Vazamento de Dados: Desafios e Estratégias em Cyber Segurança | PPT Não Compila Podcast

0:00é porque assim existe sempre do dois lados da força o controle e a liberdade Esses são os riscos você assume esses riscos assumo se acontecer alguma coisa é o seu sua assinatura que tá aqui e aí sigo sigo a vida lógico se der um problema de quem vai ser a culpa vai ser minha isso aí não vai acontecer nada não isso aí é besteira é só um acesso aí a gente vai lá e mostra que não é só um acesso o pessoal tem que perceber que segurança governança arquitetura toda essa galera tem que estar envolvida sempre no começo muito bem muito bem meus amigos do PPT no copil estamos aqui para mais um Episódio 130 pouco suud não sei mas Perdi as contas você pensou que isso ia acontecer não sei cara não imaginei caraco chegamos até aqui hein e que evolução hein Pois é cara estamos aqui com uma pauta extremamente interessante para tirar sono de uma galera né mas é um dos pilares da indústria 4.0 Cyber se k exatamente e Esse é o primeiro episódio de uma série chamada hacker Academy Olha só hacker Academy onde nós vamos falar sobre tópicos de cybersegurança muito bom e para falar disso trouxemos quem um hacker Opa um ha Larga esse terminal aí para de invadir a gente aqui par pronto V largar aqui Zé Urbano nosso grande amigo aqui o cara que é o responsável pelo Red Team daot hotmart é o cara que a a a eu queria ter um trampo desse o cara não queria não e o cara ataca a própria empresa Zé obrigado boa mais uma vez satisfação tá aqui a gente discutir de um tema bastante relevante aí que é a questão de vazamento de dados como os ataques acontecem Hoje em Dia com com esse objetivo prazer estar com o rud com El aqui então muito bom aí vocês vão curtir demais aí nosso Episódio aí obrigado e Luiz rud que eu já nem apresento como convidado porque ele é quase sócio do PPT já sou sócio mesmo aqui já tá aqui já já é da casa tenho certeza que vai ser uma aula que o Zé vai ensinar muito a gente aqui sobre melhores práticas sobre como a gente tem que aí proteger o nosso ambiente aí com a famosa disciplina que tem ganhado muita evidência finalmente Graças a Deus né de segurança de dados segurança informação segurança da informação e governança de dados também é são vocês estão pop trabalha junto Vocês são Pops É isso aí então se você quer saber mais sobre o assunto se você quer acompanhar esses assuntos de tecnologia e de segurança na informação você pode apoiar também a hacker Academy sabia rud agora uma pergunta você conseguiu esse nome Como hacker Academy eu usei aí um lnm aí ele gostou achou legal go sabiao se você é uma empresa de de de segurança se você e está no mercado e quer apoiar o PPT no compila e Patrocinar essa tiha do hacker Academy Manda uma mensagenzinha lá no Instagram beleza e se você também quer apoiar o pbt no Cila como ouvinte você pode ser membro no YouTube sabia Rudi que da hora e sabia que as pessoas que são membros do YouTube elas conseguem ter dicas especiais em cada em cada episódio fiquei sabendo no último episódio que eu vim é então e aí a gente vai ter aqui So hoje então no final desse Episódio vai ter uma dica especial aqui só para os nossos membros mas se você não pode apoiar o PPT você não pode ser membro você já ajuda muito compartilhando esse episódio dando um like e curtindo o nosso trabalho isso pra gente é o essencial Então vamos lá que o episódio tá muito bom bora [Música] [Música] Bora lá hoje é dia de tirar o sono de ce de Ciso deixar a galera preocupada e não dormir no final de semana certo isso aí assustar um pouquinho a galera assustar um pouquinho a galera né o medo faz bem às vezes sabe que o medo é um sentimento humano que ajuda a nossa sobrevivência né O que seria da Coragem sem o medo é verdade exatamente começamos já na filosofia isso isso vai dar muito bom vamos começar contextualizando o que que é o conceito de vazamento de dados existe um conceito de vazamento de dados o que que é um vazamento de dados O que é simplesmente um dado público exposto e que é uma que é uma exposição não devida de dados existe a questão né da da falha de segurança mesmo que seria uma vulnerabilidade que é explorada e através dessa exploração existe né o vazamento de dados mas também pode existir uma falha humana alguma coisa relacionada a isso também que pode expor esse dado né mas de uma maneira geral e acredito que é tudo aquilo que que não deveria tá tá exposto e está né de alguma maneira seja explorando seja por um erro humano alguma coisa do tipo mesmo novamente a pecinha ser humano aí na como um ris corporativo né sim é isso aí exatamente e uma coisa que eu acho que é legal de gente contextualizar é Nem sempre o vazamento de dados ele é só um vazamento que foi realizado através de uma vulnerabilidade de segurança né Às vezes você pode ter dado que não deveria estar exposto mas está de uma forma que não deveria de uma dentro de uma feature por exemplo ou algo do tipo né é possível explorar isso também não sim Ele tem muito ignorância das pecinhas que a gente comentou por exemplo a gente tem hoje ferramentas de visualização de dados bem populares aí no mercado e a galera para não tem licença que que faz publica as coisas na na nuvem lá do provedor 1 2 3 de maneira pública uhum para conseguir compartilhar as coisas expõe o dado da da empresa Por ignorância ou quem nunca viu lá aqueles famosos meilos que ten anexado lá Excel ou qualquer outra coisa do gênero e Nali tem um monte de dado que é para uma pessoa específica sei lá que sei lá encaminha para outra e já era o dado tá ali também exposto de uma maneira equivocada então assim eu vejo que eh independente da área técnica segurança governança eh outras disciplinas essa parte de conscientização Ela é muito forte tem que ser muito forte dentro das empresas para que no final das contas a gente crie não só um ambiente seguro no sentido de proteções de de segurança mas um ambiente também consciente que isso para mim é o que evita maior número de problemas e é e é justamente isso né Eh a gente vê até no nos testes que a gente faz no dia a dia ali como simulando um um atacante a gente vê ataques cibernéticos também reais com relação a isso eh procurar né esses tipos de de arquivos esses tipos de plataforma que em um projeto você tá precisando usar tal mas a pessoa ali não tem o conhecimento por exemplo técnico ou de segurança para eh para saber que aquilo ali que ele tá fazendo naela plataforma específica é um é um risco e acaba colocando ali credenciais colocam coisas colocam algumas informações do da da empresa e que num trabalho de de pesquisa e tudo mais eh de um time por exemplo de segurança ou num ataque cibernético você busca por essas né por por essas informações e fica muito muito fácil né porque pode ser que você encontra ali uma uma credencial bem crítica ali de algum ambiente da da empresa do negócio e aí eu vejo assim de uma forma separada dois casos bases assim para de de vazamento de dados né acho que a gente tem aquela exploração de exploits de de falhas de segurança que o cara chega numa base ou ele chega numa aberta e ele consegue fazer um uma mineração de dados ali acumular uma base vazada etc e tem o caso aí eu tenho a sensação Zé talvez você possa eh ratificar a informação de que é o mais comum que geralmente você tem acesso à informação através de uma credencial que foi obtida de forma ou engenharia social ou de credencial que não tá segura e etc eu queria explorar primeiro a gente vai falar um pouquinho também depois dos exploits e tal de boas práticas para para evitar vasamento de dados mas eu queria falar primeiro dessa parte eh mais eh ligada ao processo de acesso ao dado né porque isso tá muito ligado com o processo de governança também né rud e como que a gente contrabalance isso né Porque durante o processo de desenvolvimento de software durante a operação da companhia Principalmente quando a gente tá falando de dados etc as pessoas precisam de acesso e precisam ter aquele dado para aquilo que ela tá trabalhando né muitas vezes o desenvolvedor pede acesso a mais pede ter gosta de ter uma liberdade etc e o cara de negócio também como que a gente consegue no dia a dia ter esse tipo de de de de balanceamento porque é comum as pessoas acharem que ah pô não querem me dar o dado Não não é você poderia ver o dado mas se alguém pegar tua credencial seria ruim que tivesse acesso a tudo esse dado como é que como é que lida com isso no dia a dia se você conseguir achar a resposta compartilha depois com a gente também tá eh porque assim existe sempre do dois lados da força o controle e a liberdade então quanto mais controle você precisa exercer menor vai ser sua liberdade quanto mais Liberdade você quiser dar menos controle você vai vai poder exercer Então qual que vai ser a o ponto de equilíbrio eu entendo que é a maturidade cultural da sua companhia porque aí você vai entender o quanto de controle você precisa aplicar para que você forneça a liberdade que os seus usuários precisam entendeu então a gente para mim esse é o jogo no final das contas é sempre político a gente sempre vai est falando de de pessoas a gente sempre vai ter que achar esse ponto de equilíbrio dentro da da organização não é é fácil você sempre vai lidar com pessoas que vão reclamar ou pela falta de controle ou pela falta de liberdade e no final das contas você vai ter que fazer um juízo de valor para aquilo que é mais importante pra estratégia que a sua disciplina defende entendeu eu eu rud o que eu gosto de pensar eu gosto de pensar que a democratização do acesso ao dado é ela não é só você ter o acesso Mas é você ter o acesso junto com a capacidade de extrair valor através daquele acesso então se você não tem essa capacidade ou seja se você vai expor a companhia de alguma maneira então eu não posso democratizar o acesso para você porque você não tem essa conscientização então é não é só dar o acesso é dar o acesso junto com a capacidade de extrair valor com consciência entendeu então e eh para mim essa esse é o segredo é fácil não é fácil você tá falando com pessoas às vezes você tá lá na sua jornada de evolução da empresa e acontece alguma coisa pessoas saem pessoas entram vem uma nova mudança estratégica dentro da companhia já era você vai volar lá paraa prancheta no primeiro estágio ainda entendeu então é é Um Desafio e nem todo mundo tem o conhecimento né E sabe do risco que tá sendo exposto ali né porque a pessoa chega lá fala assim ah eu preciso do acesso eu preciso usar e como o rud falou né Depende muito acho que da da maturidade da empresa porque em alguns contextos nem acaba nem passando pela a gente nem sabe o que tá acontecendo quando vai ver já já foi Tá em produção tá todo mundo usando o dado a informação ninguém avaliou ninguém avaliou o contexto né que foi eh liberado aquele tipo de acesso e Geralmente as pessoas não sabem para o que que elas precisam daquele acesso específico assim ah quero uma permissão full aí beleza você nãoc viu aquela coisa O que que você precisa tu isso não mas é um caso muito real ass por exemplo porque eu acho que essa discussão ela é distorcida nas empresas Não é questão do direito ao dado eu vou dar o exemplo máximo porque isso cascate pro resto o cara é o dono da empresa entendeu o cara fala p é tudo meu aqui cidado é meu a empresa é minha eu deveria ter acesso a [Música] tudo justo não é questão do direito mas isso é o quem rouba tua credencial entendeu é esse contrabando você vai usar tudo isso agora você vai você precisa ter mesmo acesso a tudo isso o tempo todo como é que conscientiza esse cara que tipo o dono da empresa ele tem que te pedir acesso no momento que ele precisa você tá falando novamente de uma coisa muito específica chamado pessoa administrar o ego principalmente o ego de um executivo é difícil entendeu eh Poxa a gente vive num numa cultura eh de mercado tem muitas empresas que já mudaram tão em processo de evolução mas que ainda é muito na base da carteirada do topd se o Executivo fala você tem que simplesmente executar então assim eh uma estratégia que eu passei a adotar é você quer isso quero esses são os riscos você assume esses riscos assumo se acontecer alguma coisa é o seu sua assinatura que tá aqui e aí sigo sigo a vida lógico se der um problema de quem vai ser a culpa vai ser minha beleza mas pelo menos eu entre o dono da empresa você acha que eu sei quem vai ser demitido ex então mas é mas só que aí pelo menos eu fiz uma tentativa de conscientização Porque beleza eu falei do controle da liberdade Mas eu só consigo exercer o controle dentro da minha capacidade de influência Tipo se eu não tiver como exercer o controle porque tem algo acima de mim mais poderoso eu não vou ser doido para poder me colocar em cheque vale mais o que eu aproveitar as como posso falar os atritos os ruídos para poder ir gerando engajamento e se toda empresa tem sei lá área de grc área de compliance me aproximar dessas áreas me aproximar por exemplo eu como governança me aproximar de segurança me aproximar de outras disciplinas técnicas que também prezam por pelas boas práticas privacidade e outras para que a gente consiga ser o nisso no no que a gente vai promover de boas PR práticas para que no final das contas aquilo que eu defendo aquilo que as outras disciplinas defendem a gente consiga promover isso de uma maneira mais mais equalizada para toda a companhia novamente é é um processo muito assim de muito esforço para que no curto prazo é pouco retorno mas a gente vai mudando a cultura entendeu E e aí aquela coisa novamente do Ego Poxa a área do fulano ela tá mais segura que a área do ciclano E aí você vai estimulando aquela competição ou então Você aproveitar um um um erro de uma exposição que aconteceu e você eh aproveitar e mostrar o que que isso gerou de impacto pra empresa Porque aí as pessoas começam Olha isso que aconteceu entendeu E E se tiver um impacto financeiro ainda maravilhoso porque maravilhoso entre aspas né mas maravilhoso no sentido de gerar isso como um case de aculturamento Porque que ninguém quer causar prejuízo pra companhia isso é É bem interessante que o rud traz porque às vezes é o desconhecimento também né ele ele se conecta a isso porque o cara fala assim beleza eu tenho meus acessos aqui e tal mas ele tá é um executivo por exemplo ele tá sempre viajando tá no aeroporto se conecta a redes fora do do da casa dele fora da empresa S fora do ambiente corporativo e ele não entende os riscos que tem ali então assim através de uma rede terceira de de fora é precel você capturar uma credencial ter algum acesso privilegiado né então acaba que o trabalho da segurança né trabalho da de de cber segurança Dent de uma empresa por exemplo no num time de de Red Team onde faz simulações de ataque voltado para mostrar eh o risco de vazamento né a simulação de um vazamento de dados o que que ele repercutiria eh pra empresa isso traz valor também e abre aos olhos né da da da empresa do do board ali do que é importante pra gente olhar naquele caso específico Então nada melhor do que também você trazer exemplos práticos ali pro dia a dia né então você pegar fazer uma simulação de ataque e colocar na mesa falar ó os nossos achados foram esse aqui a gente conseguiu extrair essa informação essa informação Através disso e disso disso tá vendo que a gente precisa melhorar o processo precisa melhorar essa tecnologia precisa melhorar conscientizar as pessoas mais aqui precisamos investir mais aqui então acho que vai muito nesse sentido também de você mostrar eh é o que tem de errado também acho que esse é o ponto também que faz as pessoas né ali olhar diferente do no que ele tem ali fala Não isso aí não vai acontecer nada não isso aí é besteira é só um acesso aí a gente vai lá e mostra que não é só um acesso né Eu Me Lembro até hoje o dia que eu virei a chave porque eu já fui esse cara que reclama já fui desenvolvedor muito tempo né eu eu me lembro até hoje era um cara inclusive de era de governança eu acho acho que era de governança mas a governança eu acho que a governança tava é com tinha um misto ali de governança e e e segurança que eu precisava fazer um um trabalho e tal e eu tinha que ficar pedindo acesso de forma intermitente a ao que eu estava trabalhando naquele momento às vezes eu trabalhava tava trabalhando no domínio de dados às vezes tava trabalhando no outro domínio de dados e eu tinha que ficar pedindo Acesso aqui acesso ali e eu tinha uma visão do tipo P Por que eu não posso ter acesso eu tô trabalhando nos dois projetos Por que que eu não posso ter acesso ao mesmo tempo nos dois projetos e dá uma uma burocratizada no processo né aí uma um outro problema né se isso é ágil ou não é uma outra questão mas eu perguntei cara mas por que que eu não posso ter acesso aí a foi a resposta que me fez virar chave foi Você pode ter acesso não tem problema nenhum você ter acesso tanto que você tem acesso quando precisa mas e se não for você Ah cara uma uma pergunta simples mas você pensa [ __ ] realmente Mas é por isso que é importante assim eu gosto de pensar em três PS você tem as personas Você tem os papéis e você tem os perfis Por isso que eu gosto de eu gosto de pensar assim por eu eu tenho uma Persona que é o conjunto de vários papéis e eu tenho para cada papel um conjunto de perfis que eu preciso conceder de acesso para que aquela atividade ali seja aquele papel ali seja executado então quando eu organizo minha concessão de acesso dessa maneira e não de uma maneira muito granular tipo base de dados sabe tabela coluna quando eu organizo dessa maneira eu começo a ter capacidade de monitorar se aquele perfil tá sendo executado dentro do papel de responsabilidade que ele tá atrelado entendeu é o ponto é que eh hoje é tanto dado e é tanta aplicação e é tanta coisa cada e é tanta coisa eh mal documentada mal organizada dentro das companhias que fica difícil de você aplicar esse tipo de controle tipo Cyber né aí José pode falar muito melhor que eu que é você tem lá a ISO 27001 que o objetivo é você classificar os dados para você conseguir entender aquilo que se for for exposto vai gerar uma exposição um prejuízo à marca e de uma maneira mais significativa então quanto maior é a sensibilidade ali do dado o sigilo a criticidade que você coloca ali no dado quer dizer que aquele dado ele precisa ser protegido de uma melhor maneira Poxa a gente vive num contexto de Big Data que a maioria das aplicações nenhum desenvolvedor pensou nisso nunca como que eu vou proteger as informações se eu nem sei o que que é crítico pra companhia entendeu se eu tivesse isso eu poderia trabalhar com com eh concessões de acesso Mais equilibradas e aí entra naquela naquele juízo de valor que eu comentei entre o controle e a liberdade Talvez para um dado que tem uma classificação mais pública um uso mais interno eu consiga flexibilizar um pouco mais o acesso porque a exposição não vai ser prejudicial à empresa então eu consigo dar mais liberdade e o meu controle pode ser diminuído mas aí por exemplo imagina uma uma informação que é sei lá salário de colaborador ou então uma informação que tem Minha estratégia de negócio é aquilo que eu negociei com os meus fornecedores sabe e eh São informações críticas se forem expostas eu vou perder Market share vou perder credibilidade de marca Sei lá isso vai ser prejudicial para mim então para essas eu vou aplicar alguns controles mais rígidos porque essa informação ela vai fazer com que a empresa seja penalizada se elas forem expostas entendeu então assim eu vejo que a gente tá num processo de evolução como eh disciplinas né Vamos colocar assim eh e e a gente sempre parte de uma premissa que a gente sempre trabalha com um legado imenso e é muito difícil coexistir com isso E aí como que você vai falar de inovação em cyber Security no sentido de você conceder acesso sendo que qualquer inovação que você faz vai ser sempre um grãozinho perto do caminhão de areia que você tem entendeu Então eu vejo assim uma complexidade muito grande mas assim uma dica é não perder o ânimo né uma hora uma hora dá certo tem que é como o rud falou tem que achar um equilíbrio né também você tem que olhar pro contexto que isso é eu acredito que seja o mais importante porque você tem que saber quais informações para que que você precisa daquele acesso tá tá de acordo com aquilo que você vai utilizar tá de acordo com aquilo que você vai integrar são essas informações é isso que você precisa beleza Isso é só de você mapear saber e ter a noção do que que vai ser usada aquela informação isso nos ajuda também pra gente pensar e falar assim quais controles de segur que eu tenho que cuidar o que que eu tenho que olhar de mais importante aqui porque eu sei que tem dado x y z crítico aqui então aí isso já nos ajuda a ter um norte do que que a gente precisa olhar né na questão de segurança Então acho que é muito nesse sentido a segurança também não pode falar se a gente for pensar em segurança também e só falar assim não para todo mundo porque isso é muito fácil né na na falar assim pô beleza cara não a gente consegue segurança no nível altíssimo que sempre digo você quer ter segurança 100% fecha a empresa empresa fechada na invadida é exato não tem jeito e aí e aí tem que ser um equilíbrio né de você entender você a segurança acho que todas as árias a gente tem que trabalhar junto com o negócio não tem como a gente não fugir então por isso que há um equilíbrio né não tem eh 880 a gente tem que achar sempre o meio termo tem que tá tem que ter mais opções pra gente conseguir eh de alguma maneira melhorar aumentar a maturidade de segurança né mas esse ponto da classificação de dado ele ele é muito crítico assim na minha opinião sabe eh e isso deveria nascer lá na análise de requisitos quando você tá desenvolvendo uma aplicação não tem tanta coisa by design me fala aí tem um uma porrada de coisa by design já tem Security by design tem data by design tem entendeu o ponto é assim cara vai montar um alguma coisa vai desenvolver alguma coisa cara chama as pessoas rud existe data by design architecture by design Security by design mas a maior parte das empresas falta design não discordo entendeu falta sentar todo mundo numa mesa e discutir o que precisa Então você o go hor ainda imper pera porque assim você concorda que o desenvolvimento ele tem que vi depois de uma fase de desenho isso e o desenho tem que vi após uma fase de definição de de solução e essa definição tem que vir depois de uma fase de descoberta O problema é que o se se você for ver a maioria das squads que né que agora é famoso lá o poo não tem um equilíbrio entre Discovery e design e desenvolvimento não tem cara existe si by design data by só falta o design a gente não não senta e e conversa entendeu Esse é o ponto principal porque eu acho que se a gente conseguisse até tem algumas algumas plataformas que hoje fazem um pouco Dessa descoberta de dados sensível e tal mas para aquilo que é padrão tipo CPF nome e aí CL é boa pra privacidade Talvez mas só que não é bom pra segurança isso como é que você pega regra de negócio que é efetiva dentro de uma plataforma dessa tá fazendo até uma dentro aqui tome cuidado com as plataformas que você adquire que prometem isso a chance de você eh não proteger seu ambiente é muito grande porque tem muita solução de prateleira que fala assim eu faço isso faço isso tenta aplicar então na sua Complex sabe por quê Porque no PPT sempre funciona exatamente agora bota para compilar essa [ __ ] não funciona não funciona É isso aí quero falar com você agora quem ainda não conhece é Clever Clever é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes que tem trazido Soluções em blockchain criptomoedas e ativos digitais o objetivo da Clever é te dar liberdade financeira para operar nesse mercado de de cripto então se você acredita nisso se você acredita nessa Liberdade você já Pensa como a Clever vai conhecer os caras é Clever Paio estão contratando também pessoal para trabalhar com crypto com blockchain então se você tem interesse se você tem conhecimento nessa área procura Clever se você gosta de criptomoedas se você opera no mercado você precisa conhecer a Clever precisa conhecer as soluções da Clever então o endereço tá aqui embaixo no vídeo para quem não tá no YouTube é Clever P Vai lá vai conhecer que realmente é o mercado s acional e e quando a gente fala um pouco mais de exploração de vulnerabilidade aí essa parte que eu que eu acho mais divertida eu choro é exploração de vulnerabilidade eu acho que vai vai de encontro com o que a gente estava conversando aqui e e estão estão ligados né exato até porque eh se segurança ela é envolvida né como falou na definição no desenho você mitiga grande parte das vulnerabilidades porque você consegue mapear você consegue ter uma visão do que que você tem que proteger E aí depois disso você encontrar uma vulnerabilidade né como isso é padrão é muito mais difícil custa muito mais caro então Eh acaba que o pessoal tem que perceber que segurança governança arquitetura toda essa galera galera tem que tá envolvida sempre no começo de qualquer coisa que vai ser implementada qualquer coisa que a gente for discutir com relação eh a implementação a dados a a informações como um todo precisa ter essa reunião que a gente tava conversando agora né tem que sentar todo mundo na mesa e trocar uma ideia eu acho que é isso que é o é o que mais falta hoje em dia é um bate-papo né como a gente tá fazendo aqui e e osé uma coisa que eu aprendi contigo inclusive deixar o Card não seu lado aqui algum lugar quando a gente estava falando sobre Red Team e exploração de vulnerabilidade etc é que a maior parte das vulnerabilidades que a gente tem nem sempre é aliás a menor parte é vulnerabilidade de exploit de segurança Sei lá eu encontrei uma falha no ap que me deixou passar com rut exato isso é muito raro né sim mas geralmente é uma exploração do processo de negócio que gera algum tipo de de de brecha para que eu seja esperto o suficiente e eu não fiz nenhuma vulnerabilidade de software necessariamente mas eu consegui enganar o processo para conseguir chegar num dado diferente né exato É é justamente isso né fazendo um um rack naquilo dá uma explicação dessa pra galera entender legal não eh essas vulnerabilidades que a gente fal que que a gente fala né são relacionados a a falhas de negócio como um todo mesmo que é Justamente a gente ah precisa ter uma permissão XY Z e o atacante ele vai e vai testar se realmente aquilo ele pode fazer se ele pode consultar por exemplo um ID de uma outra pessoa né se naquele contexto específico num token específico então acaba que eh essas questões de de como de de lógica de negócio acaba sendo e crucial para uma para uma exploração né de não não tão técnica assim vamos dizer assim né que o cara precisa fazer um buffer overflow ali para ele conseguir o acesso mas é a forma que o cara pensa diferente ali ele subverte um um dado uma informação CONSEG ele pega ele pega uma credencial pega um dado com esse dado ele consegue uma outra informação isso e com aquela informação ele consegue uma terceira informação que ele consegue uma terceira credencial e assim ele vai explorando que às vezes tá até indexado no Google né é exato tá público esse dado né então acaba que é muito simples hum sim então às vezes o próprio processo porque é É normal a gente quando fala de teste de jornada né sim que aí não é exatamente o teste de software mas a jornada de negócio você sempre pensa no caminho feliz né É Ah o cara vai aqui põ CPF tem acesso a esses dados e tal mas tem aquele bichinho que vai lá e fala mas se eu fizer diferente é a gente tá falando de usuário Ah mas sempre tem então sim Sempre tem o criativo exatamente poxa Eu já vi casos que assim eh a aplicação da da empresa x ela fazia ali um uma validação de sei lá de CPF ou de CEP qualquer coisa assim que que as pessoas estavam fazendo desenvolviam alguma coisa E aí ao invés da pessoa comprar de um fornecedor a b ou se que que ela fazia endereçava pra página de internet da empresa a colocava lá o CPF o CP fazia a validação da no portal da outra pessoa pegava os dados do que o portal lá retornava e depois guardava no seu no seu banco de dados olha só que maravilha olha só então se você não tem esse desenvolvimento seguro que o Zé falou o que que vai acontecer eh por mais que o seu dado não esteja sendo exposto o que que vai acontecer a sua infraestrutura tá sendo exposta eh a sua aplicação está sendo exposta E você tá gerando ali um um consumo de rede Seja lá o que for de uma maneira desnecessária por quê Porque você não criou me ISM de proteção ali na sua aplicação então assim é muito importante tudo que for ser construído ter ali o uma colaboração desse time multidisciplinar aí fazendo assim só o advogado do do diabo né Eh geralmente a equipe de segurança não tem escala corporativa Se tiverem acontecendo sei lá 20 projetos você não vai ter 20 analistas de segurança um em cada projeto a mesma coisa para governança de dados a mesma coisa paraa privacidade a mesma coisa para outras disciplinas por isso que eu falo assim que esse essas minorias que durante muito tempo não eram convidadas para almoçar dentro das companhias né a gente ficava ali no cantinho de castigo ou então as pessoas ficavam falando mal da gente a gente sofreu buling corporativo eh essas áreas Elas têm que se juntar por quê Porque Poxa eu vou ser um promotor de segurança se eu tô num projeto eu vejo alguma coisa por mais que eu não seja um um técnico especialista Poxa eu vou levantar a mão e falar assim Zé vem aqui que tem uma coisa errada entendeu por isso que eu falo assim existe um Pensador que fala assim habilidades do Futuro profissionais que vão ser bem sucedidos eh no no na nova modernidade aí tem que ter pensamento crítico certo tem que ter colaboração colaboração tem que ter capacidade de se comunicar e tem um outro ser que me esqueci mas só para evidenciar aqui colaboração e pensamento crítico a gente precisa ter isso senão a gente não vai não vai conseguir dar escala para todas essas boas práticas que a gente precisa defender e é e é bem interessante né porque até a a oasp fala do secrit Champions por exemplo que são os campeões de de segurança que promovem a segurança porque é muito difícil você tem 1000 desenvolvedores na empresa seu time de segurança tem 20 pessoas como que você vai levar segurança para todo mundo dentro de de uma empresa com 1000 desenvolvedores por exemplo é impossível você vai ver uma coisa ou outra ali mas é é limitado não vai ser você não vai ter olhar para tudo para a todo momento né então acaba que você promover pessoas que são parceiros da segurança parceiros do né daquilo que que você necessita bandir tem que ser uma bandeira que aí você tá pô tá tão tocando no assunto x ali que pô bate em segurança por exemplo Pô o Albano vem aqui tá tá pegando um negócio aqui que é do seu interesse então ter essas parcerias né dentro da dentro da empresa ter essa essa boa relação dentro de de áreas ajuda muito a gente no no no dia a dia né isso aí que que faz que a gente tenha olhos né um pouco mais abrangente dentro da da da organização até para que a gente consiga entrar num contexto lá do by design que a gente comentou que é muito junto com a parte de Federação porque a gente pode ser responsável como disciplina beleza Eh eu posso ser responsável como disciplina pela governança osé pode ser responsável pela segurança como como eh disciplina mas só que aí a gente traz pro time de desenvolvimento a a gente traz PR os usuários também responsabilizações E aí todo mundo vira promotor da disciplina entendeu E aí cada vez mais eu consigo dar liberdade e porque eu já tenho os meus controles necessários bem esquematizados e aí eu vou trabalhando sempre na promoção e na prevenção e não no na gestão de caso que o que eu não quero não quero que a exposição aconteça não quero que a vulnerabilidade aconteça então eu consigo trabalhar nisso e gerar um contexto né uma rede ali seja de negócio seja de Out outras disciplinas técnicas que são meus promotores entendeu mas novamente a gente entra numa questão muito difícil que são pessoas e é cultura Eu acho que eu já falei isso aqui cultura vem do mesmo radical latim de cultivar certo não se o que você planta não é João pé de feijão que você joga lá o feijão no outro dia virou uma árvore não você vai ter que semear depois você tem que ir lá cuidar o negócio vai virar um brotinho E aí você vai ex não é do dia pra noite Exatamente é tempo para você poder mudar a cultura entendeu e e é isso é um jogo de paciência é um jogo de e é às vezes eh saber se posicionar para que você traga as pessoas para perto de você para que elas sejam as suas defensoras sim e Zé eu eu falei essa questão sobre nem sempre você tá explorando uma vulnerabilidade ali de de vazamento de dados em cima de uma de um defeito de software digamos assim porque às vezes o cara acha que fez uma aplicação ele submete a Pain test por exempl passou no pain test tá tudo certo só que às vezes um cara mais safo que conhece o processo de negócio ele consegue algumas desvios no fluxo ali que ele consegue de repente explorar e ter acesso a algumas informações que talvez ele não teria né sim é e tem aquela tem aquela questão né o o Pain test ele é um ele é um teste para um momento específico por exemplo questões regulatórias às vezes eh pede um Pain teste no ano mas aquela aplicação que tá sendo regulada por exemplo o quanto já foi desenvolvido o quanto de coisas novas de features de uma série de coisas já foram feitas o p test ele certifica alguma coisa mas você tem que ter uma avaliação contínua você tem que ter uma participação contínua do que tá sendo construído porque se você só fazer um Pain teste por exemplo não significa que você você tá 100% seguro né então assim para aquele momento específico Beleza você testou Você viu o que tava ali vulnerável tal corrigiu beleza mas são 360 dias no ano ali então assim e você testou beleza achou asos vulneris corrigiu mas o que que tá sendo feito da empresa o quanto tá sendo desenvolvido ali então assim tem que ter um olhar eh constante com relação de segurança né E até um um adendo que eu acho que é que é bem interessante a gente falar eh sem vulnerabilidades técnicas e falando sobre a questão de vazamento de dados Há quanto tempo a gente fala sobre spam Fishing é faz muitos anos já já pelo menos que eu conheço tem uns 20 anos conscientização banco falando aí de Ah não acessa isso não clica no link x YZ mas ainda continua sendo uma das principais formas que você consegue eh ter um início de acesso eh dentro de uma empresa por exemplo né eu digo em ataqu cibernéticos isso falando de de hackers aí no no mundo todo por quê Porque lida com pessoas então assim a gente continua sendo dentro da das empresas falando sempre de conscientização sempre falando da mesma coisa mas por quê o Fishing spam eh seja alguma forma engenharia social como um todo que é você se passar por uma outra pessoa você falar com uma outra pessoa aquele exemplo mesmo que você falou do do do de que você aprendeu lá falou assim mas se não for você é justamente por isso que tem que ter conscientização tem que ser conversado isso no dia a dia porque ainda continua quando você lida com pessoas você fala com pessoas ali que tá a vulnerabilidade ali que você consegue o acesso o cara te dá de mão beijada a credencial você o cara nem percebe olha lá o cara subverte e fala assim T acesta aqui para quem não lembra ou não é dessa geração mas o hacker que ficou mais famoso do foi preso etc eu vi uma palestra dele na Campus par acho que de 2003 2004 acho uma das primeiras Campos pares que que tiveram o cara ele não cava É isso aí ele não sabia programar foi Kevin mitnick Kevin mitnick faleceu recentemente é faleceu faleceu recentemente eu vi uma palestra dele e tudo que ele fazer er engenheria social ele buscava informação num lugar buscava informação no outro Essa é para mim é maior vulnerabilidade são as pessoas porque é a coisa é a coisa não é é o componente Vamos colocar assim que é menos padronizáveis

40:51a ser dito Às vezes você precisa falar assim ah coloca uma senha diferente de 1 2 3 4 olha não compartilha sua senha certo Poxa aí chega um momento de estresse projeto pegando fogo você lá com o seu k de 200 você tá compartilhando sua senha com com com o outro desenvolvedor porque até ele conseguir os acessos que você tem já era mandando a senha no teams né exatamente então assim Veja a as pessoas elas são complexas entendeu não que as aplicações não sejam né dependendo do desenvolvedor muito complexas né mas só que é é é mais fácil você gerenciar e você administrar uma aplicação E aí as vulnerabilidades né que o Zé comentou você consegue criar monitoramento você consegue criar eh vários várias tratativas mas a pessoa no dia a dia de trabalho submetida a pressão Oxe Esso aí é muito difícil de você conseguir administrar entendeu eu queria comentar com vocês queria ouvir vocês sobre o um caso de vasamento de dados que ocorreu relativamente recente aí no e e que é um caso muito específico porque foi um vazamento de dados de uma empresa que deveria cuidar bem dos seus dados foi o vazamento da les pass não sei se você tem detalhes sobre isso Zé do eu sei da da da notícia mas eu não tenho tantos detalhes assim com como ocorreu o ataque é tem tem um tempinho aí e e cara você eh é é um caso muito complicado porque foi um vazamento massivo de dados de credenciais de de pessoa é tipo o cara vazou as as a a senha de cofre de muita gente porque lá dentro tinha outras senhas né e cara é uma situação que é que é muito crítica porque muitas pessoas que utilizavam lesp era justamente pessoas tinham um gerenciamento de credencial já já já já entendi um pouco mais sobre como cuidar suas credenciais etc e como é que a gente gerencia isso no dia a dia cara como é como vocês cuidam da das suas credenciais por exemplo você quer hacker velho faz tu bota um TXT tuas senhas no desktop que que tu faz deix deixa um monitor lá né brincadeira mas sim é olha brincadeira nada que eu sei que você tem um monitor você tem uns bot seu aí que eu tô ligado não mas é é cara é muito difícil né mas não não tem jeito a gente não dá para fugir desses gerenciadores por exemplo de senha né é a maneira mais segura é muito mais prático com com a variedade né de de acessos que a gente tem hoje em dia né Eh é impossível humanamente impossível a gente ter gravar uma cenha para alguma coisa então assim a gente é refém dessas eh essas ferramentas né hoje em dia mas de uma maneira geral a gente escolhe as as que tem menos bamento de dados né não vai escolher uma L agora por conta de desses problemas que a gente tem outras também tão tão boas mas é eu uso no dia a dia né da a própria a empresa que eu trabalho também tem à disposição também então é o caminho mais seguro né porque realmente é muito complicado E aí que tá o problema também vou polemizar um pouco aqui você gosto disso da audiência Porque beleza você tem cofres tem uma série de coisas beleza Mas e o seu notebook pessoal que você às vezes tá utilizando lá tá tá com as senhas da da empresa e aí você baixa um monte de coisa baixa o ma e vaza as senhas né E aí entra muito na questão de conscientização também né a pessoa tá beleza tem tem a Liber de trabalhar com o seu computador pessoal tem liberdade de você fazer as coisas tá mas pensa também naquilo que você tá fazendo com o seu computador pessoal porque você vai para você pode é você pode est comprometendo as credenciais da da sua empresa da onde você trabalha pensa naquilo que você faz com a aba anônima anônima exatamente eu tenho uma estratégia muito boa para gerenciar senha eu esqueço ela sempre aí ó aí toda vez que eu entro eu tenho que cadastrar cara mas você acha que eu eu acho eu sou eu sou super favorável a isso do ponto de vista de engenharia de de software para mim toda a credencial tinha que ser ootp tudo sim tudo para que senha velho e e já tem algumas aplicações que são assim que é otp cara One Time password Ah é seu celular vou te mandar a senha para celular acabou troca toda vez cara biometria também funciona biometria né porque usuário sem é coisa do passado também acho Também acho a moda agora é brincadeira ATP ess gostei ai meu deus do céu mas sabe que vocês falaram da da exposição que aconteceu acho que também um conceito que que é bom a gente talvez abordar aqui é o dado classificado o dado anonimizado e o dado criptografado porque por exemplo legal teve uma exposição mas aquele dado pô ele não tava criptografado dentro da base Expo a senha assim tipo solta pô não tinha uma máscara ali de criptografia uma tinha uma [ __ ] do5 para salvar Exatamente é é é isso porque por isso que eu falei que assim é aí entra assim ó eu gosto de pensar assim informação classificada eu vou lá e falo assim ó aquele dado ele precisa ser protegido aquele dado ele tem uma condição que eu preciso colocar um grupo de acesso ali melhor isso é informação classificada Eu não mudei a natureza da informação mas eu falo que aquela informação ela precisa ser protegida Eu acho que isso é muito benéfico quando eu tô falando da informação criptografada eu tô mudando a essência do da informação ali tô transformando ela colocando uma regra que é possível eh converter depois se eu tiver a chave que para mim isso aqui é essencial Principalmente um tipo desse dado aí um dado de senha ele não pode ser armazenado numa base sem tá criptografado Cara eu já vi banco de senha de banco de usuário com pl text Sim tem mas é um absurdo e e e aí você tem o dado anonimizado que é aí você descaracteriza o dado e você não tem a regra de de conversão então por exemplo você pega ali uma data de nascimento por exemplo você descaracteriza ela você pode deixar só o ano Mas você descaracteriza o dia e o mês você não vai conseguir aplicar nenhuma regra possível para você voltar ao que era antes entendeu é do ponto de vista de privacidade Eu já vi algumas arquiteturas que você consegue você nunca deixa o mesmo dado entidade e característica na mesma base e elas têm sempre credenciais diferentes então Os caras de desenvolver ficar maluco isso mas é porque é porque com isso você consegue eh diminuir a a complexidade de você tratar os seus dados pessoais porque você isola eles e você centraliza eles de uma maneira em que você possa consegue Poxa isso aqui é é é é o rei do do xadrez ISO eu preciso proteger essa jossa aqui isso PR para quem tá para quem tá ouvindo a gente entender é normal você manter uma base onde você tem as entidades que ali eu tenho nome endereço sei quem quem é a pessoa e eu Gero uma chave geralmente um uid lá que é que é uma chave para aquele registro E aí numa outra base eu coloco os dados que são é referentes àquela pessoa com uma uma chave de referência com esse uid para outra base e aí quem tem acesso aos dados ali de sei lá dado de saúde ou dado de financeiro etc ele só vê a chave e não vê de quem é isso aí e ele tá com acesso a aquelas bases com aquela informação Então se vaza uma credencial de um lado de outro o cara não tem acesso a quem é a pessoa só tem acesso aos dados que são acessórios digamos assim né pox na sardinha para dados tá eh um cientista de dados não precisa saber o nome da pessoa para poder fazer um modelo estat algoritmo de Mach Não precisa ele só precisa saber que aquela pessoa é aquela pessoa aquele ID representa um determinado conjunto de comportamentos ou de atributos e que em cima daquilo precisa ser feita uma tomada de decisão entendeu então assim e e para mim é importante a gente trabalhar com esses contextos Porque até mesmo vamos supor um dado de um nome de uma pessoa ela pode ser pública mas o fato de um de um de uma informação ser pública não quer dizer que eu dentro da empresa posso tratar essa informação sem cautela e proteção entendeu então por isso que eu vejo assim que é muito importante a gente trabalhar com essa classificação essa reorganização das aplicações como a gente administra os dados E aí que nem o Zé comentou colaboração vamos proteger essa jossa e proteger aquilo que é mais importante na na companhia e aquilo que não é tão importante no na questão de Exposição eu consigo flexibilizar o acesso de uma melhor maneira Mas aquilo que é mais importante vou colocar Du 3 4 5 10 15 20 camadas de é isso E aí fica o recado aí pra galera que é engenheiro de dados arquiteto de dados dba e que aí e que ainda tá em nos anos 2000 galera negócio de integridade referencial para tudo que é lado Acabou acabou gente dado Agora é distribuído eu vou ter atributo numa base vou ter entidade na outra e vou ter chave que eu vou ter que tratar na cmara de aplicação ou numa outro lugar esse negócio de tipo ó base monolítica com integridade referencial para cima e para baixo não existe mais Tava escutando PPT Existem algumas condições muito específicas que talvez isso pode funcionar mas são padrões que funcionam mas talvez não seja a realidade corporativa hoje mas aí eu vou botar o ponto que você falou design eu a gente precisa investir tempo desenhando a gente precisa investir tempo e pensando nas situações não só do momento mas também uma visão de longo prazo porque a gente precisa criar aplicações e estruturas de dados sustentáveis para que eh no final das contas aquilo que a gente for construir seja um produto que agregue valor pra companhia entendeu então tem que ser alinhado com a estratégia de negócio tem mas também tem que respeitar as boas práticas e ser pensado uma estratégia de médio e longo PR também tem entendeu é o problema é que novamente eh qual que é o dia a dia das empresas ego hor Horse carteirada e vamos que vamos somos time vamos lá veste a camisa entendeu eu eu tenho para mim que vestir a camisa é é eu ser crítico e eu falar dos riscos que estão sendo assumidos sou chato sou sou Rude sou mas é é a vida vida que segue entendeu é é e aí até um outro C que eu tinha esquecido de falar né que eu falei comunicação eh eh caramba agora esqueci os outros né comunicação pensamento crítico colaboração e tem o ser de criatividade Poxa a gente pode ser cri ativo naquilo que a gente tá propondo mas sem ferir os requisitos funcionais os requisitos técnicos que a gente precisa é é proteger como disciplina entendeu E é isso é é no final das contas é muita paciência é isso is bom você que tá vendo esse podcast da hora tá vendo um monte de problema aqui que a gente tá colocando né e Quer uma ajuda aí na sua empresa faz o seguinte entra no site aqui da vmbs que a gente pode te ajudar vem be.io nós somos uma empresa relacionada à arquitetura de soluções a modernizações de aplicações também atuamos na Font devops para ajudar vocês a serem extremamente ágeis então dá uma olhada no nosso site que vai est aqui embaixo vem be.io e lá você vai poder ver um pouquinho da nossa história dos nossos profissionais e aproveitando se você for um profissional da área de tecnologia que tá a fim de trabalhar numa empresa legal um monte de colega gente boa e tecnologia te ponta manda o e-mail paraa people [Música]

53:55care@gmail.com de os erros são são os mesmos de sempre é baixar coisas que que não deveriam de lugares não não Seguros Isso tá muito em al hoje em dia os maers eles estão muito focado em capturar credenciais eh de browser de de uma né do do computador da pessoa mesmo ali e ter credenciais ali bem bem críticas que eh dão acesso a a dados em em massa ali mas aí é mais um sentido da pessoa baixar um malare captura uma credencial dela isso e não do software já ter aquele exposto naturalmente digamos assim não não Exatamente esse esse é um dos pontos de vamos falar assim de de software acho que é muita questão de eh própria arquitetura de de autenticação de autorização né de de acesso mesos isso é é uma grande é uma grande forma que que o pessoal consegue acontece né não isso aí é é muito difícil de só na Groenlândia só tipo ap sem O Alf assim não aqui no aqui não acontece não nunca vi isso aí e eu acho que o o que tem mais de que é o que os atacantes fazem hoje em dia que é olhar aquilo que tem mais fácil que é o quê geralmente aquelas eh vulnerabilidades que a gente tem conhecimento e ignora antigas às vezes publicadas ligados que a gente tem vulnerabilidades que foram catalogadas aí 10 anos atrás 8 anos atrás ainda é encontrado né que são vulnerabilidades que tem aplicação no software em específico mas que foi negligenciada em algum momento Então você diz de software ou de plataforma assim tipo isso Pet atrasado Exatamente porque o pet ele também traz né correções de de vulnerabilidades e às vezes o cara fala assim não se eu instalar esse Pet aqui vai parar vai quebrar tudo vai acontecer isso vai acontecer aquilo aí o cara não tem um pet Manager adequado deixa lá o o software obsoleto exato e vulnerável né E aí muito fácil porque geralmente já tem poque dessa dessa exploração o cara vai no github tem tem o exploit lá baixa roda simples maisin é coloca você vi o log for J aí log for J eu acho que é o caso mais recente acho que foi isso aí dos dos conhecidos foram esse fo um dos principais né então acaba que essas não atualizações essas negligências de não atualizar de Deixar para depois eh é uma é um doss dos grandes pontos que a gente tem hoje em dia para para vazamento de dados posso fazer um parêntese aqui ó por isso que área de segurança área de governança é chata por quê Porque quando você coloca uma coisa em produção com débito técnico você não corrige depois entendeu isso essa é é é é uma grande questão a galera não corrige débito técnico aí por isso que eu falo assim eu faço Gestão de Risco os riscos não diminuem os riscos só aumentam isso é muito frustrante entendeu por quê Porque a galera não olha quer entregar entregar entregar entregar entregar entregar aí depois quando acontece a exposição acontece o problema aí todo mundo sai correndo para para corrigir aí é mais dinheiro gasto aí aparece o orçamento aparece temp co exatamente eh e assim Isso é complicado porque a gente sabe que a qualquer momento o negócio pode ruir a gente Avisa a gente Alerta a gente tá ali fazendo o trampo que a gente é pago para fazer iso é chato beleza mas só que pô é frustrante quando a exposição acontece depois de ter sido avisado monitorado eh reforçado é a gente tentar várias abordagens para poder corrigir isso tá então Poxa vai publicar alguma coisa mesmo que seja o MVP entenda MVP tem o v que significa viável uma aplicação com vulnerabilidade ela não é viável ela é um risco é diferente entendeu É por isso que a questão sempre eu falo né o aceite de risco ele deve ser o último caso dos últimos casos porque você tem condições de corrigir não é porque você tem um projeto algo importante para você entregar que você vai negligenciar você vai deixar de não corrigir de não colocar um controle de segurança porque isso não é justificativa para se ter um aceite de um risco vamos usar até o exemplo do atacante né que que o Zé falou precisa fazer um gol OK você precisa fazer um gol coloca lá 15 atac 15 não pode coloca lá 10 atacantes que que vai acontecer com com seu time vai tomar um monte de Gol E aí você pode até fazer o gol vai vibr você vai perder de 15 de 7 a 1 para ficar mais traumático entendeu Não adianta é incrível como 7 a 1 ele toca no ego do brasile ex Poxa e você sabe que eu sou português né E nessa mesma Copa Portugal também levou um Sacode da da Alemanha nessa copa eu sei porque eu também sou portugês no final das contas eu perdi de 11 a 1 naquela Copa verdade isso é verdade somando isso é mas é e quando a gente fala dessas vulnerabilidades mais comuns assim sim Tecnicamente sim eh o o fora o esquema do do log for J que o que o rud falou e tal o que que você vê de mais comum no no detalhe assim do do técnico que que a galera tá explorando e que o Dev que tá olhando ali deveria é autenticação de api eh escaneamento horizontal de credencial o cara bota lá área logada e não é a autenticação da a não é da área lada você vê você vê um um exemp tô tocando hacker tá vendo n daqui a pouco o meu CPF aparece na tela vou se não for o meu tá bom vou dar vou dar um exemplo simples por exemplo um ponto guit um ponto Git público por exemplo uma permissão errada ali Que expõe de você acessar um ponto Git lá que tem você baixa o o o Git ali você pega todos os os logs de comit chave que tinha lá dentro que o cara fez Pode crer né E aí Ai que simples o cara o cara só precisa enumerar bate lá site.com bar.

60:35Git Pronto já tem todo acesso ali Às vezes tem credencial da WS tem né de de um Cloud específico cheio de permissão caramba permissão em código também não é boa prática gente então assim tem é é coisa simples o risco sempre é maior quando o a dificuldade da exploração ela é simples então quanto Então porque é muito é muito fácil você vai lá pô e arquivos por exemplo backup o cara coloca lá site.zip e o cara vai lá e numera tem o backup de todos os os arquivos de configuração banco de dados tem uma porrada de coisa lá e pro cara fazer um bote para varrer a internet inteira procurando essas vulnerabilidades coisa mais já tem pronto né bater rub lá você acha tudo todas as ferramentas é o que eu uso do dia a dia para né encontrar esse tipo de vulnerabilidades e às vezes a gente a gente pensa assim fala assim ah não não é possível essa empresa bom a maturidade dos caras é os caras não vão não vão errar dessa forma e aí que você encontra E aí que você vai lá e bate Fala [ __ ] não é possível não não é possível não é possível aí você fala encontra então assim cara e é nisso que que o pessoal acha de você vazar os dados de você negociar esses dados porque dados é é dinheiro né então p negócio puxando esse gancho aí eu queria pra gente caminhar já pro final Qual é a consequência de um vazamento de dados Acho que são várias Tá mas acho que a a principal é a exposição da marca porque o dado vazado você perde credibilidade você perde com isso vendas você perde com isso o seu Market share né as pessoas que estão ali com você vão querer sair porque não vão se sentir confiantes em permanecer ali com com você vão se sentir abusados isso pode causar processos que vão gerar um prejuízo e quem sabe até a falência da empresa entendeu então assim tudo que pode eh a exposição vejo que ela pode afetar a marca né é como como um todo de n maneiras né financeira que é é capilaridade e tudo mais é você tem e é o que o rud trouxe né você tem as questões regulatórias né as multas que que que você toma e tudo mais até porque você pode estar expondo dado de um terceiro que é teu cliente [ __ ] é isso aí e eu acho que o o principal mesmo é a reputação né porque para você se recuperar para você se erguer para você ter confiança da marca novamente é é difícil porque você falou assim pô imagina uma exposição por exemplo de um de uma empresa aqui do mercado financeiro um banco pô uma exposição de uma seguradora exposição de eh até teve né não faz muito tempo uma exposição de uma uma empresa tipo um birô de dados Poxa mano é o cor po exposição de birô de dados fodeu né mano mas é o Core é o Core do do do da galera e acontece entendeu por quê Porque você tem que sempre em todo lugar você tem o go Horse em todo lugar você tem a entrega a qualquer custo em todo lugar você tem eh a uma galera pensando de uma maneira em que não tá pensando no no valor contínuo não tá pensando em sustentabilidade não tá pensando em em algo lá na frente tá pensando no no presente daquele daquele momento apenas que em pouco tempo já vira passado e acabou entendeu É é é você você tá integrando você tá entregando né você tá tem valor Beleza você vai ganhar muita grana naquilo Mas você tem que pensar ali essa grana que você tá ganhando você pode est pagando multa você pode estar pagando na reputação que vai cair sua sua Grand Então você tem que pensar nisso aí né então acho que é muito nesse sentido que o rud tá trazendo né de você prestar atenção eh beleza ganhar dinheiro eu também [ __ ] é legal para caramba P todo mundo quer quer que a empresa ganha mais a gente quer né receber depois PLR queer tudo ali né muito bom acho que o ponto principal é que isso tem que ter uma uma visão conjunta Sim sabe o que que é sustentabilidade sustentabilidade é você conseguir fazer hoje sem impactar o seu amanhã então é Você consome os recursos hoje mas só que você não vai impactar que a próxima geração consuma esses mesmos recursos depois então se você cria algo que legal gerou o seu valor hoje legal você ficou saciado hoje mas a galera de amanhã vai se ferrar cara você não foi sustentável a gente tem que botar um esg Então dentro do desenvolvimento software na verdade eh m é que o SG ficou muito muito popular certo mas o SG ele é basicamente um um um grito de use um bom senso sim entendeu porque no final das contas é assim gente cara como que você faz isso como que você não é transparente Como que você não aplica governança Como que você não aplica segurança Esse é o SG é é o básico e o SG também virou uma uma moeda da financeira As pessoas só fazem negócio com pessoas que cumprem entendeu então virou muito não gostei do Rumo Que que foi o SG devia ser muito mais propósito e e e Essência mas o mundo do capitalismo é o que deveria ser Def né exato essa essa essa é minha angústia entendeu Zé Essa é a minha angústia o o acho que o meu ponto é recado pros citos pros C pro CE gos eh pro si qualquer coisa porque também também é responsabilidade do negócio enquanto a gente tiver metas que são extremamente locais e temporais a gente não consegue ter sustentabilidade porque a entrega de amanhã o pãozinho quente de amanhã é sempre mais importante do que manter a farinha disponível todo dia para ter pão sempre né E e a Alguém tem que ter uma visão conjunta disso de do do dos riscos e da sustentabilidade do ecossistema então a gente viveu um momento aí de transformação digital muito bacana onde os times ganharam autonomia eh tiveram metas individuais e tal produtos autônomos Mas alguém tem que olhar por tudo você quer polêmica quer polêmica quero a gente ainda não passou pela transformação digital a gente passou por ações digitais que é totalmente diferente porque o o legado foi transformado foi continua a mesma merda desculpa continu mes continuou a mesma coisa então a gente não passou uma transformação digital a nós tivemos ações digitais que criaram mais uma camada de complexidade dentro do ecossistema e no final das contas só geraram mais problema e não solução entendeu então assim eh minha minha visão é que eh Em algum momento as eh a a velocidade de de evolução tecnológica vai exigir que a nossa modernidade cultural nas empresas ela foca em questões estruturantes porque não vai dar para manter o ecossistema do jeito que tá isso isso não um outro Episódio maravilhoso hoje ah 50 episódios ter você vai ter que voltar aqui pela 45ª vez cara com o Zé aqui para falar também de segurança porque tem muita vulnerabilidade aí que Jesus do céu eh meus amigos muito obrigado pela presença de vocês acho que a gente conseguiu dar uma boa visão aqui do que é vazamento de dados do que que a gente tem que tomar cuidado do do do de como a gente consegue ter algum tipo de controle acho que tanto do lado de governança ali de de de como orquestrar esse Dado quanto do dos pontos técnicos leg acho que a gente conseguiu dar uma boa visão acho que tirou o sono de bastante gente esse era o objetivo né é isso é bom né pessoal tá atento aí no nos problemas o que a gente passa no dia a dia né r e certeza que tem gente que vibrou aqui com a gente falando isso acontece comigo também meu Deus do céu sem dúvida é isso aí sem dúvida rud obrigado pela 49ª vez cara você é sempre você é pop aqui tá ligado você é pop aqui né só pop sou Agro brincade eu sou rud sou rud a mas é um prazer sempre estar aqui sempre Poxa conversar bebendo com amigos Poxa maravilha maravilha É isso aí coisa Zé você faz um tempo que não vem mas você sabe que você é da casa né cara com certeza fico sempre feliz aí satisfeito de estar aqui com vocês aqui com a galera que eu conheço aqui também e muito bom trazer um pouco mais de de assunto de segurança né trocar ideia tomar uma cerveja aqui e falar de tecnologia como um todo aí obrigado continua assim não ataca a gente tá obrigado não fica tranquilo então aqui segura sem saber eu continuo ainda você acha que ele vai contar vai contar deixa você fazer alguma coisa daqui a pouco ele aparece aqui ó T obrigado meus amigos vocês que acompanharam a gente até agora muito obrigado pela audiência de vocês se você acha que pode contribuir ainda mais com com o nosso podcast além do seu like além do seu curtir que que você vai deixar aqui nesse Episódio eh pelo conteúdo que a gente criou você pode ser colaborador tem um nome específico padrinho padrinho não não é padrinho Car qual que o nome que você deu pro eu não sei não tem nome eu preciso cuidar melhor disso né Eu já falei eu são os compiladores que não pode ser PPT não pode ser PPT Lovers porque a gente não ama PPT a gente ama o negócio fazer negó da mass então você pode ir lá e ser membro do canal lá no YouTube e você vai contribuir com a cerveja do rud no próximo episódio por favor gente ajuda aí é exatamente então se você puder contribuir se você acha que a gente contribui pra sua vida profissional de alguma forma pra estratégia da sua empresa contribua com o nosso trabalho se você não pode você já ajuda demais compartilhando esse episódio dando seu like jogando aí na na sua rede social manda lá no teams da empresa fala á galera Ó ó fica de olho aí faz uma publicação no Linkedin marca lá a gente ó sempre tem postagem dos episódios Vai lá dá um recompartilhar coloca o que você mais gostou do episódio É isso aí então curte a gente aí ajuda a divulgar a palavra da tecnologia com cerveja que é sempre uma boa combinação que você falou a palavra de tecnologia me deu um gatilho aqui isso Pastoral exatamente É eu sei eu sei depois depois eu falo que você pastor você não gosta obrigado pela audiência de vocês um abraço até a próxima valeu [Música] obrigado i [Música]