O Ataque Hacker ao Banco Central | PPT Não Compila Podcast

0:00Uma empresa como a Cléber tem esse nível de de controle, de segurança, diz assim: "Não, aqui é o o techer tem acesso, é o cara ali, não é o Dev Júnior.

0:11>> Você já viu como é que funciona o browser? Na verdade, você bate num servidor e fala: "Me mande código". É HTML, mas é código. É JavaScript, mas é código.

0:20>> É código.

0:21>> Você conhece todo mundo que programou, cada biblioteca que tá te enganando alguma coisa? Então dentro do seu celular você roda código dos outros que você nem conhece. o tempo inteiro. E se for malicioso?

0:32>> Você vê a mídia tentando falar um o mínimo sobre o que aconteceu, cara? Dá vergonha.

0:39>> Porque quando entra no no assim, primeiro degrau técnico do que é um ataque, [ __ ] você já fala: "Ai, cara, que vontade de bater a cabeça na parede".

0:50>> O maior ponto de falha é nós, ser humano.

0:53>> O ser humano.

0:54>> Muito bem. Muito bem, meus amigos do PPT não compil. Estamos aqui hoje para falar de um assunto mega sério, mega importante. Um evento que aconteceu recentemente eh no nosso ecossistema financeiro brasileiro, o maior ataque hacker da história do Brasil, né? E talvez o segundo maior depois aquele da Coreia, né? Se não não brino, né, >> do mundo, >> não sei do mundo, não sei.

1:26>> Temos que averiguar.

1:27>> Temos que averiguar, mas >> vamos verificar.

1:30>> Vamos verificar. Então, a ideia aqui hoje é que a gente eh passe para vocês o que sabemos, o que especulamos, o que achamos, eh o que é possível deduzir sobre o ataque ao Banco Central que aconteceu algumas semanas atrás, né? Então eu tô aqui com dois caras que são mega especialistas em segurança. Acho que são os caras que eu conheço, que mais entendem de segurança. E a gente vai conseguir pelo menos dialogar e e ter uma especulação e ter uma um uma compreensão do que aconteceu, né? Tô aqui com o Rafa LC, cara com anos de experiências aí no no mundo financeiro, como como SISO, como um cara eh que tocou segurança aí, muito ligado no mercado financeiro, grande severgejeiro também, né? Importante, tão importante quanto, né? Nem só de segurança vivo o homem.

2:28>> Exatamente. Dá um oi pra galera aí, L.

2:30>> Ô, querido, obrigado demais. Prazerzaço estar por aqui. Obrigado, Baiano de ter topado, vim aqui bater um papo, né? E vamos embora. A gente tem com certeza muito mais especulação que fato, mas com certeza ainda essa especulação vai render alguma coisinha boa aí pra galera. No mínimo uma puguinha atrás da orelha. É justo. Eu gosto. Eu gosto.

2:50Então >> vamos lá. Vamos entender o que tá acontecendo, né Baiano? Obrigado, cara, por ter vindo aqui. Você que é o o quase um fundador aqui do do PPT, membro número zero, tudo zero.

3:01>> É o cara que fez o pilotão aqui com a gente, meu irmãozão. Obrigado por ter vindo, cara.

3:07>> Eu que agradeço. Muito obrigado por estar aqui, né, por ter me convidado. E >> sabe que você não é convidado aqui, né?

3:14Você chega aqui a hora que você quiser.

3:15>> Ah, que é isso?

3:17E você sabe, é só me chamar, eu venho.

3:19Eu dou um jeito, saio lá do Rio, pega um avião, um ônibus, jeg, eu dou meu jeito.

3:24Eu venho para cá.

3:26L, muito obrigado, cara. Prazer que >> prazerzaço aí ter te ter te conhecido, te conhecer e pô, acredito que vou aprender muito contigo.

3:35>> Bora, vamos aprender.

3:36>> Vamos nessa juntos. É isso.

3:37>> Acho que vai ser um episódio que a gente vai trocar bastante formação >> e conseguir refletir sobre o que aconteceu, né? Isso >> porque como como a gente falou, a gente não tem muita informação, então genteente vamos destrinchar aqui, preencher as lacunas e >> e tentar refletir como isso reflete a nossa realidade e especular com o nosso olhar >> de coisas que reais que acontecem, né?

4:03Então é isso, isso aí, >> basicamente é isso.

4:05>> Não poderia deixar de fazer aqui uma homenagem ao nosso querido O Os Osborn, que essa semana que estamos gravando esse episódio, infelizmente nos deixou aos 75 anos, depois de fazer uma bela despedida aí do do Black Saba e, infelizmente estamos órfãos aqui nós do rock and roll, então >> é quem é roqueiro >> isso aí, Osborn aqui, ó, como homenagem do PPT. Obrigado por tudo, Ozi. E outras gerações virão, mas igual esse cara vai ser muito difícil. Então vamos lá que o episódio tá muito bom. Você que está acompanhando com a gente aqui, tem a oportunidade agora de já dar o like e já deixar o seu comentário. Quando você comenta, a gente sabe exatamente o trecho que você comentou. Então, se você tem alguma dúvida, quer fazer alguma pergunta aqui sobre alguma parte, cara, põe aqui, eu repasso pros caras. do linkedin dele tá lá no no na descrição também, pode mandar. Então, aproveita para ajudar a gente criar engajamento pro PPT no CPIL. Quanto mais like, quanto mais você compartilhar esse episódio, melhor. Se você gosta mais ainda da gente, se você falar: "Pô, esses caras são muito bons, eu aprendo com eles." Você pode ser membro do canal. sendo membro do canal do canal, você vai contribuir com um valor pequeno aqui pra gente todos os meses, que vai pagar uma latinha de cerveja pra gente ou uma latinha de cerveja pro nosso garoto que tá ali atrás, né?

5:31>> Produção, >> a produção e vai ajudar a gente manter essa estrutura e continue e continuar produzindo conteúdo gratuito para todo mundo, né? Então, se você pode contribuir, seja nosso membro, em breve teremos novidades, né? Eu sempre tô prometendo isso há muito tempo, mas agora vai vir de verdade, tá gente?

5:48Vamos ter aqui alguns privilégios para os membros do canal, tá? Se você não pode, compartilha o episódio, joga no Slack, joga no Team, manda por e-mail pro Siso, fala que é spam, sei lá, manda, toca espente, faz a nossa comunidade crescer. Vamos lá que o episódio tá muito bom. Bora.

6:06[Música] [Aplausos] [Música] [Aplausos] [Música] Vou começar com um contexto geral para quem tá ouvindo a gente agora se lembrar exatamente do do episódio que nós estamos falando, né, do caso que nós estamos falando. Algumas semanas atrás a que a gente sofreu aí o maior ataque hacker da história do Brasil, provavelmente, né? teve um ataque dentro do ecossistema do Banco Central, onde se estima, né, não se não se revela o valor ainda eh total, mas cerca de 600 a R$ 800 milhões de reais de de prejuízo >> ou mais >> podendo chegar a 3B.

7:03>> É, >> podendo chegar a 3B.

7:05>> É, então >> já tem fontes falando em quatro. [ __ ] >> É, mas enfim, mas as especulações que a gente tava conversando no off aqui, confiar, >> não dá para saber, né? Então, eh, a gente tá fazendo esse episódio aqui pra gente discutir do ponto de vista de segurança da informação, o que que aconteceu, os riscos estavam envolvidos aqui. Eh, muita coisa a gente vai especular porque as fontes, como o Baiano lá, que já falaram, não são confiáveis, né? a gente tem pouca informação sobre o que de fato aconteceu, >> pouquíssimo, >> né? Então, a gente vai tentar especular e tentar falar sobre o que aconteceu nesse episódio e colocar alguns pontos sensíveis aqui para que você que tá nos ouvindo consiga projetar pra sua realidade também e tentar entender como eh um evento desse pode acontecer com o Banco Central e o quanto você pode estar descoberto ou não nesse nível de de evento, né? Eh, a gente queria ter feito esse episódio um pouco antes, né? Mas eu até tava com uma pequena inocência que eu conversei com o baiano no no privado, falei: "Cara, vamos esperar um pouquinho porque aí a gente pode esperar que vai sair mais informação, vai ter mais o que discutir.

8:27>> Não saiu, provavelmente não vai sair.

8:29Então a gente resolveu gravar agora já com as informações que nós temos e vamos discutir o que aconteceu aqui, né? uma pessoa foi presa já, não sei se ele ainda está preso, mas que ele era um analista, né, terceirizado, que supostamente, né, >> um dev júnior, basicamente.

8:50>> Eu acho que nem era dev, eu acho que ele era operador, cara. Acho que ele era.

8:54>> É, >> no relatório consta dev, querido.

8:56>> Dev. É, então o cara era ali um Dev Júnior que vendeu as credenciais dele para um grupo, né, X que abordou ele na rua, etc. E eu vou abrir o episódio com a primeira pergunta pros meus dois especialistas aqui, eh, que é a primeira coisa que não saiu da minha cabeça, como é que R 800 milhões de reais depende da credencial de um único dev no Banco Central?

9:27>> Dev Júnior.

9:29>> Júnior, >> as honras, >> querido. Então, vamos lá, ó. Ah, em alguns outros episódios a gente já bateu um papo parecido sobre eh o ataque que eu imagino que vai ser o ataque do futuro que a gente vai ver muito mais vezes. Que é assim, ó. Lembra quando eu comentei uma vez lá no passado, quando a gente criava as máquinas lá atrás, lembra? Cara, a gente dava um nome com carinho. Pô, essa aqui é é a minha máquina nirvana, essa aqui é o Hamstein.

9:58Você cuidava, você sabia quantos mega tinha. Você, pô, você ia lá em ceral, né?

10:03>> Você sabia, você criava. Hoje na produção é um e qualquer coisa, um número muito feio que tá rodando e que é um pode que efêmero e que ele vai morrer já. Você não mudou completamente a característica.

10:16Só que antes a gente se preocupava em fazer uma mega proteção da produção, porque eu criei com tanto carinho, como é que eu não vou cuidar dessa criança?

10:23Meu Deus, eu embalei no colo isso aqui não é um hardware. Qual filho?

10:27você colocava uma mega proteção. Só que para muita gente não caiu a ficha que assim, isso aqui ficou efêmero, ficou muito mais bacana de proteger, porque inclusive se você invadir um pó de efêmera, ele morrer, já já você não invadiu mais nada, você perdeu.

10:41>> Só que pera, esse pó de não brota do éter, isso vem instanciado e vem de um réit e vem de um lugar. Ah, então quer dizer que em algum lugar aqui tem uma pipeline. Ah, então, opa, então aquele ambiente de dev que a gente não dava nada no passado e falava assim: "Não, isso aqui é conta de dev, baiano, vai lá brincar ou ou isso, isso chega na esteira, isso chega no repositório de código, isso aqui em algum momento vai ser jogado na produção com certa confiança, porque tudo que vem do repositório eu confio." Então, para mim, o ataque do futuro vai ser muito mais disso. Eu não vou, eu não vou hackear e não vou tentar entrar na máquina de produção porque é bobagem, ela não dura, não tem muitos acessos. Mas se eu tiver numa biblioteca, ó, que ela é instalada em basicamente todo o ambiente, a tua esteira, o teu CD me constrói, me bota num repositório e me replica pro ambiente inteiro. Porque eu preciso movimentar lateralmente se eu tô em todos os lugares, é só fazer um callback. Se tiver rota para voltar para casa, meu amigo, você tá lascado. Então, faz muito mais sentido ir atrás dos devs, na verdade, do que atrás no cara de operação, porque talvez ali esteja realmente completamente blindada a operação. Fala, cara, não dá, eu tenho que forjar uma instrução. E veja, não é uma mensageria bestinha, não é assim um negócio que você bota ali, ah, vou botar aqui no meu post, me enrodo e funciona.

12:05Não é assim, é assinado, tem criptografia de tudo que é lado. É checagem de origem. Então assim, não é nem a mensagem, é a mensagem originada de um lugar que eu confio, assinada por um troço que eu confio, que é validado nas duas pontas. Não é trivial, tem que partir daquele lugar. Qual que é o drama? Se eu conseguir flexibilizar lá atrás, quem quem cria, quem gera esse lugar confiável, aí é o castelinho de cartas, né? Tô puxando a primeiro fiozinho do novelo e aí vem um em um lote.

12:37>> Mas você tem toda a razão aí até para só para você B, porque eu sei que você tem um cuidado excepcional na Clever em relação às libs, etc. A gente já falou disso aqui no >> no chato, né? Jo, >> sou um cara chato, criterioso, >> criterioso é o nome. Mas uma coisa que que eu que eu que eu percebo além disso que você colocou lá que de eu consegui ter acesso à fábrica que do que gera produção.

13:09Mas ok, eu tenho acesso àele contexto aquele deve, mas eu não consigo imaginar do ponto de vista de modelagem de acessos e de construção da transação como todo, como que esse cara consegue ter acesso a tantos assets ou a tantos espaços da pipeline e que eu não tenha pontos de checagem para mover 800 milhões.

13:39Só por ter acesso a um dev que tem acesso a alguns repositórios, >> cara. É, >> ó, sem essa, ó, aí, sem essa inocência, ó. Um cara que faz um troço desse tamanho, ele não fez batendo aqui, testando, ele já sabia um monte de coisa. Ele sabia qual era a máquina, ele sabia qual que era o, ele tinha tudo, já sabia tudo, ele sabia o que ele tava fazendo. O que me estranha é assim, se você for pensar do ponto de vista do atacante, né, pensa no modelo de ameaça, normalmente tem um alv, vai, eu vou fazer aqui, eu vou ficar bilionário, tá bom? Aqui tá meu objetivo final, só que esse dia tem que estar na minha mão para eu estar bilionário, não pode simplesmente ter só saído do lugar de origem e tem que ter chegado em mim, né?

14:21E de um jeito que ninguém me pegue também, senão não resolveu o meu problema.

14:25Então você tá rico e preso.

14:26>> Então não aconteceu exatamente isso, né?

14:29Por enquanto um monte de coisa foi revertida e tudo. Eu tenho a impressão pelo nível de sofisticação que na verdade a gente não viu o ataque ainda. Esse cara aí foi só o ensaio. Só para saber assim. Hum.

14:43Dá um tiro perto da delegacia pra gente ver quanto tempo demora para acionar o alarme e um carro tá aqui. Ah, 5 minutos. Tá bom. Então quando a gente for fazer de verdade, eu já sei que eu tenho que fazer em 4,5.

14:53Ah, e aqui a detecção, ó, 500 pau estoura. Já sei que eu tenho que fazer de 450 em 450. Agora que eu sei aonde pega, agora eu vou >> [ __ ] que pariu, você tá falando que isso foi um ensaio.

15:07>> Tudo leva a crer, porque assim, extremamente sofisticado. Eu preciso saber como são todos os protocolos. O cara não tava de brincadeira, ele não foi à toa, ele não foi pego assim aleatoriamente, não. E com certeza ele sabia onde ele seria pego ali. Já tinha rodado, já tinha feito, já tinha acontecido. Se fosse o clássico problema de laranja, cara, eles fazem isso assim, ó, em em horas. Quando no objetivo final é só tirar o dinheiro, isso acontece em horas, porque ele roda em 200 contas de laranha, trocando de uma pro outro muitas vezes, inclusive, e aquele dinheiro some. Crime organizado sabe fazer isso. Ele não fez.

15:47Por que?

15:49>> É uma boa pergunta.

15:52>> Eles não são tão bobinhos, man. Sabe? E assim, essa galera investiu grana nesse troço, sabe aqueles golpes estilo GTA, jogo de videogame, planejamento, foi lá, levantou >> sofisticado La Casa de Papel, não foi sofisticado >> La Casa foi extremamente sofisticado, pô. Trocava de telefone a cada 15 dias, né? Jogava o chipe fora, >> canais de comunicação. Foi um procedimento assim que assim, amadorismo não teve. Falar assim: "Ah, teve descuido, cara". Não teve descuido.

16:23Não teve. A sensação que eu fiquei olhando e e que nem o baiano falou, querido, tem tanta especulação e tanta coisa que não se fala e aí a gente preenche com a imaginação porque não tem cát para preencher, então, né, a gente >> fica loucobrando.

16:39>> Mas podcast é isso, é para cagar regra, a gente tá aqui para isso.

16:41>> Não, que a gente, né, >> não, mas é porque a gente não tem mesmo informação, >> cara. Não tem. As fontes oficiais não divulgam, né? é pouquíssimo assim, rala, né, a informação. E eu sei que eles estão investigando e talvez atrapalhe e entenda o motivo, tudo justificado, mas para quem quer ajudar, para quem tá em volta também, que nem uma, como é que você ajuda, velho? Fi assim, me ajuda, tá? Para onde você vai? Não posso falar de onde você vem, não sei como que você, qual método de transporte você vai usar, não posso te contar. Falou: "Vixe, rapaz, ficou difícil te ajudar." >> Difícil, >> como é que a gente pega? Não fica difícil. Éim. E tá desse jeito. É por isso que a gente fica loucobrando tanto.

17:16Mas a sensação pelo resultado final, pensando em modelo de ameaça, não faz sentido nível de sofisticação, tipo de ataque, eles tinham condição de não ser pegos pelos tipos de empresa e coisa envolvida e lavagem de dinheiro e tudo que tá sendo, né? Para mim tem uma cara de tô testando limite, sabe? Tipo assim, ó, deve ter jogado 300, o que apareceu na mídia, 20. Agora eles já sabem todos os que não pegam, os que pegam. F map hora que vier a paulada. É.

17:46>> E quanto será que silenciosamente passou antes de realmente >> chegar, né, >> levantarem a flag de, ó, tem algo errado acontecendo.

17:57A ninguém sabe, né?

17:59>> Mas >> porque vamos falar do do que a gente até então do que tem na mídia, do que foi falado, do do que do que se sabe. O que que se sabe até então? no dia 30 de junho, né, na verdade do dia 30 pro dia primeiro, eh, houve uma movimentação, foi o primeiro alerta que apareceu, né, e apareceu lá no no fonte de mídia, alguma coisa, Brasil, Jor e me perdi aqui. Tô igual meu amigo ali que esquece os nomes.

18:31>> É o nome gringo, esqueci, esqueci aqui.

18:33Mas o dia 30 pro dia primeiro, a primeira flag foi levantada, né, por uma exchange crirypto que a gente a gente tava conversando aqui, tipo, você nunca imaginar, mas uma exchange crirypto, né, no caso é Smartpay, isso já é publicamente conhecido, recebeu na meia 27, alguma coisa assim, meiaite 20, entre meia 20, meia, um Pix de coisa de 17, 18 milhões de reais pra compra de crirypto. Um dininho de pinga, >> não a meia-noite. Então assim, quem que tá comprando milhões de reais, né, meia-noite e meia de de um domingo para segunda-feira, >> cara? E esse é muito louco porque a gente só viu o dinheiro saindo. Ninguém viu o o cara dentro do banco, a gente só viu o dinheiro chegando na outra ponta, né?

19:26>> Você entendeu que eu te falei de testar os limites?

19:28>> É, é isso. E aí o E aí o pessoal, né? E isso que é é até legal comentar isso, né? O pessoal que virou herói, pessoal de crirypto virou herói, porque o pessoal de cripto que é a gente é a gente é tentado. O que eu falo tentado não é a gente tentado, né? Os hackers tentam hackear a gente o tempo todo. O tempo todo. É stop. Tá ali, tão ali nesse momento. Tá aqui falando, eles estão lá >> bombardeando todo nossa infraestrutura.

19:54Não tem jeito. Tentando alguma coisa, tentando fazer, tentando forjar uma transação para parecer verdadeira em algum protocolo Defi, tentando forjar um um liquid de pool DeFi, tentando tentando fazer alguma coisa, testando de alguma maneira os protocolos de EFI e toda a infraestrutura da EFI para ver se ele consegue extrair dinheiro, né, do ar, né, ou seja, hackear. É o famoso hackear.

20:20Então, nessa madrugada chegou um Pix e alertou o pessoal das pessoas das MP falou: "Ué, cara, esse horário agora é estranho, tem alguma coisa errada.

20:35>> O limite Pix dessa conta deve ser muito bom para mandar 18 milhões de noite, né, que tem os limites, né?

20:39>> Pois é, né, nesse horário, né? E aí foi que eles, né, foi já foi relatado isso, né, pelo próprio CEO da SmartPay, né, e ele eles levantaram as flags e foram atrás, né? E é interessante assim, tem um mitra ataque, né, o famoso framework.

20:57Então eles levantaram dentro de todos os framework de de ataque, de detecta detecção e tal e falaram: "Pô, cara, tem alguma coisa errada, tem alguma coisa aqui que não tá batendo, não faz sentido" e tal.

21:11Aí para mim o mais estranho é como é que na ponta percebeu e lá dentro, né, assim, não foi percebido.

21:19>> É, então a gente só viu o cara saindo com o dinheiro na rua.

21:23>> É, >> lá dentro. Primeiro de tudo, como é que uma conta, que teoricamente essa conta aí depois eles aí já se descobriu, levantaram as flags, então esse dinheiro, esse dinheiro que eles pegaram, esse Pix inicial de 18 milhões e etc, isso é é é o que lá que falou, é a ponta do SB, porque isso é o que começou a se detectar e isso é tudo é o que conseguiu se reverter, inclusive >> foi o primeiro sinal >> e é o que conseguiu se bloquear e reverter, porque a partir daí toda a turma bloqueou e tal e reverteu, >> né? tá lá, tá, né? Não, não, o cara não conseguiu sair do outro lado. Mas o que é que passou antes disso? A gente não sabe.

22:01>> Só pra gente fazer um resumo até aqui, pro pessoal acompanhar a gente. Então, houve a a interceptação dentro do ecossistema do Banco Central. Daqui a pouco a gente vai explicar um pouco desse ecossistema, porque não foi exatamente o Banco Central, né? Tem ali uns agentes em volta, etc. Foi uma agência de custódio, eu acho, né?

22:21de serviço de tecnologia do que estão plados nos bancos central que provém o bancas service. Basicamente é isso.

22:28>> Isso. E ali, é, nada se pegou nesse processo, tudo normal, segunda-feira à noite, tudo certo, nada de errado, o dinheiro saiu sem ninguém ver e aí os caras pegaram o caminho onde teoricamente eles iriam colocar o dinheiro na na na blockchain, onde em tese se tem um anonimato de para onde tá indo o dinheiro. Muito em tese, né?

22:56Porque >> você consegue pegar as movimentações de carteiras, etc.

23:00>> É anonimato peron no mútil.

23:02>> É anonimato até a segunda página, né?

23:05Até a página dois, até você descobrir que é um dono daquela wallet. Uma vez você sabe que é um dono, acabou anonim, >> já era. Porque você consegue rastrear as wallets, mas não necessariamente você sabe de quem é ela.

23:13>> E é transparente público, todo mundo consegue ver.

23:16>> Então é interessante assim, >> é nesse momento. OK. Agora o que que passou antes? E detalhe, para mim, o principal é assim, já o que que já se sabe, essas contas da onde saiu o dinheiro eram contas de reserva.

23:28>> Sim.

23:29>> Então o que que isso significa? São contas de banco para transferência entre bancos. Como é que isso funciona? Isso é interessante a gente colocar na mesa, porque é o que se sabe mesmo >> do que aconteceu.

23:41>> Eh, vamos supor que nós três somos bancos e nós temos essas contas de reserva no Banco Central.

23:48Então, os meus usuários movimentam as contas deles e quando eles transferem dinheiro dos os meus usuários do do meu do Banco Baiano, mandam dinheiro pro banco Lac, aí a minha conta de reserva manda dinheiro pra conta de reserva do banco Lac.

24:06Quando o banco LAC, os usuários, na verdade, né, os clientes do Banco Lac manda o dinheiro pros clientes do Banco Well, aí o o resumo disso, o a conta de reserva do banco lá que manda dinheiro pra conta de reserva do Banco e assim vai. Deve ter um período que você faz um balancete, ó, saiu tanto, entrou tanto, tem que te mandar tanto para lá e tudo certo.

24:29>> Exatamente. De cara, de cara existe uma coisa chamada que é e que para mim sou muito estranho, mas depois eu entendi que por que passou, porque não havia flex, não havia nada, não havia controle e é o que láem >> nem monitoração, que é o que lá que chama atenção, é >> como é que pode, porque a contabilidade só fecha dessas contas com base entrada e saída do que aconteceu entre nossos clientes.

24:55>> Uhum.

24:56>> Então, eu tenho entrada e saída. Então tem lá o livro razão, entrada saída, débito, crédito. Entrada sapito, crédito. Ah, então agora com base desse saldo, como você falou, entrada sair adto crédito também da minha conta para da minha conta reserva pra conta reserva do LAC e da conta reserva do LAC paraa sua conta do Banco também. Como é, como é que sabendo-se disso tudo e já isso já estando, vamos dizer assim, é algo programado, como é que de repente sai dessa conta de reserva? direto pra conta do >> do exchange >> de uma exchange ou do CPF XPTO.

25:37>> E como é que tudo isso começou com o credencial de um Dev Júnior?

25:41>> É, aí você até falou nisso e esse é o ponto que a gente >> O Dev Júnior tem esse nível de acesso, cara.

25:47>> Você tá magoado, né? É, tá bom. Eu já fui D Júnior mais o Dev Júnior.

25:51>> Eu já fui Dev Júnior, não conseguia fazer nem por request, velho. O cara consegue movimentar 80 milhões.

25:57>> É bom. É isso. Isso é o que a gente tava comentando até aqui em off, assim, e aí a gente vai começar a entrar no, nas especulações porque a gente não tem informação.

26:06>> Uma coisa é certa, se a partir da conta dev, a partir de um de uma credencial de um Dev Júnior, se conseguiu acessar grana anyway, quais foi, qual foi esse caminho? Um fato é é o o fato.

26:24Existe uma falha grave de segurança, na minha opinião. Tá que na minha opinião, um um fato grave, porque assim, poxa, a gente tem lá na na clever, a gente tem lá uma série de API de blockchain, como são de blockchain, né, o só movimenta quem é o dono das wallets e a PK da das wallets não saito nenhum dos devices dos vários.

26:53Mesmo assim, o Júnior não tem acesso à produção dessas API, mesmo mesmo não tendo nada ali, entendeu? Tipo, não tem nenhum risco. Qual risco? Não tem, né? O que que ele vai fazer? No máximo poderia, teria que ter uma sofisticação de parecer que uma transação é e não é.

27:13E ele teria que de qualquer jeito, hackear o usuário.

27:16>> Uhum. para poder conseguir tirar uma grana de qualquer jeito em algum momento. Então, mesmo assim, uma empresa como a Cléver, que não é, né, essas empresas aí tem esse nível de controle, de segurança, diz assim: "Não, aqui é o o techer tem acesso, é o cara ali, é, não é o Dev Júnior." Então, se o Dev Júnior tinha acesso de fato a algo de produção, e a gente tá falando de algo muito sensível que o cara conseguia movimentar, porque o que se sabe é, ele conseguiu eh é uma especulação realmente, mas é, é uma especulação talvez mais próxima do que realmente aconteceu. Ele conseguiu executar de fato o Pix, que é isso a gente sabe, conseguiu executar um Pix.

28:01>> Iss é fato, ele ele chamou a P de Pix, >> então a gente ele conseguiu dizer assim, ó. Então, como é, aí a gente sabe aqui como é que eu como uma instituição me comunico com outra instituição de maneira segura? É um protocolo muito velho, antigo, é o conjunto de eh chaves público-privada. Hum.

28:21>> Então, eu tenho minha chave privada e eu tenho minha chave pública e você conhece minha chave pública e você tem sua chave privada. E o L tem a chave privada dele e todos nós conhecemos a chave pública dele. Vocês me conhecem minha chave pública. Então, quando ele manda algo para mim, eh, significa que eu consigo verificar que é ele, porque eu tenho uma chave pública dele. Uhum.

28:46>> Né? porque tá assinada, mas a chave privada tá com ele. Então assim, em algum momento aí é a especulação, a gente não sabe ainda exatamente como o atacante teve acesso à chave privada para emitir o Pix. Então assim, como é?

29:01Porque assim, vamos pensar, pô, o cara não tinha lá um HSM? Eu eu já aí já estamos especulando assim, porque uma se tinha um HSM, hum, meu amigo, aí invadir um HSM é um negócio que beira, né? Beira, >> muito difícil.

29:22>> Beira, não é, não existe nada impossível, né?

29:24>> Mas se invadir quem depende do HSM já é até bem mais fácil.

29:27>> Já é mais fácil. É o que o L falou, invadir o software e a partir do software a gente já tá software que >> faz essa personificação e usa a chave privada que tá lá. Ou pior, como já aí a especulação tá como teve uns repostes dizendo: "Ah, a chave privada tá no servidor lá".

29:45>> Mas fica em algum momento quando você acessa o HSM, pede para ele computar e trazer, você pode inclusive pedir para ele te dar alguns dados. pode acontecer de você ter fragmentos da chave disponibilizados, >> só que só que em teoria eles rotacionam, você tem outras tecnologias para te para te safar disso.

30:02>> Sim, mas é outra falha de segurança. Por isso que eu acho que qualquer que tenha sido a falha, por isso que eu falei, é grave perceber.

30:07>> Sim, sim.

30:08>> Porque assim, ah, então a chave em algum momento tava no servidor, não deveria, porque deveria, você deveria confiar sempre, quando você tem um HSM, você confia 100% no HSM.

30:17>> É, roda tudo lá. A chave não sai de lá de jeito nenhum. A gente que trabalha com cripto é a mesma coisa. A chave privada, a gente tem lá as wallets da Foundation, da da Clever Foundation, da que é da Clever Blockchain.

30:33Essas chaves não estão só comigo, nem só com JP, nem só com Marlon, só elas estão com todos nós ao mesmo tempo e com nenhum de nós ao mesmo tempo. O lá que entende o que eu tô falando, tipo assim, é a técnica de multisig.

30:47>> Uhum. Então, cada pedacinho tá com cada um e aí tem um thrash para você conseguir emitir uma transção, você tem que atingir aquele thrash e um HSM faz isso em nível sistêmico.

31:00Então, cara, se o cara conseguiu fazer esse acesso, conseguiu a char privada, anyway, alguma. É por isso que eu levanto a mão de uma falha grave, com certeza.

31:12>> Eu tenho tenho duas dúvidas aqui.

31:14>> Sei, mas uma falha grave. Duas dúvidas que eu queria esclarecer com vocês aqui, que talvez a gente não tenha resposta, mas eh concordo. Talvez a gente tenha alguns processos de governança deficientes, alguns processos de de controle de acesso, etc. que [ __ ] você pensar que o banco, que que uma empresa que presta serviço Banco Central não conta com isso me dá um certo nível de desespero, mas considerando que [ __ ] o cara, beleza com lá dentro o cara com aquela com aquela credencial, ele tinha acesso a isso e vamos supor que ele conseguisse fazer essa transação. Ainda assim, se esse cara vendeu o credencial dele, esse cara de fora, ele tinha que entrar no perímetro.

31:57>> Isso. Mas é aí que entra a esteira.

32:00Então aí eu consigo jogar código para dentro da esteira e eu espero a esteira fazer o debaixo.

32:05>> Mas eu eu entendo que você tá falando do perímetro de produção.

32:09>> Isso.

32:10>> Mas pro cara usar a credencial do dev e tá no perímetro mais amplo da companhia para chegar no ambiente de desenvolvimento, essa [ __ ] não tá exposta na internet. Os cara no mínimo teve que pular pra intranet >> sim >> da companhia para chegar nesse perímetro mais amplo para chegar no ambiente de desenvolvimento e pular pro pro perímetro hermético da produção.

32:31>> Mas meu lindo, ó, sem maldade.

32:34Perímetro hoje >> é um negócio meio super valorizado. Ó, você acessa a internet, você tem um browser >> aqui, ó, no celular agora.

32:43>> Legal. Você já viu como é que funciona o browser? Na verdade, você bate num servidor e fala: "Me mande código". É HTML, mas é código. É JavaScript, mas é código.

32:52>> É código.

32:54>> Você conhece todo mundo que programou, cada biblioteca que tá te enviando alguma coisa? Então dentro do seu celular você roda código dos outros que você nem conhece o tempo inteiro. E se for malicioso? Porque você tá confiando que o jozinho que existe ali não vai deixar nada vazar. Fim.

33:11>> Uhum.

33:12>> Putz. É isso. É toda >> pô. Mas é uma sofisticação absurda. O cara, o cara botou uma liba, >> mas perímetro é super valorizado. Se você tiver um aplicativozinho de mensageria que permita um espelhamento de tela, um qualquer coisa, você já tem um canal de callback home. Você precisa de um canal, você precisa de um IP e uma porta. Bateu, >> já era.

33:34>> Acabou, velho.

33:36>> É simples assim.

33:37>> E aproveitando até para complementar, ó, querendo a explicação do baiano, que que eu entendo que faz muito sentido sair atrás de conta de reserva? Toda operação bancária que você faz de emprestar um dinheiro de um crédito, o Banco Central dá certas garantias pra pessoa final, né, pro cliente final. Então, tipo, tua poupança, se der uma merda muito grande no mercado financeiro um banco fechar, tem um limite garantidor ali que o Banco Central fala assim, ó, >> tem uma conta aqui comigo, dou banco que mesmo ele quebrando eu te pago, viu, Bran? Tá aqui, >> é daí que sai o FGC, né? Então aquela conta garantidora é a reserva que vai ficar ali uma paulada de dinheiro. Por isso que contrato que negro não tá pagando financiamento e tudo é horroroso pro banco, porque o dinheiro já não tá nem entrando e tá preso aqui de novo. O mesmo tanto de dinheiro, porque se precisar tão tanto de dinheiro pendurado, banco odeia isso. E a conta de reserva de ninguém, que cliente que vai perceber que tá faltando de cara, a conta é do banco, então quem que é o usuário que vai mexer? Então aquela facilidade que que que o baiano tem que é assim, tem que ter um usuário aqui que manipulou isso, eu vou saber quem foi, porque ele, cara, esse cara tem acesso ali, com certeza é uma conta que é do banco, não tem um usuário, é um betzão.

34:48Repara que o sistema financeiro brasileiro é muito bet, velho. Se se o arquivo não chegar na CIP às 6 da manhã, não abrir o negócio ali e não começar a rodar a contabilidade do dia, o mercado financeiro não abre.

35:00>> Não abre. Eu tenho que saber a posição de tudo quanto é coisa e e começa o rolê a acontecer. É muito betão. Em algum momento o balanço ia pegar alguma coisa?

35:09Em algum momento ia. Podia ser algum momento muito ruim. Por isso que eu acho que o cara tava testando e tava testando num dinheiro que é assim, quem que foi lesado? E aí fala: "Ah, ninguém foi lesado". Mentira, porque se o Banco Garantidor tá lesado, você acha que quem ele pode até escolher ou distribuir a paulada, mas essa paulada ficou ali.

35:29>> Uhum. E no limite, se for a falência, pior ainda para quem ficou, porque se tivesse 1 bilhão guardado, mas o tua garantia aqui pelo Banco Central é 250.000, você vai receber 250.000 e fique feliz. E o resto? O resto quebrou, cara. Quando você assinou no contrato, tava escrito lá, se o banco quebrasse o seu, >> ele quando você entrega dinheiro pro banco, ele arruma um débito com você.

35:49Então ele te promessa de te pagar aquilo, mas é uma promessa. Se eu quebrei, quebrei, né? Você confia na liquidez do banco, >> que olha que perigoso que é o esquema.

36:00Então assim, >> e que e que ninguém pensa, né? A gente acha que é algo imaculável, né?

36:06>> Mas faz muito sentido pensando num ataque para um cara que fala assim: "Agora eu vou pra cabeça, por isso que eu tô falando de crime organizado, negócio grande.

36:14Eu vou atrás dessa conta, eu não vou atrás da conta do fulano belano, não, do baiano, >> porque vão me achar mais rápido, porque aqui tem um dono, porque aqui o cara vai ver na hora. Porque o próprio dono olha, cara, se bater um alerta no celular e falar assim, ó, 15 milhões sérios da sua conta, dá até uma tremedeira e é uma felicidade. Fala, nossa, eu tinha 15, que maravilha, né? Mas >> agora não tenho mais.

36:32>> Agora não tenho, né? A hora que parar a tremedeira, você vai fazer alguma coisa.

36:38>> E se o dinheiro não for de ninguém, do banco e imagina os volumes. Então fala assim: "Ah, foi 15 milhões pro baiano".

36:46Aí fala: "Meu Deus, né? E a te atacardia".

36:49Mas se for um JP Morgan, ele fala: "15, quem?

36:52É o que eu troco na bala. É isso. É a bala juquinha. É o que eu pago. Porque os volumes você fala assim, cara, >> esse tantinho que saiu que, cara, isso aqui é o que rola na primeira hora do >> car. Mas tem que ter um balanço que uma hora vai falar.

37:06>> Eu sei, mas assim, quando você bate num cara muito grande, mesmo esse 1% de algo estratosfericamente grande >> é muito grande ainda.

37:14>> 1% é arrebent. E aí, que trold é esse que você vai colocar para dar o alarme?

37:20Porque se tudo der alarme também você virou cortina de para você mesmo, >> cara. Mas não pode dar alarme nenhum, cara. Tem que fechar as atas.

37:26>> É para mim, para mim >> não esquece, ó. O blockchain é uma ata notarial perfeita. Primeiro eu registro na ata, depois tá valendo o negócio.

37:33>> É perfeito. Não existe balanço que não fecha.

37:36>> É >> o balanço, como você conhece, foi criado pela Igreja Católica, velho, para fazer contabilidade ali do que tinha no pó da igreja.

37:43>> Ele nunca bateu. Era para tentar pegar quem tava fazendo palhaçada. Ele nunca bateu e ele não bate porque primeira coisa acontece, depois você registra.

37:52Então pode acontecer alguma coisa que o registro falha e aí você fica caçando para tentar achar a facá de onde saiu que no outro não entrou e que agora não fecha o chamo.

38:03>> Tá. E se três pontas falharem? E se quatro? E se 10? E se 80? Vai chegar uma hora que você fala: "Cara, ficou impossível".

38:11Que inocência, velho. Certeza que assim, o martelinho de ouro, eu vou sacar meu dinheiro, vou deixar embaixo do colchão.

38:19>> Que inocência, velho. O martelinho de ouro que dá o tapinha ali. Você pode ter certeza que no bancão é é a marreta do Tório, irmão. É aqui, ó. Você faz a contabilidade chegar na marra.

38:30>> É, >> não tem como.

38:32>> Mas minha crítica lá que justamente em cima dessa como é. Bom, tudo bem que eu sou meio como a galera fala criptonativo, né? Nasci já nesse mundo blockchain. Sua notarial é perfeito.

38:41>> Eh, mas assim na minha cabeça é como é que a contabilidade não fechando, mas você explicou aí, muito bem explicado, mas na minha cabeça >> que leva um tempinho, tem um volume.

38:51>> É, mas é um volume, tudo bem que é um volume pra gente é uma grana, >> esse é o ponto.

38:56>> É, pro banco não é muito.

38:57>> Só que eu tô falando do país >> aí, olha, em relação.

39:00>> É nada, não é nada, é nada. É 20, 30 milhões. Teve, teve um Pix de 30 milhões. Não, mas p estamos falando de 800 milh, velho.

39:09>> Eu sei, >> cara. Mercado de trilhões.

39:14>> Mas cara, como é que eu não consigo fazer aqui um um ponto flutuante para não calcular essa [ __ ] É 800 milhões, velho.

39:23>> É, mas para mim assim, o principal é bom primeiro essa parte da contabilidade, porque talvez eu como ser um, vou falar melhor, blockchain ativo, >> mas tá perfeito. O raciocínio é esse mesmo.

39:35>> Não deveria acontecer. Primeiro ponto é isso. Agora, o segundo ponto é, ou seja, deveria ter um alarme sim e dizer assim: "Cara, tá, tá saindo dinheiro sem sem tá batendo a contabilidade, porque saiu de fato sem bater contabilidade." O segundo ponto para mim é aquelas contas jamais deveria ter transação para um CPF, para um >> Hum.

39:55>> Para quem não tá >> aí, olha que legal, se tivesse um hardenzinho, mesmo que não é uma ata notarial perfeita, pode ser o contabilidade tradicional, a carca, né?

40:05Igreja Católica de 1500.

40:07>> Porém, se tivesse um hardeninzinho que fala assim: "Olha, fora do sistema financeiro nacional não chama". É, cara, esses cinco pontos >> já teria aguado, já jogava água no chope.

40:18>> Exato. Exato. Para mim também esse é outro ponto.

40:20>> E provavelmente não tem, porque nunca alguém falou assim, >> porque nunca >> porque se o dinheiro saiu, não tem nada.

40:26>> Imagina se alguém tem coragem de, né?

40:29Aquela >> teve alguém teve >> alguém teve. Um dia, um dia chega. E isso, isso tem cara de que algum deve falou: "Gente, não era melhor limitar isso aqui?" Alguém falou: "Pocê é louco?

40:40Você acha que um dia, um dia alguém vai tentar fazer isso?" Não vai, velho.

40:46>> Não vai não. Tira esse requisito daí.

40:48Isso aí é uma semana mais de de desenvolvimento.

40:50>> Não, pior que assim, hoje com minha mente que é é um tanto ainda muito técnico, mas também um tanto business, isso é uma coisa do business. É exato.

40:59>> Porque, por exemplo, lá no nos protocolos, eu tava escrevendo esses dias aí, eh, o Circuit Break junto com o pessoal eh os desenvolvedores, os dev, a gente tá desenvolvendo um circuit break dos protocolos de que a gente tá desenvolvendo.

41:12Então, assim, quem tem que pensar na o dev, não é? Não é, enfim, o dev tá muito focado no código.

41:21>> Uhum.

41:21>> Saiu daqui, entra aqui no na no notarial perfeito, no Quem tem que pensar nisso é o cara do business. né? Eu falei: "Cara, e mas e se o cara tentar eh fazer um clan reward desse desse smart contract e enquanto ele tá fazendo o reward, ele mandar de novo o mesmo claner, ou seja, ele tentar fazer um double spend. Isso chama-se um ataque de reentrada. Se ele tentar fazer um ataque de reentrada aqui, aí o D para mim, pô, é mesmo, né? O cara pode tentar fazer isso. É >> modelo de ameaças, >> né? Então assim, o cara do business também tem que pensar nisso. Ele tem que pensar, ele tem que dizer: "Cara, pode acontecer." E eu não tô falando uma besteira absurda, isso já aconteceu.

42:02Então assim, de coisas que já aconteceu, você é obrigado a a a se proteger.

42:06>> Sim.

42:07>> De algo que nunca aconteceu, tudo bem.

42:10Assim, tudo bem não, mas aindava lá. é tolerável, mas algo que já aconteceu, então assim, algo desse tipo já aconteceu, já tentaram pegar contas e mandar de uma conta que >> tem tem um ponto aqui que a gente não sabe se essas contas são usadas só para isso mesmo, >> não é só para isso. A conta de reserva ela só manda para outra conta de reserva em tese, >> em teoria é >> em tese, né? Sei lá, às vezes o cara precisa fazer uma um pagamento, >> mas não pode, porque aquela aquela conta é da minha relação do meu banco com o Banco Central, não serve para outro fim.

42:44Não deveria. Por quê? Você concorda? Se esse é o dinheiro que você me cobra, que fique com você para dar garantia das minhas operações com os meus clientes, como é que eu mexo nesse troço?

42:54>> É, tem razão.

42:55>> Se eu não mudei nada aqui no meu dia a dia com o meu cliente, eu não posso mexer nesse troço. É a garantia, é o ouro, né? É, é o lastro, tá? É, é, é, é o que você me exige ter a guarda.

43:06>> Não existe isso. Não pode mexer, não pode ter outro fim. Quer dizer, no pensando em business, em negócio, não poderia. Claramente há falhas ali de definição, porque assim, >> que nem aquele protocolo que ele comentou, >> cara, se o protocolo Pix estava acessível daquele ponto, chamou, ele responde ele. Não tem como saber, ah, mas eu não poderia ser chamado, cara.

43:31Foi.

43:32>> Mas aí eu vou lá e dou um hardeninzinho.

43:34Fala, cara, mas daqui não. Essa conta é uma conta. É uma conta, mas não é qualquer conta. Ela só vai e volta e vai nessa direção. Por exemplo, ó, que coisa besta. A gente faz isso em um monte de outras coisas no mercado.

43:45>> Quando você vai abrir uma conta de investimento numa corretora qualquer que você compra qualquer coisa, pode ser cripto qualquer coisa, é muito comum você pega dinheiro seu do seu CPF, transfere pra sua conta do seu CPF lá daquele do mesmo CPF, né?

43:59>> E vai e volta. Ele não fica indo pros lados para Não, não, não, não, não, não.

44:03É essa aqui. E para habilitar uma segunda, você tem que ralar a bunda na OS. Nossa, não dê é doído para você conseguir. Por quê? Porque é uma segurança. Falei: "Irmão, se esse dinheiro foi ou voltou, ele é continua sendo o seu. Então, dos problemas o menor." >> Uhum.

44:19>> E aí, para um banco de investimento, uma conta, é muito mais tranquila a vida. Se ela começar a deixar aí para qualquer lado, uf, o nível de ataque, exposição sobre muda completamente. Eu ten >> eu tenho que fazer um negócio muito mais sofisticado quando eu não precisaria só de colocar um pequeno bloqueio. Então, na conta de reserva, teoricamente deveria ter esse bloqueio e substancialmente ele não é hard, ele não tá lá, né? Ou o cara achou um jeito, ou ele existe, mas era tão trivial de desligar que a galera foi lá e falou assim, ó, beleza, é um flag, pode ou não? Eu vou trocar aqui para pode e pau no burro.

44:56>> É, é, mas aí a gente entra no campo da situação, né?

44:59>> Mas aí entrando no que você tá comentando, pô, eu trago pra minha realidade porque tem coisas assim, tem operações de smart contact que, OK, tem operações que você consegue fazer lá, assinou, mandou, OK, vou adicionar uma liquidez, vou OK. Agora tem operações que é uma só pode fazer a determinada eh vou chamar assim, né? Um determinado wallet e aquela wallet obrigatoriamente tem que ser multisse. Então assim, por quê? Porque é crítico. É o que ele falou. Então, operação, eu agora vou trazer pro cenário tradicional, pro cenário desse na minha cabeça, é beleza.

45:39O cara até pode, porque o protocolo Pix permite, mas nesse caso, ah, uma flag, cara, não dá para ser uma flag, tinha que ser assim, caso eu queira fazer, ah, eu nesse caso aqui, eu vou, por algum motivo que a gente não sabe, fazer uma transferência dessa conta de reserva para uma pessoa física ou para uma outra pessoa, eh, um outro CNPJ qualquer, né?

46:04Enfim, vou é uma exceção.

46:07Isso tinha que ter uma um multic, isso tinha que ter uma cadeia de autorização.

46:12>> Uhum.

46:13>> Não é simplesmente uma única chave privada assinar.

46:18>> E >> valeu, >> valeu.

46:21>> 800 milhões.

46:22>> Vá lá.

46:23>> Tchau.

46:23>> Tchau. Não, não pode ser assim, né? Não deveria ser assim. Então o que a gente tá aqui conversando é mais uma vez chega no que eu comentei, cara, uma falha grave de segurança houve eh, ah, o cara e imputou código, aí tem relatórios falando do CVE, do Active MQ, seja qual foi o caminho que ele tomou para chegar na chave privada para conseguir emitir o Pix.

46:48A gente já enumerou aqui falhas gravíssimas, tipo assim, inclusive do cash flow, de você não ter um circuit break, de você não ter um mecanismo de monitoração, de entender que aquele fluxo não é normal, que não era normal, >> não é?

47:04>> Então assim, como então assim, é uma falha de qualquer forma uma falha grave, né? E pelo amor de Deus, assim, não tô não tô querendo ser o dono das coisas assim, ó, não. Eh, a gente tá aprendendo sempre. né? A gente, quem trabalha com segurança sabe, a gente todo mundo de segurança tem um, tem as sandálias da humildade lá, porque a gente tá sempre aprendendo, né?

47:26>> Do telhado é de vidro, né?

47:27>> O telhado é de vidro para todo mundo, mas tem coisas que são básicas. Tem coisas assim que são básicas, >> seja um gap técnico um gap de processo, >> tem coisas, >> é, problemas existem, mas tem coisas que são básicas.

47:42>> A gente já viu ataques sofisticadíssimos no mundo, né? Em geral, por exemplo, o hack do by bit, na verdade, foram bilhões de dólares, né, que foi muito maior, >> mas foi sofisticadíssimos em nível de engenharia social, não foi um ataque que envolveu questões técnicas ali, conseguiram os coreanos lá, o Lázaros Grup conseguiu ludibriar o time de uma exchange >> e que tinha muito sig >> que tinha muito sig, tinha tudo. Eles estavam, eles estavam seguindo tudo ao, ao pé da letra, todas as camadas de segurança. Foi uma engenharia social.

48:23>> É que dá raiva, né?

48:24>> É que dá raiva. É a gente que é dá raiva porque foi engenheira social. Ou seja, todo mundo, os as camadas de multic assinaram uma transação achando que era legítima por conta de uma engenharia social, porque conseguiu imputar na naquela galera ali a ideia de que aquele aquele address que eles estavam mandando a grana era deles mesmo, né? Então assim, mas isso foi via engenharia social, né?

48:52Deixa bem claro, foi um ataque 100% de engenharia social.

48:56Nesse caso que a gente vê não é porque assim a partir de um dev não fizeram lá lá o o Lázaro Grupo não teve como target um dev Júnior da [ __ ] Tomara que o Lázaros nãoem não saiba onde fica o Brasil.

49:11>> Não, não foi. Não foi. O cara tacou executivo da empresa.

49:15>> [ __ ] Não, não olha para cá, velho. Não olha para cá.

49:19Mas você percebeu, o cara atacou executivo da empresa, atacou o cara do alto escalão, atacou a galera que assina o negócio, atacou, foi uma engenharia social muito sofisticada, muito bem sofistada.

49:31Inclusive, agora você sabe, eu comentei o Zek lá, que é o cara que eu sigo no Twitter, que é um esses investig esses caras que gostam de investigar, o Etnic é o hacking, né, o famoso, um cara que fica ali, >> ele mostrou que a maioria desses caras do Lázaro, estão empregados em um monte de empresa, né? né? Tipo assim, os caras conseguem trabalhar com remoto, se passam como outras pessoas de outras localidades e consegue emprego. Então assim, eles conseguem eles eles conseguem com isso entender como funciona, como é que você falou, né?

50:04>> Eh, porque mapeia, é o famoso fingerprint, né? O atacante antes de atacar, ele faz um fingerprint, ele faz a impressão digital do daquilo ali, como é que funciona, como é, >> matei o território, né? Mas eu tô falando de social, tô falando de engenheira social. Como é que funciona?

50:20Quem que aquele cara confia? Como é que aquele ali, como é que funciona a informação? Como é que a informação passa daquela pessoa para aquela pessoa?

50:27Como é que eles verificam? Como é que é feita a verificação, como é que quem diz que é é que é válido. E aí depois que ele monta esse fingerprint social, ele ataca socialmente. Dá muita raiva. Eu também tenho muita raiva. Porque você tá com tudo tecnicamente no estado da arte.

50:45É praticamente impossível atacar tecnicamente, mas como sempre o maior ponto de falha é nós, ser humano, >> o ser humano >> que toma uma lambada e você fica olhando fala: "Não é possível".

51:01>> Aí bate a raiva.

51:02>> Mas nesse caso, por isso que eu falei do da questão da falha grave, é isso. Não foi, em princípio tem alguma falha grave aí? Sim. Seja qual for, tem, porque a partir da credencial de um Dev Júnior, não é pro cara ter acesso a milhões de reais do Banco Central, >> não é?

51:19>> Ah, depois décimo me dá mais o gole de cerveja aí, >> não. E assim, aí o cara eu e e para mim é uma coisa que tá muito mal contada ainda. Ah, o cara se vendeu por R$ 15.000.

51:29>> Nossa, >> quanto ganha o David Júnior em São Paulo? [ __ ] esse cara ganha sete, oito pau no mínimo. Eu tava, eu tava chutando bem por baixo aqui, hein, com o meu amigo aqui no inf. Fala, cara, vamos botar o salário de estagiário, >> tá? Vai três conto, >> três conto, >> cara. Vai se vender por 5 meses de salário.

51:47>> É isso, entendeu? Tipo, >> não faz sentido.

51:49>> Não faz sentido. Não faz sentido.

51:51>> Tem tanta coisa mal contada na história.

51:53Não faz sentido.

51:54>> Não faz sentido nenhum. Nenhum. Então assim, e o que já se sabe de fato, os que estão na imprensa tudo foi muito sofisticado, como lá que falou, os caras trocavam de celular, os caras usaram o not lá para se comunicar, os cara foi muito o nível de sofisticação, altíssimo nível e e tem questão técnica, tem falha técnica, >> saca estratégia militar mesmo, nação, estado atacando.

52:19>> Uhum. É, foi nesse nível, >> não, cara, nível casa de papel que os cara trocava celular e o [ __ ] fazia o plano, testava, cara, que agora, bicho, você me falou que isso pode ser um ensaio e eu tô convencido depois diso falar com você agora que ainda não conhece a Clever. Clever é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes, que tem trazido soluções em blockchain, criptomoedas e ativos digitais. O objetivo da Clever é te dar liberdade financeira para operar esse mercado de cripto. Então, se você acredita nisso, se você acredita nessa liberdade, você já pensa como a Clever, vai conhecer os caras, é clever.O. estão contratando também pessoal para trabalhar com cripto, com blockchain. Então, se você tem interesse, se você tem conhecimento nessa área, procura a clever. Se você gosta de criptomoedas, se você opera no mercado, você precisa conhecer a Clever, precisa conhecer as soluções da Clever.

53:18Então, o endereço tá aqui embaixo no vídeo. Para quem não tá no YouTube, é clever. Vai lá, vai conhecer que realmente é um mercado sensacional.

53:29[Música] >> Porque assim, não >> vai saber, né? não gerou os frutos que fazem sentido para um ataque desse tipo, para um grupo que você pensa só de crime organizado, simples, porque os caras fazem o dinheiro sumir, velho.

53:42>> Mas aí não pode ser porque assim, foi razoavelmente bem sucedido porque uma grana não voltou, né?

53:50>> É, sim.

53:52>> E >> uma grana foi vazou mesmo, >> foi. Já era até a gente detectar tinha ido.

53:56>> É, mas sabe a conta que eu faço é assim, ó. Quanto dinheiro tem aqui nessa caixinha? Um pentalhão. Quanto eu levei?

54:031 milhão. Não, eu eu não vou correr o risco de mostrar o jeito que eu vou pegar esse um pentalhão para ganhar só essa mexaria aqui. Não.

54:12>> Sim, mas o que eu tô pensando é o que aconteceu.

54:16A gente tá especulando aqui várias falhas óbvias, por exemplo, que facilitaram o processo. Isso não vai gatilhar um reforço desse processo e talvez o ensaio foi mais fácil e agora uma nova tentativa não vai ser tão simples.

54:34>> A gente reza para, né? Mas não esquece, a gente tá falando do ecossistema financeiro brasileiro. Você só consegue fazer upgrade se todo mundo, porque eu eu não posso simplesmente fazer um upgrade do meu lado que você para de comunicar comigo e você fica de fora agora e teus clientes, tuas coisas.

54:47Então assim, meio que sobe tudo junto.

54:50Uhum. Por isso que eu tenho open banking, por exemplo. Putz. Ah, vou, a gente vai fazer open bank. Não, irmã, é a gente, todo mundo junto. É isso aqui é o mesmo protocolo. Tem que rolar junto, senão deixou de interoperar. Não pode deixar de interoperar. Vai voltar pra Câmara Bancária e fazer compensação no papel. Não, não vai acontecer. Tem que interoperar. Então, não é tão trivial você fazer mega upgrades que você virar para um cara e falar assim, ó. Então, ó, beleza, dia 20, né, aqui final do mês, dia 30, eu quero todo mundo, >> acabei de subir um fix, um pet, >> é, todo mundo operando em criptografia quântica. Beleza, valeu, valeu, valeu.

55:27Obrigado.

55:28>> E >> ué, então no dia 1 de agosto para tudo porque ninguém tá pronto.

55:35Então, não, essa é a janela de tempo de oportunidade, porque agora eu já sei o tempo de resposta, eu já sei o volume que pega, eu já sei de que, né? Agora é a hora que eu tô aqui, a hora que tá bom para mim.

55:50>> É, eu a gente começa a pensar essa história do cara do de 15 conto tá tá muito mal contada também, né?

55:56>> Muito. Quantos casos você conhece que a gente planta agentes dentro de algum lugar?

56:01>> Sim, sim.

56:03E tipo, >> muito mal contado. E só ele foi preso, né, até o momento, né, assim, muito esquisito, né? E é muito >> tipo, cara, vai lá, você vai pegar cinco aninhos, depois tua vida tá resolvida.

56:14por 15.000. 15000, né?

56:18>> É muito pouco, né?

56:18>> É muito pouco.

56:19>> Não é essa, então não é essa história.

56:21É, não é comprou o quê? Um Chevete.

56:23>> Não tem uma Chevete 88?

56:26>> Não. Chevete não. Vai, mas um Corsinha Wind 98 compra.

56:29>> É, não, não. Chevete é mais valorizado realmente que isso não consegue.

56:33>> O Corce Wind. Sim, você tem razão. Tem um Chevete 88 mais valorizado.

56:36>> Cor, pegou um corcinho de uns 30.000 pelo menos.

56:39>> É, cara. Você vai lá, você vai ser a isca e cinco aninho sua vida tá resolvida. A hora que você sair, você pega o avião direto paraa Grécia, né?

56:52>> Acabou seus >> Grécia tem de tradição, deve ser algum outro lugar.

56:55>> É, sei lá, já deve estar com passaporte nome novo já, [ __ ] né? Mas é, mas enfim, é uma história muito mal contada e eu tô com laque assim, eh, a gente tá num campo muito especulativo ainda, muito >> eh a gente não tem ideia de do que de fato aconteceu, do que realmente aconteceu. E aí a gente vê todos os especialistas de segurança levantando reportes, né, levantando eh reportes que na verdade não são reportes, >> então >> eh são especulações do que possa ter acontecido, >> não? Você vê a mídia tentando falar um o mínimo sobre o que aconteceu, cara. Dá vergonha.

57:34>> É >> porque quando entra no no assim primeiro degrau técnico do que é um ataque, [ __ ] você já fala: "Ai, cara, que vontade de bater a cabeça na parede". Tá ligado?

57:45>> Acaba ali.

57:46>> É. E assim, o o que a gente vê é o que tá contado. Aí o cara teve, vazou a credencial de um Dev Júnior e o ataque surgiu daí. É muito é assim como a gente locobrou aqui, tipo, o cara qual falha que ele explorou a partir daí o Ken injetou um código é possível? Ele explorou uma falha do Activ.

58:09Anyway, da forma que foi, ele chegou a chave, acesso a chave, ele conseguiu acesso ao HSM ou a chave.

58:15>> Uhum. né, de comunicação lá, né, o conjunto de de chave público privada.

58:21Anyway, alguma falha muito grave aconteceu >> ou várias, né?

58:25>> Não, várias. É tipo acidente aéreo, né?

58:28>> Nunca cai para uma um problema só.

58:30>> Ah, foi só o piloto tava bêbado. Não, o piloto tava bêbado, >> não tinha copiloto.

58:34>> Não tinha copiloto, né? Eh, falhou o sistema hidráulico junto com o sistema de combustível, pegou fogo na asa, tipo assim, é um é um é um desastre mesmo. É um negócio que começa >> a falhar uma série de coisas a ponto de acontecer o desastre. Não é só um um uma coisa aconteceu, né? Então assim, e é estranho isso porque o foco virou nesse cara, no Dev Júnior, todo mundo fala do cara e a partir do Dev J virou piada, virou meme, né? parte do Dev Júnior, você tem acesso a não sei quantos milhões de reais e fica essa cortina de fumaça, porque a gente não sabe de fato o que o que que aconteceu para realmente acontecer esse que em termos de registro, você falou bem, o maior ataque hacker aos ao sistema de pagamentos, né, do brasileiro da história.

59:24>> Acho que nem só o sistema brasileiro, que acho que em valores é o maior do da história do Brasil, né?

59:29>> É, teve aquele físico, né? Teve assalto ao Banco Central, os caras pegaram dinheiro mesmo.

59:35>> É que eu acho que o valor lá foi maior, né? Não lembro agora, mas acho que foi maior. Sim, >> sim. Mas acho que ataque hacker >> a hacker foi maior. Hacker, sim.

59:43Digitalmente, >> digalmente.

59:45>> Privado ou sistema financeiro foi a maior, né?

59:48>> E aí eu e aí o Polak traz uns negócios muito interessante assim, pô, será que sou ensaio? Assim, cara, pode ser.

59:55>> Lembra que eu falei da parte contábil?

59:58>> Sim. E se a gente tivesse um mega problema contábil, e a gente já sabe disso, e aí a gente resolve facilitar um negócio aqui que vai criar uma instabilidade financeira, que a única solução viável, porque eu tenho que criar um problema para vender uma solução, né? A única solução viável vai ser colocar uma marretinha do Tório, eu aproveito para resolver aquela outra minha coisa que vai vir junto.

60:20>> Não, não é um É, >> aí a gente começa a entrar lá que nas teorias conspiracionais, mas é >> porque a história não fecha. É sim, mas é isso >> que normalmente quando você tem um negócio desse tamanho ou é ensaio e ainda não veio e é realmente dinheiro, OK, mas acho difícil porque vai ganhar um nível de exposição que esse cara realmente vai ter que ir pra lua, né, para poder usufruir >> ou não? Eu tô só tentando aqui, ó. Eu tenho um problemaço >> e eu preciso derrubar um prédio, né? Vai acontecer um 11 de setembro aqui. Vou derrubar um prédio para poder justificar um negócio ninja que sem o com o prédio em pé eu não consigo. Mas se cair eu dou um jeito. Que que eu vou fazer? Taca um avião lá.

61:03>> Pronto, resolvido.

61:04>> Que são as teorias de conspiração do 11 de setembro. É a mesma coisa.

61:08>> Sim.

61:08>> Porque nenhum prédio que tá derretendo cai assim. Ele cai de lado, ele tomba, ele faz qualquer coisa.

61:15dois prédios implodirem assim e logo depois a gente invade o o Quite.

61:23>> É, enfim, >> Cosama e caramba, né? Que coisa maravilhosa.

61:30>> Então, se eu preciso criar um problema para entregar uma solução, >> é, >> a minha outra teoria da conspiração tem a ver com hum.

61:37Então, o cara dos 15 conto aqui causou essa palhaçada. E agora, por isso agora vamos meter smart contract em tudo.

61:46Agora o CDBC tem que entrar e agora o dinheiro físico é um perigo. Agora ah, então agora aproveitando aqui a gente fecha tudo.

61:53>> É, faz algum Mas eu acho que >> isso pode ser realmente desculpa, mas pode ser uma grande desculpa pro pro Drex, de fato.

62:01>> É, pode ser, pode ser sim, de fato. E ol, >> como especialista da área, eu confesso que pode ser uma grande desculpa. É, a gente nem falou do Drex, mas o Drex com com o Drex isso não aconteceria nunca, né?

62:12>> Impossível.

62:13>> Porque o Drex seria a substituição dessas contas.

62:16>> Mas não é maravilhoso? Não, não, não. É mais pro pro pessoa final, não necessariamente dessas contas, mas ele substituindo tudo vai acabar resvalando nesse cara também. a contabilidade iria fechar e não ia e o cara não ia conseguir fazer essa movimentação.

62:30>> Iar ou no limite eu ia rastrear tudo que hoje eu não rastrei.

62:32>> É exato.

62:34>> O problema do Drex é a rastreabilidade de tudo. Eu vou saber se você respirou diferente. Fala: "Caramba, será que eu quero que o Banco Central saiba quando eu respiro e se eu respiro, fic? Cara, gostaria de ter um, né, um momento aosa aqui no banheiro. Deixa eu com a minha intimidade, né, pô. Deixa aqui no B tranquilo, não precisa ficar me monitorando, saca? É um nível de monitoração que ela é escatológica, ela é tudo. A auditoria ela é blockchain, velho. Você tá >> só que calma, eu eu acho, eu eu sou fascinado pelo blockchain porque acho que ele é uma das grandes revoluções.

63:08Olha que mágica que ele conseguiu fazer.

63:09Ele é uma ata notarial perfeita, pública, que todo mundo sabe em absoluto tudo que aconteceu em todos os blocos de todo mundo, de todo lugar. E todo mundo verifica. Legal. É >> só que ninguém sabe quem é o dono da carteira. O problema é quando você quer esse bloco é privado. Não, privado não, quando ele é centralizado. Isso.

63:27Centralizado, >> porque ao mesmo tempo eu tenho ali a ata notarial perfeita, mas eu consigo dar um certo anonimato para todo mundo falar assim, ó, cara, se todo mundo soubesse que você é o Satoche e que você é trilharário, sentado nos Bitcoin, mas dono de um dinheiro que o mundo não consegue entender, não consigo ler o número, você vai ser sequestrado dia assim, dia também você não vai ter mais vida. você acabou sua vida. Então, é lógico que eu não posso expor as suas finanças nesse nível, mas putz, poder rasar o bandido, saber que o cara que é o pedó, claro que interessa. Então, tem uma hora que é assim, qual é o limite do é aceitável quebrar o sigilo e daqui paraa frente eu tenho que ter esses mecanismos para investigar? Legal.

64:10>> Mas todo mundo, tá, o bandido não é o idiota, velho. Ele só é imoral, mas ele é normalmente ele é muito esperto, inclusive.

64:17>> Sim, >> ele só é imoral, tá? Esse cara não vai fazer ataque dirigido e falar assim: "Não, descobri que o baiano, irmão, baiano tá sentado descob, descobrir o resto da carteira." Sabe que ele chama baiana porque ele é dono da Bahia, irmão. Você tá entendendo? Ele chama aquilo de minha roça. É, pai. A >> CM é caseiro. É caseiro, pô. Cara, tá sequestrado.

64:42>> É, >> tá las A desse cara tá lascada. Pode mudar de país que você tá lascado, você não vai ter mais paz no mundo, >> então você precisa ter as duas coisas.

64:51>> É, é um, é, é um dilema.

64:52>> E eu acho isso maravilhoso no blockchain, assim, me fascina, sabe assim, como que você consegue chegar no limite ali, sabe, de falar, putz, >> é completamente auditável, aberto, ao mesmo tempo que eu não sei quem é você.

65:04Fala, nossa, é fascinante o bagulho.

65:06>> Como funciona hoje, né? Hoje, hoje a gente tem mecanismo de inteligência, a gente tem lá na clever, mecanismo de inteligência que no protocolo DEFI, se chegar lá, lavagem de dinheiro, pedofilia, tararau, tararau, consegue rastrear e consegue pegar e consegue impedir o cara de usar o protocolo descentralizado.

65:28Você fica assim, mas como assim? É, mas é o limite, >> mas você consegue impedir, mas sem o limite dispor quem é. Eu sei que aquele dinheiro é sujo.

65:39>> Isso. Então você você bloqueia a transação, >> mas eu não sei quem é o cara. Quem é o cara?

65:43>> É, mas aí deixa a polícia fazer o trampo dela também, né?

65:47>> Aí aí o que acontece, ó? Chegou o dinheiro sujo aqui. Polícia que dinheiro sujo. Agora corre atrás daí.

65:53>> Agora você chega lá, você tá no seu banheiro, como eu lá coloc que você coloc achei maravilhosa essa analogia que >> pô. Tem momentos intimidade, né? Amei, mas amei, amei. Aí você tá lá no seu banheiro, seu momento de intimidade, cara. Não tô nem aí. Você tá lá usando Defy no seu banheiro, de boa. Não sei quem é você, não sei. Ninguém sabe quem é você. Agora passou dinheiro sujo. Opa, levanta flag. Porque as as flags levantam >> porque tem um rastreio. Porque em algum momento, como é que é feita essa inteligência, esse rastreio? Porque em algum momento tem o o ou em off ramp, em algum momento em tem um uso, o cara vai querer fazer um uso ou entrou ou saiu.

66:33>> Uhum. Aí você pega >> e nesse momento você pega. E no que pega você consegue restrear de ponta a ponta.

66:38Deixa eu te fazer uma pergunta então que eu fiquei com dúvida lá no começo. O lá que ele fez um deu um exemplo de fraude eh bancária no no sistema financeiro convencional que o cara entra, ele faz umas transferências, joga pra conta de laranja, aí vai de laranja para laranja, dá aquela embaralhada e tal e puf, já era.

67:00>> Sim.

67:01>> A o o livro caixa da Igreja Católica Medieval não vai pegar essa [ __ ] nunca porque embaralhou. Ele pega somatórios e aí como é que você olha somatórios para achar tudo aí você não. Aí no somatório muitas vezes já viu aquelas mágicas que o cara fala assim: "Olha, tá aqui os três palitos agora como é que você mexe cinco palitos e fica, sabe? Já viu aquelas brincadeirinhas?

67:21>> Tem um monte de jeito que você some e subtrai coisas que vai dar a mesma coisa, mas não é a mesma coisa. E aí você fez a mais de 500 desaparecer. Você deu a soma final e deu certo e beleza, já era. Não acho >> agora no blockchain, nem você falou, beleza, eu tive a saída, os caras lavaram no no >> no nas memics, etc. Cara, não seria razoavelmente simples se eu eu crio uma carteira muito fácil hoje.

67:49>> Uhum.

67:49>> Sem ninguém saber que ela é minha. Eu jogo esse dinheiro pulverizado em 1000 carteiras, >> jogo de um canto pro outro, para um canto pro outro.

67:58rastreável você sabe todas trilhão de carteiras rastreável.

68:04>> Mas calma, olha que legal, olha que diferente, ó.

68:06>> É rastreável, mas é humanamente verificável essa [ __ ] É, calma, >> você vai verificar ver sistema só para abrir suente. Uma um >> Quando você pensa nas caixinhas, contas de banco, você não imagina realmente uma caixinha que alguém jogou a moedinha ali dentro?

68:21>> É, eu penso num banco de num registro de banco de dados. Mas faz, mas faz, mas faz sentido.

68:25>> Mas tudo bem, eu entendi o lúdico.

68:27>> Faz sentido.

68:28>> Olha que louco. O Bitcoin ele não existe. Inclusive na minha carteira o que tem é a é a consonância de um monte de transações que chegaram em mim.

68:38>> E se eu se moscai tiver lá 70 bitcoins, eu quero te dar um e eu só te mandar um, eu me lasquei porque os outros 69 foram pras pras quem validou. Porque todo o dinheiro tem que entrar e sair. O que eu tenho que fazer? Eu transfiro um para você e 70 e de volta para mim. Eu tenho que fazer duas transações, porque o que existe é a transação, não existe caixinha, não tem um lugar final onde ela fica. Então o tempo inteiro >> é uma transação amarrada na transação, amarrada na transação, amarrada na transação, amarrada e essas confluências de transações acontecendo o tempo inteiro. Então ela não tem um, ela não tem um fim, ela não tem uma caixinha onde ela para aqui.

69:13>> Como que a contabilidade funciona? Ela fica olhando somatórios de caixinhas, ela não enxerga as idas e vindas.

69:19>> Então >> o que que eu uso para rastrear idas e vindas?

69:23No Bitcoin é só as idas e vindas que existem no blockchain. Não tem como você não rastrear.

69:30>> É, >> ele é o rastreio. Entende a mágica?

69:33>> É que eu te expliquei isso como livro razão, mas ele parabéns a sua caixinha.

69:38É legal. A caixinha é legal. Não. E pelo nó na cabeça dele, ele entendeu >> pela cara de que ele tá fazendo.

69:44>> Não. E assim, até agora, até hoje, melhor explicação que eu que eu achei que eu que eu vi alguém fazendo do que um termo técnico chamado Txo. É exatamente o que ele acabou de explicar, porque o Bitcoin é o TXO based. Ou seja, você nunca, seu, como ele falou, você tem 10 bitcoins, aí você vai mandar um para você, você vai mandar uma saída de Bitcoin para você e nove vai voltar para você mesmo. Se você não fizer isso, você se lascou. Porque o o cara que tá fazendo o minerador e o validador, >> ele vai olhar aquilo e falar assim: "Opa, achei um troço voando aqui pra minha. Opa, rápido, tranquilo". Ele já só faz o bloco, assina e joga pra frente.

70:22>> Virou dele.

70:23>> É porque quando você faz lá a transação na Clevera Wallet, por exemplo, ela já faz isso para você. Você só dá um send lá, né?

70:29>> Por baixo dos pan ela tá fazendo isso.

70:31>> Ah, >> porque se não fizesse, você se lascou todinho.

70:33>> Porque na verdade para cada moeda emitida, eu tenho um histórico de propriedades, né? Verdade. Você só tem um histórico. Ela não tem a moeda. Esse que é louco, velho. O Bitcoin não existe. Razão. Você só tem lá entrada, saída, entrada, saída, entrada. Só tem isso. É um livro.

70:47>> Ele é uma ata notarial perfeita.

70:48>> Isso é um é um livro razão. Você não tem eh, como ele falou, você não tem a caixinha, você só tem o livro razão.

70:56Então você sabe o seu saldo pelo livro razão.

71:00Você não pode dispensar. Não entendi. Então se eu tenho aqui eh 20 bitcoins, eu vou te mandar um. Eu tenho que registrar esse Bitcoin como um novo nó da propriedade desse Bitcoin para você e colocar mais um nó outros para mim.

71:20>> Isso de volta. Você manda de volta para você mesmo.

71:22>> De volta. Que chama troco.

71:24>> É.

71:24>> Uhum. a gente assim, o termo vulgar que se dá é o troco, que são os UTXO. Por isso que às vezes tem quando você tem uma conta, uma wallet Bitcoin que você movimenta muita grana e muita intensidade, você tem que ter gestão do troco, gestão de TXO, porque você tem que às vezes consolidar, você tem que pegar, porque você movimentou tanto, você tem que pegar esses monte de movimentos e mandar para um novo TXO para consolidar tudo num só, >> pr você ter noção de quanto você tem, senão você tem tudo fracionadinho, >> fracionadinho, mas é tudo rastreado, é um livro razão, um livro razão, realmente. [ __ ] eu não achei que a gente chegar nesse nível ner de arquitetura, mas beleza. Mas >> desculpa, desculpa. Achei que era pertinente.

72:05>> Agora não, mas foi ótimo explicar pra galera entender, porque tem a ver com a dúvida que eu vou te que eu que eu vou te fazer.

72:11>> Posso perguntar uma polêmica antes?

72:13>> Posso. Autoriza?

72:14>> Claro. Que você manda porque eu gostei de algo que ele falou do Drex.

72:21Por isso que tá guerra. Estados Unidos de jeito nenhum quer aprovar um dólar digital feito pelo Banco Central Americano, pelo pelo Fed, né? Porque na cabeça deles, eles, como o Lacou, isso é uma invasão de de privacidade.

72:43Porque se você tem um livro razão dessa forma, um blockchain, >> mas ele é centralizado, >> hum, você >> você é dono do da da informação como todo, né? toda, né? E por isso que tem tanta crítica ao Drex.

72:56>> Entendi. A minha dúvida que >> era só a polêmica que eu queria levantar, mas que é é um assunto que tá quente aí. Sim, claro. Não, e faz todo sentido porque aí você tá quebrando a principal premissa >> que é da privacidade do blockchain, que é ser descentralizado.

73:11>> Se você centraliza e você tem >> o poder de saber de quem são todas as carteiras, você na prática você tem tudo na tua mão.

73:20>> É isso. Eu eu sou um cara assim que eu sei lá, você me conhece muito bem. Eu sou muito da tecnologia. Eu ainda acredito que pode existir um eh CDBC, não é isso? É um CDBC. Eu sempre troco às vezes assim um CDBC, não é que é um CDBC do bem, mas eu vou me fazer vou me fazer explicar melhor, mas que resolva um problema do dinheiro físico, porque assim, hoje os bancos gastam muito dinheiro tendo que armazenar dinheiro físico.

73:55Então, imagine eh quão bom seria se a gente tivesse um CDBC pros bancos. Então, mas aí o Drex não seria, não entraria nessa camada de transferência de valores entre eles internos >> sem que eu, porque o Drex em tese, ele não chega na PF, não chega na polícia, na pessoa na na polícia federal, na pessoa física, né?

74:17>> Ele é um protocolo >> para hoje ele tá assim, né? Hoje ele tá só ali um uma fase pilota, só entre bancos e tal, >> mas é um espirro para fazer um >> é para virar o real digital, que eles chamam de real e tal. É. Aí, aí o CL falou assim, ó, se chegar na gente é realmente o fim da privacidade, esquece.

74:38Mas se ele ficar nesse meio, ele resolve um monte de problema pros bancos hoje em termos de custos.

74:45>> Agora eu tenho duas dúvidas. Você deixaram com duas dúvidas. É isso. Agora é isso. Agora é um eu concordo. É um >> assim fiapo. É. É. Falou. Como é que você falou lá?

74:56>> Os pirro.

74:56>> É porque a infraestrutura é a mesma, né?

74:58>> É. É muito fácil depois jogar. Ó, o poder é maravilhoso. Dura, quando você dá um poder a um homem, você descobre quem ele é de verdade. E o homem é corruptível. A gente tem um mon de maldade. Somos todos pecadores, né?

75:11>> Não é legal você dar tanto poder para um fulano só, porque ele, >> se ele for Deus, velho, eu queria mais é que desse. Não, não, mas Deus veio aqui para implantar o drag. Bom, mas dá agora. Mas é Deus.

75:23>> Se alguém te falar que é Deus, provavelmente ele é alguém tentando te enganar. É, é, é, é puro amor. Aí, beleza. Mas cara, foras Deus >> eu não daria.

75:34>> Sim, >> porque é um voto de confiança. Assim, o cara pode arrebentar o país, não é que ele vai te desgraçar, ele vai desgraçar um país, irmão, de uma vez.

75:44>> É muito poder na mão de um cara só. É demais.

75:47>> Imag, imagina que esse cara com essa informação vai fazer com os inimigos políticos, né?

75:50>> Não, não, não existe inimigo político.

75:52>> Acabou.

75:52>> Não existe.

75:53>> Não, não tem, não tem. Já não tem mais inimigo. Aí >> não existe inimigo político.

75:57>> Já era.

75:57>> Existem os amigos e os mortos.

76:00>> Verdade.

76:00>> É só isso que existe. Verdade. Acabou.

76:02>> Não existe.

76:04>> É.

76:04>> Agora, ó, uma pergunta.

76:05>> Eu falei que era polêmico.

76:07>> Duas perguntas. Não, mas [ __ ] é um som interessante para [ __ ] Tá falando da segurança da da segurança do ecossistema.

76:13>> É porque tá em tá em alta, né? ess exatamente essa guerra agora nesse momento >> e que pode aparecer como justificativa dado incidente.

76:21>> E agora eu vou deixar duas vezes mais polêmica. Eu tenho duas perguntas importantes.

76:26A primeira é aproveitando o gancho que a gente pegou do do Drex aqui e da rastreabilidade que a gente poderia ter com ele. A gente tá questionando a rastreabilidade que seria nativa do próprio protocolo blockchain >> é da tecnologia.

76:42>> Da tecnologia, né? Mas hoje com PIC, cartão de crédito, vocês não acham que isso já não é uma privacidade meio que só protegida juridicamente por questão do sigido bancário?

76:56>> Não é diferente. É, é o, no caso de um blockchain vai é um nível a mais, né? No caso do do Pix, a informação existe, tá lá, né? Mas tem que ter alguém para processar essa informação aí.

77:09Mas da mesma forma do blockchain, ela também estaria lá e alguém teria que >> já tá traduz, já tá processada a informação, já está disponível, processada, é só você ir lá olhar.

77:21>> É que o o meu ponto é, será que a gente só não estaria facilitando algo que já é possível hoje se alguém quisesse fazer?

77:28Mas, ó, esse que é o ponto. Hoje não é impossível rastrear, só que dá um trabalho medonho. Tanto que os times, por exemplo, da Polícia Federal, quando fizeram aqueles efeitos lá da da antiga Lava-Jato, né, >> que foram atrás e rastrear e caçada, chega, claro que chega, >> quebra sigilo, >> quebra sigilo, tem os meios, você vai chegar, >> mas não é trivial. E de novo, se for num cenário de uma mega corrupção, eu quero mais é que procure, eu quero mais é que ache, eu quero mais é que prenda, né? Se for um negócio desses aí, aí eu tô 100% favorável. Odor é com todo mundo o tempo todo. Eu fala: "Velho, você tá usando isso para quê? É que nem o celular. Ah, você vai habilitar o assistente para você poder fazer comando de voz". Legal.

78:11Só que então automaticamente o microfone tá vigiando tudo que você fala.

78:17Tudo. Porque ele não sabe que hora que vai vir um comando de voz.

78:20>> Então, e amanhã eu vou abrir o celular, ele vai me mostrar a propaganda de uma cerveja.

78:24>> Cara, se for propaganda, tá bom.

78:26É isso é o que a gente sabe, >> porque pensa comigo, ó, se eu tivesse um computador muito bom, uma, né, ferradão mesmo, bom, se eu pegasse tudo que você vê e fala todo dia ao longo, sei lá, de 2 tr anos, você concorda que se eu processar bem, a tua senha tá lá. Seu cé não consegue formatar uma senha de coisas que você não sabe. São coisas que você sabe, que você vê, que você viu, porque você precisa memorizar, ela precisa voltar na sua cabeça do dia que você precisa dela. Então, faz, não é o conjunto de todas as palavras do dicionário, são as palavras que o sabe.

78:58>> Normalmente as que você sabe, as que você fala >> e aí você vai juntando. Se eu tiver uma boa vigilância sua, você não tem mais senhas, >> nenhuma.

79:07>> Todas as suas senhas você pública. Bom, >> eu quebro tudo.

79:10>> Públicas não, mas >> quebráveis.

79:13extremamente quebráveis. E aí e, né, e vai, então assim, eu tomaria muito cuidado, eu adoro tecnologia, mas eu tomaria muito cuidado porque eu também gosto de modelo de ameaça. É assim, até onde a gente vai que a gente não dê poder demais para quando vier. Então assim, quando a gente pensa em república, >> ele não é o mecanismo, porque a gente não fala democracia é um nome errado, né? A gente tá numa república, >> República Federativa do Brasil é república, não é uma democracia.

79:41Ele não é o método melhor, a monarquia melhor, desde que o rei seja um excelente rei, porque aí ele resolve as coisas muito mais rápido no teu parlamento, não tem tanta briga, não tem tanta disputa, não tem tanto concha da nana, ele é melhor até que venha um absolutista e arrebente com o país inteiro em uma geração. Fala assim: "Nossa, passaram nove gerações bacana", mas veio esse fido, né, do inimigo e e arrebentou o acabou o país.

80:07>> Então, putz, ele é legal. É, mas é muito poder na mão de um cara só. E aí de repente você arrebenta o jogo. E a República é chato ter que convencer todo mundo. É chato para burro. Aí depois você vai para aquelas discussão daquelas daquela reunião que podia ser um e-mail 20 vezes.

80:24Você já entendeu? Horroroso. Tudo bem, mas pelo menos você filtra, filtra, filtra as ideias e como elas são mais lentas, você nem cresce tão, você nem vai para cima tão rápido, mas também você não degringola de uma vez. Qual que é o drama das tiranias?

80:39Porque normalmente degingola rápido, porque você bota aquele um, cara, aquele é ruim para caramba, o negócio já arregaça em um, dois anos, já não sobrou nada, é terra arrasada.

80:48>> Mas por quê? Porque tem aquele um que manda em tudo.

80:50>> Sim. E aí você depende de um elo só.

80:52>> Ah, você arrebentou.

80:53>> E beleza, você me convenceu. Agora minha outra, meu outro ponto.

80:57>> Mas você entendeu o problema o problema é da engenharia social que você fala assim: "Putz, os caras seguiram todos os protocolos, tem todos, tá bom? A tecnologia não te protege de você mesmo.

81:06A hora que você for, >> não é? É, é porque assim, o elo fraco é você. É que hoje é que o meu o o para para fechar essa esse devaneio que a gente tá colocando aqui, essa é é que eu acho que hoje se a gente tivesse de fato um absolutista, por exemplo, não seria o Drex que impediria ele de fazer isso, porque hoje tem como >> tem como, >> né? Então eu acho que, >> ó, vamos lá lá atrás, lembra do color?

81:31Ele não tomou poupança de todo mundo.

81:33>> Uhum. Sim.

81:34>> Tem como.

81:35>> É que é é que ele tá >> era mais boçal, era mais truculento >> e ele teve que aparecer muito mais no modelo super automatizado.

81:43>> Talvez você não >> ninguém vai nem saber assim.

81:46>> É verdade, você tem razão.

81:47>> E aí >> sumiu. Sumiu.

81:50>> Aí você só vê os caras enfartando e não sabe o que aconteceu. Eu falo: "Nossa, enfartaram, tadinhos". Foi arrebatamento.

81:56Perd que a minha minha outra dúvida é sobre o escape do dinheiro, baiano, que a gente o cara porque assim, eu imagino que ele ele colocou isso no na blockchain para ter uma forma de usufruir de algum momento dessa grana, talvez dificultada do que ele não teria no mercado, no no mundo financeiro normal. E a gente tá falando aqui que realmente é rastreável, etc. Desde que eu saiba as contas, etc.

82:28Mas eu fico pensando que se eu fosse esse cara, eu não poderia criar 1000 con 1000 wallets com um dinheiro razoavelmente pulverizado. Seguro a onda ali, jogo para cá, jogo para cá, jogo para cá e cara, e aí eu faço um um whraw na Nova Zelândia, um draw lá na >> Como que você vai fazer draw? Vou ter que transmitir pro mercado financeiro normal.

82:54>> Só que aí alguém te acha.

82:55>> Esse é o ponto.

82:56>> Esse é o ponto. Mas como? Mas >> [ __ ] >> se o cara não sabe, >> sacando não sabe que sou eu daquela daquela conta.

83:03>> Mas todo mundo tá monitorando. Na hora que você fizer a o saque, o banco que te entregou o dinheiro, ele sabe que ele viu algum documento, ele viu tua fuça, ele tem a filmagem. Ah, eu te pego.

83:12>> Tem o seu que assim você fazer o >> Eu te pego.

83:15>> Você disse que eu o cara >> seja você um laranja, enfim, vai ter vai ter informação.

83:20>> É, com certeza seria um laranja, mas ainda assim eu pego alguém.

83:23>> É uma pessoa. É, >> não tem como, >> porque eu sei a conta que entrou o dinheiro da transferência agora atual, né?

83:31>> Mas, mas vamos lá.

83:32>> Aí eu vou fazendo o rastreio até chegar no ponta. É isso.

83:36>> É para você entender assim, tanto faz 1 trilhão de wallets ou uma. Primeiro ponto é esse. Tanto vai, porque no Bloquin tudo é transparente, tudo é não tem pulverização. O que dá, o que o que eh é possível fazer utilizando alguns protocolos, alguns mecanismos como Thor lá, é mecanismos de de mix de transação, mecanismos de realmente obfuscação da transação.

84:03Eh, Monero, o Thor, o próprio Thor Chain, por aí vai. Aí sim, porque aí a própria é esse protocolo de blockchain é um protocolo feito para bifuscar a transação. Se você não não enxerga a transação é chamada eh oculta, >> mas é uma outra rede, >> são blockchains.

84:27>> Monero é um blockchain desse tipo, Torcha é um outro blockchain desse tipo.

84:31>> O Bybit lavou o dinheiro, né? obifuscou primeiro, não lavou, obuscou usando tortin. O que ele conseguiu não bloquear, não, o que ele conseguiu sair, ele foi lá no na torin e obfifuscou.

84:45Então, se sai, eu saio de uma, de uma, por exemplo, eu saio da Tetero, da Bitcoin e na no caso da do byit, desculpa, ele saiu de Etherium, ele pegou bilhões em Etherum, >> aí ele chegou na Torchen, obuscou usa nos protocolos da Torcha e a própria Chin.

85:02>> Aí ele sai de lá com >> para Bitcoin, só que ele entrou com eterum sujo e saiu com Bitcoin limpo, porque ninguém sabia da onde, >> você não sabe origem.

85:10>> Entrou isso, entrou e e tomate e saiu cenourinha. Aí da onde sai essa cenourinha? Ninguém sabe.

85:15>> Pensa nas caixinhas de dinheiro. É como se tivesse lá. E aí funciona no mercado normal, né? Eu pego as caixinhas aqui, jogo os dinheirinhos, alguém vai lá e saca no caixa eletrônico, só me transforma em papel.

85:26>> [ __ ] papel já não consigo mais rastrear porque aí esse fulano entrega na mão do beltrano, lembra as malas, cueca cheia de dinheiro, né? Por que que é isso? É a hora que eu tô tirando isso do sistema aqui que tava rastreável e tô inserindo ele de novo num outro ponto do sistema que é origem >> é o torchain da vida real.

85:43>> É, é o é >> só o que aconteceu mesmo assim a galera percebeu pelos volumes começaram a monitorar essas wallets, né? Por isso que o Zeck lá ele conseguiu identificar esse fluxo de grana, porque em algum momento essa >> a somatória bateu, né? É exato, porque assim, aí contabilidade, tipo assim, pô, em algum momento eh existia lá no protocolo Defi da Torin um volume XPTO, de repente subiu 2 3 bilhões a mais.

86:11>> Uhum.

86:12>> Pô, da onde veio? Opa, os caras estão >> lavando aqui >> agora se sair 2 3 bilhões, seja Pep, sejaum, >> começar não, aí começaram a monitorar as saídas e aí o Z começou a olhar essa saída, essa grana >> e começou a ver que a maior parte dela foi para investimento em Memcoin.

86:30>> Hum. Hum.

86:31>> Ou seja, aí descobriu que os caras lavaram o dinheiro e me porque eles mesmo mesmo perdendo lá, mas beleza, o que ele conseguiu ganhar ganhou e limpo.

86:42Investiu em mim coin, limpou tudo e conseguiu lavar.

86:46>> Caraca.

86:48>> Mas assim, a gente tá falando de mecanismos.

86:50>> Uhum.

86:51>> E como >> não façam isso em casa, crianças.

86:54>> Não, como lá que falou aqui, pô. É, é, é, eh, tanto faz ser é >> no blockchain, fora do blockchain, mecanismos de lavagem. O cara que é bandido, ele vai buscar uma saída, ele vai buscar um jeito de fazer, >> né? Eh, a questão, voltando pro pro tema mesmo do lance do do hack do Banco Central, a saída mesmo foi o Pix, né?

87:17>> Sim.

87:18>> Agora, como é que a saída? Porque a saída mesmo foi o Pix. A saída foi o Pix.

87:22>> Porque foi onde pegou, né? Quando saiu, quando caiu no Smart Pay. O que pegou, o que não pegou foi, mas a saída foi o Pix. Essa não foi a cripto, foi o Foi o Pix.

87:31>> Porque vamos lá, o cara ia fazer como?

87:33Ele ia sacar o dinheiro, ele ia chegar no banco na segunda-feira de manhã, dizer que dá 19 bilhões.

87:39>> É, me dê aí. Eu vou vir aqui sacar ganha herança ontem. Vim sacar na notas de 100.

87:45>> É, notas de 100 sem condição. Então, não tinha como fazer isso. Então, a saída que ele viu foi: "Opa, vou pra mesa de OTC.

87:55Vou jogar para crirypto para diluir para, né? É uma saída do Pix. Mas a saída mesmo foi o Pix do Pix. Ele >> Uhum.

88:04>> Foi o que ele enxergou como como mecanismo de sair, porque sacar mesmo dinheiro vivo ninguém ter como fazer isso. É impossível.

88:12Se ele fosse sacar o que foi hackeado, o banco nem ia ter dinheiro.

88:18[Música] >> É verdade. Essa liquidez aí não é ser tão tão fácil, né?

88:23>> É. que nem tem lá 800 milhões, 400 milhões ter. É, >> caraca, >> hoje em dia você vai sacar mais de 5.000, você tem que agendar, você não, você não chega o cara tem >> não, não chega.

88:34>> É isso. Então como é que ele não tem? O sistema hoje não permite que você saque esse dinheiro. Então o mecanismo que ele viu de sair no final foi esse, né, de para mesa OTC, se passar como, né, laranjas. Hoje o que a gente tá aí meio especulando e meio verdade que sabe da imprensa, foram aberta várias vários foi criado vários bancos, né?

89:00>> Isso é a parte que incomoda.

89:02>> Criado bancos para lavar o dinheiro, >> [ __ ] Então tem muita gente em cima dessa [ __ ] >> Então velho, não é possível.

89:10>> Em algum lugar eu não lembro aondde que eu vi a história lá de 25 CNPJs abertos para fazer isso.

89:17>> Não é um pouquinho, velho. 25. 25 CNPJ abertos, >> que são esses bankers a services, né, >> que são lá assim fachadas simplesmente para poder receber e tchau. Porque assim, >> cara, mas tem gente tem tem PF por trás disso.

89:30>> Laranja laranja, pô.

89:32>> Mas é isso que eu tô falando, assim, é sofisticado demais sem pensar que for um negocinho assim, ah, é, bobearam aqui, car.

89:38>> É por isso que o 15.000 não fecha a conta.

89:40>> Não, então, >> 15.000 do João Nazareno lá >> não fecha a conta.

89:45>> Hum.

89:47Porque como o cara abriu 25 CNPJ, o cara só ganhou R$ 15.000 para >> Não, não >> d credencial.

89:53>> É um gênio.

89:55>> Não. Ou eles conseguiram abordar o David Júnior mais imbecil que ele conseguia entre conseguia pensar na vida.

90:03>> Penso uma bênção.

90:05Iluminado.

90:06>> Ô, essa história tá muito mal contada.

90:08>> Mas isso que nós estamos falando desde o começo aqui, velho. Não fecha.

90:11>> Não fecha. Como é que abriu 25 CNPJ, sei lá quantos para lavar o dinheiro para já tudo isso para poder transformar em cripto usando esses 25 PJ >> e e convenhamos, né? Não, né?

90:23>> Ou sacando mesmo, porque teve, né, Pix para essas empresas, mas isso as empresas sacarem >> e e e não se abre não se abre 15 bancos >> em uma semana. É, não é bem, eu falei banco, foi meio fintex, os fintex, então não se abre isso em tipo dois, três dias, então isso veio acontecendo com planejamento. Aí é o que o lá que, >> né, >> é muito bem colocou aí já >> você são 15. Pera aí, o cara não chegou lá, ó, cria 15 fintechs aí para mim hoje.

90:52>> Eu trouxe essa pastinha, faz uma gentileza.

90:54>> Não, isso foi cadenciado, isso foi preparado.

90:57>> Mas é por isso que o la comentou, cara.

90:59Será que isso foi um ensaio? Será que isso?

91:02>> Quantas mais? Será que isso aí vamos para as teorias, essa conspiração, gostei que adoro, >> tipo assim, pô, será que isso na verdade não foi para cobrir alguma outra coisa, >> um dinheiro já sujo que já tava ali?

91:14Enfim, >> sei lá.

91:16>> Não, mas aí por falta de informação, tá?

91:17A gente tá especulando por falta de informação mesmo, por não saber o que de fato aconteceu.

91:25>> Você que tá aí escutando esse episódio bacana e quer levar toda essa tecnologia, essas novidades pra sua empresa e não sabe como, chama o time da VemBS. A gente pode ajudar vocês com desenvolvimento de software, com arquitetura de soluções, a entender os problemas que vocês estão vivendo e sair do outro lado com uma solução bem bacana. E se você tá escutando o podcast para aprender coisas novas, faz o seguinte, manda um e-mail pra gente no peoplecare@vems.ioio e você pode fazer parte também do nosso grupo de talentos. Valeu.

91:59Agora o time do Relações Públicas vai gostar mais de mim.

92:05Eu queria que vocês dois agora dessem uma orientação ou um para quem tá ouvindo a gente, quais são as lições aprendidas com isso.

92:20Cara que quer um siso, um caiou, um ceo, tá ouvindo a gente agora e o cara tá pensando, meu amigo, você fizeram isso no Banco Central?

92:32>> Eu >> não existe vaca sagrada.

92:36né?

92:38É tipo aquela coisa, [ __ ] se Deus não proteger o padre, tá ligado?

92:45>> Quem sou eu, né?

92:46>> Quem sou eu, né?

92:48Então, o cara que tava olhando para essa história e tá preocupado, quais são as lições aprendidas que dado, claro, as devidas proporções das entidades e e dos volumes, né, que a gente tá falando, que fica pro executivo que tá nos ouvindo abrir os olhos, principalmente você lá que acabou de escrever um livro sobre isso, a gente vai falar mais daqui a pouco. É, inclusive se você ainda não sabe do livro, ouça o episódio da semana passada que a gente falou bastante sobre isso.

93:21>> Perfeito. Eu não queria puxar a sardinha para esse lado, mas assim, ó, eu com certeza iria pela modelagem de ameaças.

93:28Então assim, tentar se proteger de tudo, pegar o framework, aplicar de fio a pavio costuma subir o custo do produto.

93:36Então teu custo operacional vai ficando caro, muitas vezes sem necessidade e você vai se ver em algumas berlindas ali, porque se ficar um negócio impagável você matou a empresa. Não faz menor sentido.

93:46>> Empresa que não existe não corre risco, >> não tem porquê, né? Então vamos lá. Para que modelar ameaça? para entender alguns cenários e falar assim: "Olha, quais são os pontos efetivamente fazem mais sentido e que que seria chave aqui? Que se eu colocar eu realmente putz, é aqui que eu vou investir para tentar fazer o mínimo de custo com o máximo de retorno." Mas tem coisinhas que são clássicas que com certeza no seu modelo de ameaça quando você fizer e chegar nas folhas, você vai esbarrar, que é um log de qualidade.

94:16Não pode numa investigação dessa você não achar coisas. E log de verdade tem que ter as cinco vertentezinhas, né?

94:23Então, quem fez o que, a partir de onde, quando teve sucesso. Já fiz uma brincadeirinha contigo no outro podcast, mas é assim, normalmente os logs guardam muito bem as primeiras quatro, mas você teve sucesso, ele então assim, teve 1000 tentativas de Pix, mas uma passou. Ele sabe uma que passou, mas ele não sabe das 1000, né? faz toda a diferença, porque se for só uma e já não for legítima, porque a origem, o quem aqui já não tá batendo, eu devia bloquear na primeira, não devia esperar 1000 para bloquear uma, né?

94:50um log decente e eu não conheço nenhum ambiente que possa se dar o luxo de não ter uma resposta incidente a uma monitoração.

94:59Todo sistema pode ser atacado, porque a gente não vai lá na praia pegar areia para fazer elício e para começar do zero fazendo da chip pra frente. Então a gente depende de monte de fabricante, depende de fabricante de software, depende de biblioteca, open source, depende do monte de tanta coisa que não é nossa cara, ataque em cadeia de fornecimento [Música] é outra conversa. Você tá sempre na berlinda, então no mínimo, você tem que ter uma resposta a incidente e aí monitorar aqui nem o baiano falou, algumas coisas que são ali do seu negócio, teu business, velho. Você sabe que isso é ileg, você sabe que aquilo não faz sentido, já tem que disparar o alarme. E aí você sai caçando nas entranhas do bichão ali para saber o que que aconteceu de verdade no baixo nível.

95:39Mas beleza, você tem uns insightes macro aqui que te levam para aquilo. Por exemplo, ah, não fechou a contabilidade, cara. Não preciso fechar a contabilidade, não rola processamento nesse horário. Só o horário já me disse que era para eu tá fazendo, eu tenho que fazer alguma coisa aqui. Tá, já sei que tá errado. Eu posso não saber qual é o erro, mas já sei que tá errado. E aí não adianta nada você ter a monitoração, porque se você não modelou ameaça, você não planejou os botõezinhos vermelhos, que é assim, tá? Descobri que tem uma merda e como que eu travo um Pix? Não, não tem trava, não tem uma PI que bloqueia, não tem uma conta que uai.

96:11Então você só vai ver, você tá até monitorando, você tá até vendo a desgraça, mas você não tem meio de ação nenhum para fazer nada.

96:18>> Cano estourou, mas o registro não fecha.

96:20>> Não fecha.

96:21>> Nossa, é desesperador. É tão é quase tão ruim quanto nem vê.

96:25>> Sim. Pegando o teu, teu gancho da monitoração, né? Muita gente pensa que monitorar é só ter alerta de erro, né?

96:34É.

96:35>> Então, quando a gente fala do conceito de observabilidade, não é só monitorar os ativos de tecnologia, mas observar as transações >> de negócio.

96:42>> Exato. Então assim, ó, se você sabe que para sair dinheiro o único canal é o Pix, então já tá definido. É aqui, ó.

96:49Isso aqui vou monitorar. Aí você tem que definir o que que é um Pix legítimo, quais cenários. O que não for legítimo, já primeiro bloqueia, depois alarma, inclusive, porque aquele bloqueio já tinha que gerar dois alarmes, o alarme de que bloqueou e que [ __ ] já tem um negócio. E aí você vai desenhando cenários baseados no modelo de ameaças aonde você atua com gente. Por quê? Se para qualquer erro operacional você botar gente para investigar, você mata os analistas na cortina de fumaça. O atacante não é besta, ele vai gerar um monte de erro aleatório. Aí fica todo mundo ocupado procurando pelo emin ovo e ele passa batido, né? os elefantes atravessando aqui enquanto os caras estão caçando as moscas e não tão vendo os elefantes, né? Quando vê, então passou uma manada aqui.

97:30>> Sim.

97:30>> Não, e e o problema de passar, né?

97:32Porque às vezes o o foco da operação de TI tá em capturar incidente de transação que falhou da foracional >> e aí o cara é monitorado porque uma transação legítima deu um erro por disponibilidade da PI, mas ele não é alertado por uma transação que não deu erro, mas talvez não fosse legítima, >> completamente fora do padrão. Então é monitoração de segurança mesmo, foco em segurança.

97:59Entende o playbook do atacante? Quem vier aqui para atacar vai fazer o quê?

98:03Fatalmente ele vai ter que extraviar o dinheiro. Não, se ele catou o dinheiro, largou numa outra conta de, né, de reserva, não fez grandes coisas. Não é um bom atacante.

98:13Só fez palhaçada, mas não fez grandes coisas. Se minha preocupação extraviu do dinheiro, então tá aqui. Tem só o Pix ou tem outros canais? Porque talvez o Pix foi o da vez.

98:22>> Uhum.

98:22>> Tá. Mas quais outros? Porque de repente o cara pode ficar muito valente, fala assim: "Não, não, não. Eu vou fazer isso aqui meio-dia num TED.

98:30E vai sair do mesmo jeito.

98:31>> Por que não?

98:32>> Ué, vai não.

98:34>> Ele já bateu no Banco Central, né, velho? Assim, o limite do respeito tá baixo.

98:39>> Uai, eu vou fazer é meio dia e vai ser no TED, né? E vou mandar o carro forte e entregar ainda, né? O dinheiro físico impresso. Ué, por que não desenha e modela e entende de onde pode vir, de onde pode vir um ataque, onde você tem que ter monitoração. Não pode não ter um evento ali. E você tem que olhar descomportamento, não é erro sistêmico.

99:02Que que é o esperado? Que que é o que tá fora? O que tá fora eu tenho que alarmar no primeiro e bloquear. E se eu perceber que vai ter algum cenário aqui, ah, o TED não tem bloqueio, não tem disted, não tem como voltar em nada. Hum.

99:14Preciso criar alguma coisa. Não adianta nada o cara pegar o cenário e ele ter um doido para dar um tapa num botão vermelho aqui. Não tem o que fazer. Não pode não ter o que fazer. Se se ele só vai orar, então sabe, >> é melhor não saber, >> né? Você gastou dinheiro à toa. Então o desfecho do modelo de ameaça é para coligar ali cenários que você monitora, mas também qual é a reação, que que você faz? Tem que ter uma resposta alguma.

99:39Bloqueia e pode ser tão idiota e truculenta quanto. Tá bom, ó. Quando acontecer isso aqui, você vai ter 2 segundos para correr naquele pet e arrancar o cabo na mão. Vai arrancar o suitch, vai desligar, você vai desligar a energia do quatro.

99:53>> Melhor >> é idiota, mas tu vai parar a transação, não vai? Então tudo bem. Então entre perder alguns bilhões e >> dar boot de novo no sutch, vai dar bull de novo no sutch. Podia ser mais inteligente, mas se só tem isso, pelo menos isso tem que tá lá, ó, playbook. E tem e tem que testar, falar, cara, se é 2 segundos, esse fulano levanta dessa cadeira e chega ali em 2 segundos, senão vou botar o botão do sutch aqui, porque é o tempo dele, ô, na dúvida ele aperta primeiro, >> só tem 2 segundos, né? Então tem que testar também que muitas vezes é ali que falha, fala assim: "Nossa, até coleta o log, mas leva um dia para consolidar e pode disparar o alarme. Então ele só pega no dia seguinte, fala: "Uai, >> dinheiro já tá na >> talvez para TI funcione para alguns cenários, mas para resposta incidente, isso aqui não serve para nada." >> Uhum.

100:41Baiano, >> é um lá que já foi super super completo, eu vou eu vou acrescentar só a questão cultural.

100:48Eh, eu acredito muito numa cultura de segurança. Então, falando aqui para, como você falou, pros COs, pros CEOs, pros, implante e incentive, se for o caso, até crie uma gamificação, programas de bug bound, etc. Crie uma cultura de segurança dentro da sua empresa, porque segurança não é algo que é só ah, é o ciso, isso aí é o ciso, é o ciso que se ele se vira lá, não é, né? Ele ele ele é parte disso, ele faz e normalmente todos com coisas super competentes em fazer a parte dele, mas ele não é ele não é o ele não é o Cristo, >> ele não é. Então assim, você tem que ter uma cultura de segurança.

101:38>> Perfeito.

101:39>> Escute o seu ciso, ele vai querer fazer coisas que talvez você não goste muito, né? Dentro da CL, a gente tem lá uma piada interna que é assim, o nosso, né, o nosso cyburity guy, né, Wesley, grande abraço aí que tá lá em Portugal. Ele, ele, ele às vezes manda lá umas trad.

101:58>> Ele seria o ciso da Cléber. Ele é o ciso da Ele é >> é porque você tem uns, vocês t uns nomes mais descolados.

102:02>> É lá não tem esses termos tão mais descolados.

102:06>> É. Aí ele manda às vezes umas trades assim, tipo, ó, baixe aqui esse livro gratuitamente.

102:15Aí chega o nosso sito lá, o o macho sobre fala: "É doido quem clica nesse link aí.

102:23[Risadas] Ele tá testando o time. Quem que vai clicar ali?" Tá, já era. Foi infectado.

102:30Então assim, o o cara tá para esse papel mesmo. Ele tá ali para testar sua seu time, testar sua equipe. Sua equipe não pode confiar nem no link que o seu CISO mandou.

102:41>> Uhum.

102:42>> Porque às vezes a ameaça vem de de dentro.

102:45>> Não, ele pode não ser ele.

102:46>> Uhum.

102:47>> Não, nesse caso é ele mesmo.

102:49>> Sim. Não, mas num caso real de Não, de teste, mas pode ser que, pô, eu vou jogar lá dentro no login do SISO. Quem que vai desconfiar do ciso?

102:58>> É, não, mas cara, eu tô falando isso aqui. É real lá, tá? Tá. Depois te mostra o print. Se for o cara, você publica o print lá da conversa que é exatamente isso. Nosso Cou falando assim: "É doido quem clica nesse link aí, meil não clico".

103:10>> Tá certo.

103:11>> É, mas por que isso? Porque o nosso Cor já tem uma cultura de segurança, porque passa para todo o time. Então, o time tem uma cultura de segurança. O time não confia no torrent que o SISO manda.

103:26Ah, mas é o siso, né, cara?

103:30>> Não, não. Então, se a partir do momento que você cria uma cultura de segurança dentro da sua empresa, é esse fator que eu acho que é o é o elo mais fraco, que é o humano, você vai melhorando ele, você vai criando, né, vai melhorando esse elo, você vai criando, vai ficando mais forte, >> né, fazendo um elo mais forte.

103:52Ah, 100% não, 100% não existe, mas você vai melhorando. Então assim, crie, dê carta branca pro seu ciso, deixa o cara atuar, deixa o cara fazer, deixa o cara trabalhar, deixa o cara fazer o que ele tem que fazer, né? Se for preciso, cara, ah, mas ele vai expor o CEO, seja lá quem for da empresa que clicou no link que não deveria ter clicado, aquele link que tu não sabe do exvos não deveria, mas clicou, cara. Mas o cara vai aprender, vai aprender que ele não deve clicar nesse link, vai aprender que ele não pode confiar, vai aprender que ele não pode confiar qualquer e-mail, de qualquer informação. Ele vai aprender a verificar a informação duas vezes, fazer double check antes de confirmar. E aí com isso a empresa vai ficando cada vez mais segura, até inclusive em nível de engenharia social, porque ele vai aprender a fazer double check de tudo que ele faz quando envolve segurança, quando envolve alguma coisa relacionado à segurança.

104:56Falar do JP, JP, salve JP. Ele recebe e-mail lá, pô. GP é o nosso cara do Business, ele recebe e-mail de tudo que é lado. Primeira coisa que ele faz, pega o e-mail, manda pro nosso CISO, verifica, por favor, se realmente é a pessoa que diz que tá mandando. É ela mesmo.

105:14>> Ligeiro.

105:16>> Mas por quê? Isso chama-se cultura de segurança.

105:20Foi o cara do business e ele tem cultura de segurança, entendeu? Ele não confia em qualquer e-mail que ele recebe, >> porque ele tem já embutido nele uma cultura de segurança, né? Ele verifica.

105:34Ele não confia, ele verifica. Não confie, verifique. Esse é um lema. Então assim, a partir do momento que você vai trabalhando isso dentro da sua empresa, você vai se tornando uma empresa cada vez mais segura, né? Então que o resto lá que já falou realmente é aplicar os protocolos, aplicar, desculpa, os frameworks, né?

105:54trabalhar toda a parte de de técnica, fora isso, é cultura, né? Por isso que eu fui complementar, ele ele veio com a parte técnica, >> eu falei: "Poxa, não sobrou muita coisa para mim". Falou da cultura. É a cultura. A cultura de segurança é super importante.

106:09>> É como cultura, eu sempre falo, é como cultura de devops, que é o mesmo, né?

106:12Tanto que empresa chama Dev Secops.

106:15Então assim, é uma cultura, as pessoas têm que ter do business ao desenvolvedor, tem que ter a cultura de segurança. Não aconteceria nada dessas falhas aí que a gente não sabe nem qual foi a falha, mas fatalmente ela não aconteceria porque existiria uma cultura de segurança, né? A segurança é o que a gente chama security first. Então assim, segurança em primeiro lugar, depois vem o resto, porque você comenta, se a empresa nem existe por falha de segurança, esquece.

106:44Exatamente.

106:45>> Então, segurança em primeiro lugar, eu lembrei para ele aqui no off que a gente participou de um de uma round table que eu puxei esse esse leque, né? Falar a eficiência. Hoje a gente tá em tempos de AI, de IA, inteligência artificial, cara. Não adianta nada disso, nada, nada. Se você não botar security first, se você não disser em primeiro lugar segurança, depois todo o resto, até porque você pode usar Iar para você ter segurança >> também. Sim. ou para ser o seu atacante também, pro lado bom, pro lado não.

107:19Você, cara, estimule ethnical hacking, bug bound, eh, deixe o seu siso testar seu time.

107:27Deixe ele fazer isso, deixe ele. Parece uma coisa meio, mas cara, deixa, isso é necessário.

107:33>> Acho que o ponto mais importante dessa questão de cultura, não é que a gente vê, enfim, quanto maior a empresa, a gente sabe que a cultura política da empresa é muito grande, né? Então, a a a política ela é inimiga da segurança. Então, pô, sentir medo de ser exposto, etc., cara, isso joga demais contra segurança, >> demais.

108:00>> Então, seja franco, seja, cara, se tem um problema, esse problema ele tem que ser resolvido, >> tem que ser exposto primeiro.

108:07>> Tem que ser exposto para ser resolvido, >> porque primeiro você tem que saber que existe um problema.

108:10>> Ex. E as empresas por e os executivos para que isso aconteça tem que acabar com a com a política de caças bruxas de que porque foi exposto um problema vai crucificar o cara por causa daquilo, porque senão você não vai ter essa cultura franca de exposição e de e correção de problemas de forma natural, porque o cara vai colocar um monte de esqueleto no armário porque ele tá com medo de tomar uma punição da empresa.

108:37>> Eu vou falar um outro um outro.

108:40É, eu falei Security First, que é algo que a gente segue lá na empresa. O outro é, a gente não pode ter um problema em ter um problema.

108:48>> Exato.

108:49>> Um ter um problema não pode ser um problema. Assim, é, tem um problema, >> senão você deixa de ter um para ter dois.

108:55>> É, vamos resolver. Exato. É isso mesmo, >> porque vamos resolver, né? E assim, todos podem, todos podem falhar.

109:04Ninguém é o dono da verdade absoluta também. Não, não existe isso. Ah, mas ele eu. Ah, mas o CEO, cara, eu erro.

109:11Todo mundo erra. Todo mundo erra. Todo mundo tem um dia fraco. Todo mundo tem um dia que não rende 100%. Todo mundo tem aquele dia que não é o melhor dia. E nesse dia é o dia que você cai.

109:25>> Sim.

109:26>> Nesse dia é o dia que o hacker, já conhecendo tudo, faz a engenharia eh eh social fazer fazer valer, fazer funcionar.

109:36Então se coloque nessa posição de de expor, de se expor, não tenha medo e não tenha problema em em em não crie um problema em seu o problema, porque aí a partir daí você vai ser a solução.

109:50>> Sim.

109:51>> Pr momento você fala: "Pô, eu não posso confiar em qualquer link, eu não posso, né, fazer isso, não posso fazer aquilo, não posso, pô, eu tenho que checar esses e-mails, eu tenho que mandar pro meu time de segurança, pô. Parece chate isso, mas você não tem ideia de quanto isso pode salvar a vida. Dúvida.

110:08>> Você recebeu um e-mail >> e você manda pro seu time de segurança, fala assim: "Esse e-mail é legítimo?

110:14Parece uma besteira, né? Pergunta o DP: "Pôis, ele faz isso com praticamente 100% dos e-mails que ele recebe.

110:21>> Nossa, >> que ele vai realmente interagir que tem valor envolvido ou que tem alguma informação envolvida. Ele é o cara de business porque ele quer ter certeza de que ele tá trocando informação com a pessoa que realmente >> sim >> deveria ser >> e que não é um insider aí tentando engenheiria social, não é engenharia social, ele valida.

110:40>> Não confie, valide. Eu quero aproveitar esse gancho, já que vocês trouxeram essas dicas mais executivas e deixar aqui um recado também para fechar para pra galera mais da base, mais operacional, pro desenvolvedor deve não venda sua credencial por 15.000. Brincadeira. Não é isso, não é isso que falar. Mas entenda que assim >> você venda por 15 milhões.

111:05>> Isso é por 15 milhões. Não, mas eh uma coisa que a gente ganha maturidade, principalmente quando a gente vai ficando mais velho e vai tendo um papel mais executivo e que muitas vezes as pessoas não entendem quando tô no começo de carreira, são desenvolvedores que tem processos que eles precisam ser cumpridos, né? Sim. E eu já eu falo isso muito porque eu já fui aquele dev, tipo, cara, me dá essa [ __ ] desse acesso à produção que eu resolvo esse problema agora. Eu também. A gente a gente viveu algumas vezes isso.

111:35>> Eu já fui assim.

111:36>> É, exatamente normal.

111:37>> Então, gente, eh, precisa, precisa e e você entender esse ecossistema do porqu, tipo, no porque muitas vezes o cara leva pro pessoal, né? Por que que o cara Por que que eu confiando? É porque que eu Ô, tipo, [ __ ] será que eles acham que eu vou fazer besteira em produção? Eu sei o que eu tô fazendo. Problema é você.

111:57>> O problema é você. O problema é que se alguém tiver o teu usuário não for você.

112:03>> Esse é o pior.

112:04>> Você precisa entender isso, né? Então você como desenvolvedor, você que é é mais operacional, que move a empresa, que faz isso acontecer, você é o cara que tá com ouro na mão, como o Lac falou, a sua credencial vale muito.

112:18>> Vale.

112:18>> Então você tem que tomar cuidado extra sobre isso e entender que não é que a empresa não quer te dar liberdade, ela quer restringir liberdade caso em algum momento não seja você. Então essa conscientização, >> posso tocar num assunto triste, mas que é importante, que é assim, ó, em alguns momentos, o único jeito de eu te tornar um pouco fora do mercado do crime organizado, porque o crime organizado ele atua de dois jeitos, ou ele vai tentar te corromper ou vai tentar te coagir. Então, ou ele vai te dar dinheiro, ou ele vai botar uma arma na tua cabeça, né? Vai aí.

112:53>> É, é esse o modelo operacional dos caras.

112:56>> Você precisa ser um inútil. Se você falar não topo, você pode acabar numa vala. Então, muitas vezes, por que que você também tem alguns recortes? Porque se eu tiver um cara que ele é ponto único de falha e que a única credencial dele leva todos os bitcoins da CL tudo embora da da Code da Hot Wallet para Nárnia.

113:16>> Uhum. Eu pintei um X nas costas desse coitado. Tem um alvo ali e ele tá lascado.

113:22>> Então, por que que você segmenta para falar assim, velho, >> ninguém aqui pode virar alvo por conta disso, nem no atendimento, nem em lugar nenhum. Então, por que que alguns >> nem no alto escalão?

113:31>> Por que que alguns acessos ficam todos meio troncados para não pintar um X nas costas de ninguém? Porque também tem isso, esse atacante tá na rua e se ele se interessar >> é muito injusto você jogar tudo isso nas costas de um cara que não importa quanto ele ganhe, ele não ganha para morrer, velho. Não tem dinheiro que vale uma vida.

113:49>> Não adianta vir atrás de mim, eu não tenho acesso sozinho.

113:54>> Amém. É isso aí. É, mas é fato. E aí, só para fechar e não achar que, pô, você tem que entender e se submeter a tudo isso, a empresa também precisa dar condições que você realize o seu trabalho de forma segura.

114:07>> Perfeito.

114:07>> Porque eu já passei por alguns momentos que o cara fala: "Não, você não pode ter acesso para fazer, mas [ __ ] tá, então o trabalho como, né? Me dá um meio de eu chegar até lá e realizar o meu trabalho.

114:19Então, cobre que o seu trabalho possa ser realizado, mas de forma segura, né?

114:25É isso. Mas eu vou só colocar mais um adicionalzinho aí, né, no porque o o L falou um negócio que sensacional que é o ataque de supply chain, né? O ataque de você traduziu >> cadeia de suprimento.

114:39>> Cadeia de de suprimento. É isso mesmo.

114:41Que coloca o deve exatamente com X nas costas. É, >> né? Então assim, >> você que é deve, tem essa consciência, né? Tipo assim, o ataque pode partir de você. Sem dúvida.

114:54>> Então você é alvo. Esse X agora não é em relação à segurança física sua, mas é vão tentar te hackear primeiro para depois hackear a empresa.

115:07Então vão tentar fazer com que você baixe uma LIB, você achando que a Lib aquela Libra legítima, sendo uma liba, ou seja, vão eh personificar uma libe conhecida, a Libe X, libe seja qual for.

115:24Vamos para você vai parecer legítimo, não é? Então, cheque. É, é que eu falei, verifique, não confie.

115:30>> Para terminar o episódio e eu deixar um gancho para um outro, para uma outra pauta.

115:36Eu li um artigo essa semana sobre grupos hackers que estão envenenando hags de geração de código >> para que ela gere código >> já com backdoor.

115:47>> Já com backdoor com lib >> que o cara vai lá. Ah, quero. Ele a tem tem agora técnicas que você faz tipo um SEO para treinar o modelo que ele entende que aquela informação é mais relevante. Então você >> deixa o modelo treinado, você gera o código pela IA e a IA já botou aquela lib. O dev não sabe, tá em produção, você lascou.

116:12>> Criar, criaram um MCP do mal.

116:15>> Isso, isso aí. Então fica aqui o gancho pra gente discutir isso no futuro.

116:19Próximas >> o MCP do mal, cuidado com ele, exige.

116:22>> Então vamos deixar aqui um gancho. Uma próxima oportunidade a gente traz esses monstros de novo.

116:26>> Para quem não sabe o que é MCP, model context protocol, que é o que você usa >> para ensinar a EA a programar.

116:34>> Isso. E elas falarem entre si.

116:35>> Elas falarem entre si dentro desse contexto, desse protocolo de contexto.

116:39>> Sim, meus amigos, >> é isso.

116:42>> Muito obrigado pela presença de vocês.

116:43>> Ob. Obrigado demais.

116:44>> [ __ ] bom demais, cara. aprende uma aula aqui para mim. Isso aqui foi maravilhoso. Dois monstros aqui na mesa.

116:49Nada.

116:50>> Obrigado mesmo. L. Fala um pouquinho do seu livro, >> por favor.

116:54>> Coisa rápida. Eh, >> eu sofri muito nessa parte aí de eh implantar, eu sempre fui paraas empresas para implantar desenvolvimento seguro, esteiras e tudo mais. Só que ela não para no ar. Muitas vezes ela retroage porque ela traz problemas. É normal, né?

117:11porque vão aparecer os problemas do software, da empresa, dos processos.

117:15Então, qual que foi a ideia do livro?

117:17Contar toda a história que tá em volta, inclusive. Então, lógico que eu acabo no modelo de ameaças, mas eu vou contando todo o entorno, todo o entorno inclusive do conselheiro que tem que participar das decisões, como ele deve participar, que métricas apresentar e correlacionar, porque na ausência de informação a desgraça é assim, querido. A crise chega pro conselho, o incidente grave chega pro conselho, só que se não chega a parte boa também, qual que ele a visão que ele vai ter da tua esteira? Fal, cara, você é o criador de problema, velho. Preciso resolver o baiano. O baiano é o problema. Por o troço que ele pôs aqui é um problemaço >> e vai desestruturando.

117:53E eu abordo coisas tão bobas que tem lá no livro como políticas. Então a gente cria políticas, por exemplo, de segurança que elas quase viram pro forma para dar dói no coração falar, mas quase vira pro.

118:07>> Então por que que não trata de um jeito mais inteligente? Então, por exemplo, ó, se a gente entender que aqui no Banco Central é super importante eu não ter indisponde operacional, não pode parar a máquina e não pode vazar nada, nenhum dado, nada, não pode vazar também, que não, né, a gente discutiu aqui que privacidade é super importante, beleza?

118:23Porque tem essas duas coisas, tá? A gente faz uma política de uma linha e vão ter várias na empresa, mas tem essa de uma linha que vai falar o quê? Por que não pode ter aqui a parada? Porque não pode vazar os dados? Ameaça. Já vem de cara pro conselheiro entender do que eu tô me protegendo. Nenhum acesso à produção pode ser de forma direta.

118:41Simples assim. Mas por quê? Não, porque se eu tiver aqui uma uma máquina no meio do caminho, um jump server, para falar o nome, né? Uma máquina no meio do caminho que todo mundo acessa, eu boto a monitoração aqui, eu dificulto o acesso à produção, eu consigo chegar onde eu queria. Tá legal?

118:57Política, que você não médio, é política. É legal. Então, qual que é a medição? Qual que é a métrica disso? Eu vou olhar acessos, os que foram diretos, os que foram indiretos, vou separar, nós vou ter que discutir aqui, porque em teoria é tudo indireto. E eu vou ter as exceções. Falar: "Putz, e se tiver no protocolo de crise? Is tá, então tem alguns cenários são exceção e alguns que são do negócio. Fala assim, então ninguém pode acessar a produção nenhuma nunca, tá? Mas e o blog da empresa? Ele pode ficar fora do ar e ele não tem tudo é público, nada lá é sigiloso. Então ele precisa ser indireto, ó. Em teoria não.

119:31Eu não preciso colocar numa exceção. A própria descrição da regra tá dizendo: "Olha, ele não tem ameaça, então nunca vou te cobrar a regra.

119:37>> Não dá mais spoiler." >> Mas é, >> se você gostou da da do >> de escrever o livro já, né? Ah, e a gente gravou um episódio de 2 horas falando sobre isso. Então, vamos deixar o link aqui na descrição.

119:50>> Eh, ele prometeu que vai trazer alguns livros depois pra gente distribuir paraos nossos ouvintes. Tá chegando, tá chegando, >> tá chegando.

119:55>> E tá aqui o livro no do aqui na na descrição e aqui deixar aqui no vídeo aqui também o card aqui. Se você quiser conhecer melhor o livro do Lac, eh, entra em contato aqui, clica no link que vale muito a pena, cara. Eh, conteúdo filé. É, eu já quero.

120:13>> Baiano. Novidades da Clever.

120:16>> Novidades da Clever. Estamos aí eh a 99.9% de abrir 100% o código do blockchain, >> 100% auditado pela Certo.

120:28>> E com isso também a atualização desse nova versão do blockchain já vai ter, né, nossos smart contract web assembler.

120:37>> [ __ ] E isso aí vai dar muito pano paraa manga.

120:42>> Vamos ter que gravar um episódio sobre isso aí.

120:43>> É, é isso aí.

120:44>> Show de bola. Parabéns, cara.

120:47>> Feliz demais de acompanhar >> essa trajetória toda, a evolução toda.

120:50>> Muita coisa.

120:51>> Show de bola.

120:53>> Meus amigos, novamente muito obrigado pela presença de vocês.

120:56>> Você que acompanhou a gente até agora, muito obrigado pela audiência de vocês.

121:00Se você chegou até aqui, você ainda não deixou o like, você ainda não deixou o seu comentário, você tem essa oportunidade de fazer agora. Se você gostaria de contribuir um pouco mais com o nosso trabalho, se você aprendeu muita coisa como eu aprendi com esses dois caras aqui nesse episódio, você quer contribuir um pouco mais com a gente, você pode ser membro do canal, vai contribuir com valor mensal aqui pra gente para pagar a cerveja daquele rapaz que está atrás da mesa apertando os botões para esse podcast acontecer. E se você não pode contribuir dessa forma, você já contribui demais, crescer a nossa comunidade, contribu contribuindo com com a distribuição do podcast, mandando no Telegram, mandando no Teams da empresa, >> no Slack, mandando no WhatsApp e avisa que não é link falso, tá? Avisa que que é verifique, verifique sempre origem, beleza?

121:50>> Obrigado pela audiência de vocês, meus amigos. Obrigado novamente. Valeu,

122:00[Música]