the world. Hugs, Rodrigo (BSDaemon)

Last night, Alexandre de Moraes threatened our legal representative in Brazil with arrest if we do not comply with his censorship orders. He did so in a secret order, which we share here to expose his actions. Despite our numerous appeals to the Supreme Court not being heard, the Brazilian public not being informed about these orders and our Brazilian staff having no responsibility or control over whether content is blocked on our platform, Moraes has chosen to threaten our staff in Brazil rather than respect the law or due process. As a result, to protect the safety of our staff, we have made the decision to close our operation in Brazil, effective immediately. The X service remains available to the people of Brazil. We are deeply saddened that we have been forced to make this decision. The responsibility lies solely with Alexandre de Moraes. His actions are incompatible with democratic government. The people of Brazil have a choice to make - democracy, or Alexandre de Moraes. — Noite passada, Alexandre de Moraes ameaçou nosso representante legal no Brasil com prisão se não cumprirmos suas ordens de censura. Ele fez isso em uma ordem secreta, que compartilhamos aqui para expor suas ações. Apesar de nossos inúmeros recursos ao Supremo Tribunal Federal não terem sido ouvidos, de o público brasileiro não ter sido informado sobre essas ordens e de nossa equipe brasileira não ter responsabilidade ou controle sobre o bloqueio de conteúdo em nossa plataforma, Moraes optou por ameaçar nossa equipe no Brasil em vez de respeitar a lei ou o devido processo legal. Como resultado, para proteger a segurança de nossa equipe, tomamos a decisão de encerrar nossas operações no Brasil, com efeito imediato. O serviço X continua disponível para a população do Brasil. Estamos profundamente tristes por termos sido forçados a tomar essa decisão. A responsabilidade é exclusivamente de Alexandre de Moraes. Suas ações são incompatíveis com um governo democrático. O povo brasileiro tem uma escolha a fazer - democracia ou Alexandre de Moraes.

@SBTonline Vou ficar com essa imagem, da alegria, da paz do carinho e cuidado que ele tinha com seu público. Descansa em paz Silvio Santos. 🙏🖤

🚨 #DataBreach 🚨 🇧🇷#Brazil: Netshoes - 38 million users reportedly compromised A potential data breach at Netshoes has been detected. A new seller on a hacking forum claims to have stolen records of 38 million users and details of 40 million orders. According to the post, this July, Netshoes suffered a data breach leading to the theft of a database containing 38 million users' records which include: - SSN - Phone - Full Address - Name - Order Date - Order Number - Order Status - Estimated Delivery - Orders from 2015 to 2024 - Partner Suppliers The database is for sale for $500. Keep in mind that this is a new seller on the hacking forum, and the possibility that this claim is false or inflated cannot be ruled out. That said, the confirmation or denial of these claims remains to be verified. #CyberAttack

📌 +1400 sitios afectados en revisión: raw.githubusercontent.com/CronUp/EnAnali…. Entre algunos relevantes en Chile y LatAm están: - /unired.cl - /movil.santander.cl - /nu.com.mx - /elfinanciero.com.mx - /tucuman.gob.ar - /personas.sunat.gob.pe Como mencionó @malwrhunterteam, si este nuevo controlador del dominio hubiese querido, podría haber robado una enorme cantidad de credenciales de acceso y/o datos financieros, etc. Para tener muy presente este tipo de riegos. #SupplyChainAttacks.

🚨Alert🚨CVE-2023-52251, CVE-2024-32030: Remote code execution in UI for Apache Kafka 🔥PoC: securitylab.github.com/advisories/GHS… ⚠ Kafka UI is affected by two rce vulnerabilities. The first one in the message filtering component leads to execution of arbitrary unsandboxed groovy script. The second vulnerability can be exploited by abusing Kafka UI to connect to a malicious JMX server, which leads to RCE via unsafe deserialization. 📊26.4K+ Services are found on hunter.how 🔗Hunter Link: hunter.how/list?searchVal… 👇Query Hunter: /product.name="UI for Apache Kafka" FOFA: icon_hash="-1477045616" SHODAN: http.title:"UI for Apache Kafka" #KafkaUI #Apache #RCE #hunterhow #infosec #infosecurity #Infosys #Vulnerability

Lembra?

This is fast. Chrome running Gemini locally on my laptop. 2 lines of code.

🚨🚨🚨 #CyberAttack 🚨🚨🚨 🇧🇷 #Brazil: Sicoob, one of the largest financial cooperatives in Brazil with $11.2 billion in assets, has been listed as a victim by the RansomHub ransomware group. The hackers allegedly exfiltrated 1 TB of data, including: - NDA documents - personal data of customers and employees - financial data - accesses to various company resources - data on the company's developments in various departments and source codes of IT products - databases -closed financial information. The cybercriminal group has also attached various samples to the post. #Ransomware

STRX - String-X Ferramenta de automatização rápida e personalizável desenvolvida para auxiliar analistas em diversas tarefas que dizem respeito à manipulação de strings em linhas de comando (linux). github.com/osintbrazuca/s… #osint #hacking #brasil #coder #python

A Check Point alerta sobre ataques a gateways de segurança com contas VPN antigas vulneráveis. Hotfixes foram lançados para proteção imediata. #vulnwatcher bleepingcomputer.com/news/security/…

Jessica Felix, Software Developer, shares lessons from the financial market on balancing performance with observability in #frontend projects: rb.gy/4631un #Observability #QConLondon #SoftwareConference #SoftwareArchitecture #TechEvent #EmergingTrends

Estou ao vivo com o @vlcezar no YouTube youtube.com/live/5vgI0cpBi…

@gabogaldino @BolhaSec Bora simbora!!!!

Bora simbora que vai ser massa esse evento!!!

Who needs Jira boards? Hahaahahahahah

@RubinhoNunes Indignação eh a palavra

• Assista até o FINAL • Preste atenção na música Mais uma demonstração de como a esquerda embosca nossos filhos em sala de aula. A diretora e os professores envolvidos DEVEM SER AFASTADOS IMEDIATAMENTE!

Understanding SQL Injections! A thread! 👇️

We are so excited to welcome @shehackspurple to the #ASV stage at @defcon! Join us and learn about "DevSecOps Worst Practices" from the bestselling author of "Alice and Bob Learn Application Security." See you in August Tanya! #appsec #devsecops #defcon31 #defcon #dc31