Devemos celebrar ou criticar a confer¬ncia que reúne especialistas em segurança como astros do rock? Uma breve retrospectiva da edição deste ano
Durante a Black Hat 2019, que aconteceu no início de agosto, os especialistas em segurança foram recebidos como astros do rock. Arena cheia, iluminação, alto-falantes com sons poderosos. Esse foi o cenário por trás de palestras sobre desenvolvimento seguro de software, melhores práticas de implantação, automação e mudança de cultura de segurança.
Certamente conferências de outras áreas, como medicina, contabilidade ou engenharia, não são feitas dessa forma. Mas então o que a glorificação de especialistas em segurança diz sobre o mundo em que vivemos? Devemos celebrar ou criticar o show?
A Black Hat é uma conferência que chama a atenção por si só. Além de ter fins lucrativos, o evento aconteceu em um cassino chamativo de Las Vegas, projetado para impressionar os compradores que fazem suas aquisições no andar de exposição. Para os iniciantes, a Information Security (InfoSec) pode ser considerada uma disciplina assustadora e enigmática, e parece que até mesmo o logo da Black Hat foi elaborado para transmitir essa mensagem aos menos informados: há magia acontecendo, mas nossos magos no andar da exposição vão resolver o problema para você por um pagamento anual de baixo custo.
O lado sombrio de todo o cenário chamativo aconteceu no segundo dia de evento, quando uma palestra patrocinada não deu muito certo. Um homem chamado Robert Grant, de uma empresa conhecida como Crown Sterling, deu uma palestra (não examinada pelo rigoroso processo da Black Hat) intitulada “A descoberta de números quase primos em 2019: o que isso significa para a criptografia?“. As falas foram tão impopulares entre os criptógrafos que o famoso especialista em segurança Dan Guido se levantou e desafiou o palestrante durante a sua apresentação. Os seguranças expulsaram Guido da conversa, o que foi uma grande vitória para Grant, que estava claramente esperando ganhar dinheiro com a Black Hat.
A polêmica foi tão grande, que a própria Black Hat se desculpou por não ter examinado a palestra mais de perto, e até mesmo removeu a palestra do site da conferência para garantir que a marca Black Hat não possa ser mal utilizada por um patrocinador.
Apesar de ter rendido muito assunto, os “números quase primos” de Grant não foram o ponto alto do evento. O brilho e o glamour da conferência captam a atenção necessária para as questões de segurança, mas também atraem diversos curiosos, manipuladores e pessoas de baixa reputação.
Durante o Black Hat – no Pwnie Awards – também teve distribuição de Pwnies! Uma das premiações foi para uma história sobre backdoors de hardware “grão de arroz” na cadeia de suprimento Super Micro sem qualquer evidência para apoiar a acusação.
“A história tinha todo o chavão que faz qualquer CISO querer se aposentar: a interdição da cadeia de suprimentos, patrocinada pelo Estado, a China, Snowden”, declarou o prêmio Pwnie . Dizia-se que afetava grandes bancos, contratados do governo e até mesmo a empresa que todos aspiram ser, a Apple. Essa era definitivamente a história de segurança do ano, talvez da década, exceto por um pequeno detalhe.
Não satisfeitos em conceder um Pwnie ao bug, os juízes concederam o Pwnie pela maior falha épica à Bloomberg, que relatou a história do “grão de arroz”.
Apesar das chacotas, os Pwnies também marcaram bons trabalhos, incluindo o prêmio para a maioria das pesquisas sobre o Jatin Kataria e a Red Balloon Security por sua descoberta da vulnerabilidade de Thangrycat. O pessoal do Pwnie também premiou uma conquista épica para Steve Christey Coley.
Com todo o investimento digno de shows de rock, o brilho e o glamour, parece que a segurança digital precisa tornar tudo mais sério, investindo em questões de segurança da informação. Como indústria, temos muito trabalho a fazer. Como sociedade, temos muito o que fazer. O que tudo isso significa para a nossa política? A economia? Como vivemos nossas vidas? Temos um longo caminho a percorrer, mas saberemos que alcançamos o sucesso quando trabalhar em segurança se tornar tão chato quanto ser contador.
