[Retrospectiva] YUm ano de grandes perdas para o mercado :(

2025 foi um ano triste para o mercado brasileiro de tecnologia e de segurança. Perdemos alguns profissionais que foram muito relevantes nas respectivas comunidades, e que merecem todo o nosso respeito, admiração e saudades.

Por isso, quero deixar essa singela homenagem para eles:

• Danton Nunes
• Sickeira
• Liane Tarouco
• Rubens Kühl

Descansem em paz, e obrigado pelos peixes!

[Segurança] Férias mais seguras no mundo digital

Durante o período de férias escolares, as crianças ficam mais tempo online - e a curiosidade digital pode sair do controle. Por isso, o Instituto Teckids preparou o e-book Guia de Férias - Proteção Digital e Física para Responsáveis por Crianças e Adolescentes com orientações práticas para mães, pais e responsáveis (além de educadores) cuidarem do uso de jogos, Internet e telas durante as férias, sem estresse e sem medo.

O e-book foi criado para ajudar famílias reais e responsáveis, um guia prático com orientações claras e foco em proteção, diálogo e vínculo. O guia aborda jogos online, redes sociais e o risco de exposição excessiva, entre outros assuntos.

O material é gratuito, acesse o site e receba o e-book.

Porque férias boas são aquelas em que todo mundo fica mais seguro ;)

[Carreira] Inscrições abertas no "Do Zero Ao Um"

O projeto Do Zero Ao Um da Mente Binária está com inscrições abertas!

O Do Zero Ao Um é um curso 100% gratuito que forma pessoas negras em conceitos básicos computação, com foco em cibersegurança e voltado para a preparação e inserção dos participantes no mercado de trabalho.

São 4 meses de aulas online e ao vivo, de 09/03/2026 a 10/07/2026, com mentoria individual, acompanhamento próximo e uma formação pensada para quem quer começar, mesmo sem experiência prévia na área. O curso tem duração de 300 horas, dividido em 3 módulos de 6 semanas. As aulas acontecem de segunda a sexta-feira, das 19h às 22h e aos sábados das 10h às 11h.

As inscrições vão de 16/01/2026 a 11/02/2026 e as vagas são limitadas!

Os principais pré-requisitos são ter ensino médio completo, se identificar como pessoa negra ou parda, possuir computador próprio (celular não serve), ter acesso a Internet e e-mail e possuir noções básicas de Windows. O curso é 100% online e, portanto, pode ser feito por pessoas de qualquer canto do país. Na ultima turma tivemos alunos de 14 estados diferentes, 30% do Nordeste

Mais detalhes e o formulário de inscrição estão disponíveis na página Do Zero Ao Um.

Essa não é só uma inscrição, é o primeiro passo para transformar acesso em oportunidade.

Para saber mais: https://menteb.in/dozeroaoum.

[Carreira] Carta de Oposição ao SINDPD 2026

Todo o início do ano boa parte da galera que trabalha com tecnologia tem um compromisso marcado: entregar a carta de oposição a Contribuição Assistencial lá no Sindicato dos Trabalhadores em Processamento de Dados e Tecnologia da Informação do Estado de São Paulo (SINDPD).

A Contribuição Assistencial é descontada mensalmente do salário do trabalhador, no valor de R$ 35. Ela não é obrigatória, mas para não ocorrer, o empregado deve manifestar formalmente que se opõe ao desconto.

Para não ter esse valor descontado automaticamente do seu salário todo mês, é necessário entregar pessoalmente sua carta de oposição. Por isso, todos os trabalhadores filiados ao SINDPD tem o prazo de dez dias corridos, de 05/01 a 14/01, para entregar pessoalmente (e presencialmente) a carta de oposição a Contribuição Assistencial em 2026. Eu sugiro ir o mais cedo possível, para evitar filas!

Isso se aplica a todas as pessoas que são filiadas ao SINDPD - ou por vontade própria ou porque a empresa em que trabalha é filiada. Geralmente, quem trabalha na área de tecnologia ou de segurança, ou é contratado por uma empresa de tecnologia, está filiado ao SINDPD. Você pode conferir isso na sua carteira de trabalho (CTPS).

Agora vem uma pitada de verdade: Apesar do próprio SINDPD destacar que "A decisão sobre a oposição à contribuição assistencial é uma prerrogativa exclusiva do trabalhador, sem qualquer interferência do empregador ou terceiros sob pena de multa da CCT. A autonomia deve ser plenamente respeitada, sob risco de responsabilização por práticas antissindicais.", algumas empresas simplesmente evitam alertar e orientar os seus funcionários sobre a possibilidade de oposição a Contribuição Assistencial para não criar animosidade com o sindicato! Sim, é uma triste verdade. Eu mesmo, Anchises, ouvi isso do diretor de RH de uma empresa em que trabalhei.

Não se esqueça:

• Prazo para entrega da carta de oposição: 05 a 14 de janeiro de 2026, de segunda a sábado, das 9h as 17h
• Local de entrega em São Paulo, Capital: Clube Atlético Juventus, na R. Comendador Roberto Ugolini, 152 (Mooca), CEP 03125-010
• Não serão aceitas cartas para o exercido à Oposição através de e-mail, Whatsapp ou qualquer forma online.

Informações adicionais:

• Veja um modelo de carta de oposição, usado em 2024, aqui no meu blog.
• COMUNICADO I Exercício à Oposição 2026 (PDF)
• Esse comunicado foi publicado na Folha de São Paulo em 13/12/2025
• Aqui no blog:
• Carta de Oposição ao SINDPD 2024
• Não se esqueça da Carta de Oposição ao SINDPD 2022
• Carta de Oposição ao SINDPD 2020
• Chantagem dos sindicatos?
• Tentando explicar as contribuições ao sindicato e sua obrigatoriedade
• Dúvidas sobre a Contribuição ao Sindicato
• Post de 2013, quando comecei a alertar sobre isso aqui no blog: Via Crucis ao SindPD

Boas Festas!

Essa é uma época para refletir sobre tudo o que batalhamos e conquistamos durante o ano e repensar os nossos sonhos e objetivos. Todo ano tem seus momentos bons e ruins, várias conquistas e algumas derrotas, pois afinal, essa é a vida: uma sequência de altos e baixos.

O importante é ter a consciência e a serenidade de saber que cada situação ruim pela qual passamos é um momento temporário, uma breve pausa até a próxima conquista. É importante pensarmos na nossa jornada, e aproveitar ela ao máximo.

Eu gosto muito dessa época do Natal e Ano Novo, é quando, tradicionalmente, aproveitamos para confraternizar com nossa família, amigos e pessoas que amamos. E os nossos pets, é claro! É um momento muito positivo do ano.

Nesse ano eu comprei uma guirlanda simples e a decorei com alguns objetos com temática nerd, como a estrela do Mario e a Estrela da Morte, feitos em 3D, além do Homen de Biscoito e um Tux com gorro de Natal, comprados da 3DConTech.

Boas festas!!

[Retrospectiva] As 25 vulnerabilidades de software mais perigosas de 2025

A CISA, em parceria com a MITRE, lançou a lista com as 25 vulnerabilidades de software mais perigosas de 2025 ("Top 25 Most Dangerous Software Weaknesses"), segundo a CWE. Esta lista identifica as vulnerabilidades mais críticas de software, que os adversários exploram para comprometer sistemas, roubar dados ou interromper serviços.

Essa lista é atualizada anualmente e é baseada na Common Weakness Enumeration (CWE), um padrão de nomenclatura para vulnerabilidades de software, bem extensa e completa. Ela também indica quantas vulnerabilidades conhecidas (CVEs) foram exploradas por atacantes, e estão listadas no catálogo "Known Exploited Vulnerabilities" (KEV) - um indicador importante, que mostra que essa vulnerabilidade foi explorada por atacantes.

Segue a lista:

1. CWE-79 - Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
   CVEs no KEV: 7 - Posição no ano passado: 1
2. CWE-89 - Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
   CVEs in KEV: 4 - Posição no ano passado: 3 
3. CWE-352 - Cross-Site Request Forgery (CSRF)
   CVEs in KEV: 0 - Posição no ano passado: 4 
4. CWE-862 - Missing Authorization
   CVEs in KEV: 0 - Posição no ano passado: 9 
5. CWE-787 - Out-of-bounds Write
   CVEs in KEV: 12 - Posição no ano passado: 2 
6. CWE-22 - Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
   CVEs in KEV: 10 - Posição no ano passado: 5 
7. CWE-416 - Use After Free
   CVEs in KEV: 14 - Posição no ano passado: 8 
8. CWE-125 - Out-of-bounds Read
   CVEs in KEV: 3 - Posição no ano passado: 6 
9. CWE-78 - Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
   CVEs in KEV: 20 - Posição no ano passado: 7 
10. CWE-94 - Improper Control of Generation of Code ('Code Injection')
    CVEs in KEV: 7 - Posição no ano passado: 11 
11. CWE-120 - Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
    CVEs in KEV: 0 - Posição no ano passado: N/A
12. CWE-434 - Unrestricted Upload of File with Dangerous Type
    CVEs in KEV: 4 - Posição no ano passado: 10 
13. CWE-476 - NULL Pointer Dereference
    CVEs in KEV: 0 - Posição no ano passado: 21 
14. CWE-121 - Stack-based Buffer Overflow
    CVEs in KEV: 4 - Posição no ano passado: N/A
15. CWE-502 - Deserialization of Untrusted Data
    CVEs in KEV: 11 - Posição no ano passado: 16 
16. CWE-122 - Heap-based Buffer Overflow
    CVEs in KEV: 6 - Posição no ano passado: N/A
17. CWE-863 - Incorrect Authorization
    CVEs in KEV: 4 - Posição no ano passado: 18 
18. CWE-20 - Improper Input Validation
    CVEs in KEV: 2 - Posição no ano passado: 12 
19. CWE-284 - Improper Access Control
    CVEs in KEV: 1 - Posição no ano passado: N/A
20. CWE-200 - Exposure of Sensitive Information to an Unauthorized Actor
    CVEs in KEV: 1 - Posição no ano passado: 17 
21. CWE-306 - Missing Authentication for Critical Function
    CVEs in KEV: 11 - Posição no ano passado: 25 
22. CWE-918 - Server-Side Request Forgery (SSRF)
    CVEs in KEV: 0 - Posição no ano passado: 19 
23. CWE-77 - Improper Neutralization of Special Elements used in a Command ('Command Injection')
    CVEs in KEV: 2 - Posição no ano passado: 13 
24. CWE-639 - Authorization Bypass Through User-Controlled Key
    CVEs in KEV: 0 - Posição no ano passado: 30 
25. CWE-770 - Allocation of Resources Without Limits or Throttling
    CVEs in KEV: 0 - Posição no ano passado: 26 

Esta lista é muito útil para educar os times de desenvolvimento sobre os principais erros a serem evitados.

Para saber mais:

• 2025 CWE Top 25 Most Dangerous Software Weaknesses
• CWE Top 25 Most Dangerous Software Weaknesses
• Common Weakness Enumeration (CWE)
• Known Exploited Vulnerabilities Catalog (CISA)

[Segurança] Calendário de eventos de Cibersegurança em 2026

Todo ano eu costumo publicar a lista com os eventos de segurança que eu considero serem os mais relevantes do mercado. Sempre são duas postagens por ano, no primeiro e segundo semestre, com uma breve descrição do evento.

Em 2026 não será diferente, mas com a quantidade cada vez maior de eventos, e 2026 prometendo ser bombástico, eu achei melhor compartilhar um spoiler.

Sim, eu já mapeei mais de 40 eventos que acontecerão no ano que vem, contando apenas aqueles que eu considero como os mais relevantes!

Então, já comece a planejar sua jornada:

• No Mundo:
• 23 e 24 de Janeiro de 2026: BSides Panamá (Panamá)
• 23 a 26 de Março de 2026: RSA Conference (São Francisco, EUA)
• 22 a 25 de Abril de 2026: BSides Colombia (Pereira, Colombia)
• 11 a 14 de Maio de 2026: LACNIC 45 (Guadalajara, México)
• 21 e 22 de Maio de 2026: Ekoparty Miami (cfp)  (Miami Beach, FL, EUA)
• 14 a 19 de Junho de 2026: 38th Annual FIRST Conference (Denver, EUA)
• 17 de Julho de 2026: BSides CDMX (México, DF)
• 03 de Agosto de 2026: BRHueCon (Las Vegas, EUA)
• 03 e 05 de Agosto de 2026: BSidesLV (Las Vegas, EUA)
• 04 e 04 de Agosto de 2026: Conferência Gartner Segurança & Gestão de Risco 2026
• 04 a 06 de Agosto de 2026: Black Hat US (Las Vegas, EUA)
• 06 a 09 de Agosto de 2026: Defcon 34 (Las Vegas, EUA)
• No Brasil:
• 31 de Janeiro de 2026: Oxum Sec (Salvador, BA)
• 26 e 27 de Fevereiro de 2026: Digital Investigation Conference Brazil 2026 (DICB) (Porto Alegre, RS)
• 28 de Fevereiro de 2026: BSides Fortaleza (Fortaleza, CE)
• 04 de Março de 2026: Security Leaders Brasília (Brasília, DF)
• 07 de Março de 2026: Hack in Cariri (Juazeiro do Norte, CE)
• 18 à 20 de Março de 2026: SecOps Summit (cfp) (Porto Alegre, RS)
• 21 de Março de 2026: Hacking na Web Day Brasília (Brasília, DF)
• 28 de Março de 2026: BSides Rio de Janeiro (BSidesRJ) (Rio de Janeiro, RJ) (cfp)
• 01 de Abril de 2026: Security Leaders Rio de Janeiro (Rio de Janeiro, RJ)
• 11 de Abril de 2026: 0x3 Hacker Conference (Maceió, AL)
• 17 a 19 de Abril de 2026: Security Leaders Cyber Arena 2026 (Guarujá, SP)
• 25 de Abril de 2026: Fortalsec (Fortaleza, CE)
• 25 de Abril de 2026: BSides Floripa (Florianópolis, SC) (cfp)
• 12 de Maio de 2026: Security Leaders Belo Horizonte (Belo Horizonte, MG)
• 14 de Maio de 2026: Sirena Conference (@sirena.conference)
• 16 e 17 de Maio de 2026: Security BSides São Paulo (@BSidesSP)
• 18 de Maio de 2026: You Sh0t the Sheriff (YSTS) (@ystscon)
• 27 de Maio de 2026: Security Leaders Porto Alegre (Porto Alegre, RS)
• 06 de Junho de 2026: BSides Recife (Recife, PE) (cfp) (@bsidesrecife)
• 10 de Junho de 2026: Security Leaders Curitiba (Curitiba, PR)
• 13 de Junho de 2026: BSides VIX (Vitória, ES) (@bsidesvitoria)
• 17 de Junho de 2026: Security Leaders Floripa (Florianópolis, SC)
• 26 e 27 de Junho de 2026: 8.8 Brasil
• 25 de Julho de 2026: BSides Porto Alegre (Porto Alegre, RS)
• 12 de Agosto de 2026: Security Leaders Recife (Recife, PE)
• 22 de Agosto de 2026: bxsec (Santos, SP)
• 24 a 26 de Agosto de 2026: Febraban Tech (tem novidades para 2026!)
• 29 de Agosto de 2026: Hack'a Valley - Security Conference (Pindamonhangaba, SP)
• 10 de Setembro de 2026: Security Leaders Salvador (Salvador, BA)
• 19 de Setembro de 2026: XibéSec (Belém, PA)
• 23 de Setembro de 2026: Security Leaders Fortaleza (Fortaleza, CE)
• 17 de Outubro de 2026: Hacking na Web Day São Paulo
• 21 e 22 de Outubro de 2026: Security Leaders Nacional 2026
• 07 de Novembro de 2026: Nullbyte Security Conference (Salvador, BA)
• 14 de Novembro de 2026: BSides Brasília (@bsidesbsb)
• 28 e 29 de Novembro de 2026: BHACK (@bhack) (Belo Horizonte, MG)
• 11 de Dezembro de 2026: Security Leaders Premiação

Outros eventos dignos de nota:

• 22 e 23 de Abril de 2026: IAM Tech Day
• 18 e 20 de Novembro de 2026: SuriCon 2026 (Lisboa, Portugal)

Em breve eu publicarei aqui no blog a minha tradicional avaliação dos eventos de 2025 e a lista mais detalhadas de eventos no primeiro semestre de 2026.

Para saber mais:

• Não deixe de acompanhar os principais eventos no mundo todo pelo site InfoSecMap.
• Roadmap 2026 do Security Leaders
• Aqui no Blog:
• Teremos H2HC neste ano?
• Eventos de Segurança no primeiro semestre de 2025
• Eventos de segurança no segundo semestre de 2025
• Prepare-se para muitas conferências BSides em 2026

PS: Post atualizado em 11 e 20/01.

[Segurança] 10 dicas para evitar golpes nas compras de Natal

Todas as datas festivas acabam atraindo a atenção de cibercriminosos, principalmente se são associados à um grande aumento nas compras (tradicionais e online). Isso acontece no dia das Mães, Black Friday e Natal, que vai acontecer na próxima semana.

Nesta época do ano os clientes são bombardeados com centenas de ofertas, e as quadrilhas aproveitam o momento de euforia dos consumidores para aplicar seus golpes. A grande maioria são baseados em engenharia social, em manipular a vítima a ponto dela fornecer dados pessoais ou financeiros, ou clicar em links maliciosos que podem infectar seu computador ou celular.

.

Por isso, a Febraban separou 15 dicas para evitar golpes nas compras de Natal, que eu adaptei para a lista abaixo:

1. Desconfie das promoções muito vantajosas, cujos preços sejam muito menores que o valor real do produto. Pesquise a média de preços pelo próprio Google e em vários sites conhecidos;
2. Desconfie de abordagens muito imediatistas e urgentes, em que alguém diga que há uma grande oportunidade de compra, pedindo que o pagamento seja feito naquele momento para que o cliente não perca o produto;
3. Nunca clique em links recebidos em e-mails, mensagens de WhatsApp, em redes sociais e pelo SMS. Para acessar algum site, digite você mesmo o endereço do site da loja no seu navegador;
4. Se receber um e-mail promocional, fique atento ao endereço de e-mail do remetente. Empresas de grande porte não utilizam contas privadas como @gmail, @hotmail ou @terra e entidades públicas sempre usam @gov.br ou @org.br;
5. Antes de fazer qualquer pagamento, por PIX, boleto ou cartão, confira a identidade do destinatário do pagamento. Só após uma checagem detalhada, faça o pagamento;
6. Sempre use o cartão virtual para realizar compras online;
7. Se for pagar com Pix, sempre faça o pagamento dentro do ambiente da loja virtual. Quando o varejista fornecer o código QR Code, confira com atenção todos os dados do pagamento e se a loja escolhida é realmente quem irá receber o dinheiro;
8. Cuidado em compras nas redes sociais. O consumidor deve verificar se a página tem selo de autenticação, número de seguidores compatíveis e também comentários de outros compradores sobre as compras e prazos de entregas;
9. Nunca use um computador público ou de um estranho para efetuar compras, nem coloque seus dados bancários;
10. Muito cuidado com o seu cartão ao comprar em lojas físicas, shoppings e comércios de rua. Passe você mesmo o cartão na maquininha em vez de entregá-lo para outra pessoa, e sempre confira o valor da compra na maquininha antes de digitar a sua senha. Ao finalizar uma compra na maquininha, verifique o nome no cartão para ter certeza de que realmente é o seu, pois golpistas costumam se aproveitar de distrações para trocar o seu cartão.

A lista original tinha mais algumas dicas importantes, mas que deixei destacado por não serem relacionadas às compras natalinas:

1. Cuidado com suas senhas: nunca use dados pessoais como senha (ex. data de aniversário, placa de carro etc.), nem números repetidos ou sequenciais (ex. 1111 ou 1234). Não anote senhas em papel, no celular, no computador ou em e-mails;
2. Sempre ative a função de “duplo fator de autenticação” em suas contas na internet que oferecem essa opção, tais como e-mail, redes sociais, aplicativos e sistemas operacionais;
3. Cuidado com o que compartilha nas redes sociais, pois um simples post pode dar muitas informações sobre você para os golpistas.

Para saber mais:

• Veja 15 dicas para evitar golpes nas compras de Natal
• Veja 15 dicas para evitar cair em golpes no Natal
• “Golpe da Falsa Venda” lidera ranking de fraudes contra clientes
• Vai às compras de fim de ano? Veja como golpistas agem no período

[Segurança] Teaser do Documentário Hacker Hackeia

Durante a 307 Temporary Security Conference, o Carlos Cabral e o Willian Caprino apresentaram um pequeno teaser de quase 18 minutos do documentário que eles estão criando sobre o início da cena hacker brasileira - um recorte do que aconteceu entre os anos 1980 e 2.000, com as pessoas que fizeram parte desse momento.

Durante 2025 eles gravaram entrevistas com diversas pessoas, e durante 2026 vão fazer a montagem do filme. O título provisório é "Hacker Hackeia" e, segundo eles, bem provavelmente esse será o título final.

Divirta-se e se apaixone pelo projeto:

[Segurança] Boas-vindas ao GTS 40 !

Hoje, segunda-feira dia 15 de dezembro, acontece o 40º encontro do GTS (Grupo de Trabalho em Segurança de Redes), um dos mais antigos e tradicionais eventos de cibersegurança do nosso mercado, sempre com palestras técnicas de qualidade.

O GTS e GTER (que acontece na terça-feira) são híbridos, com participação presencial e transmissão online.

Para ver a agenda e saber de todas as novidades do evento, acesse o site do GTER | GTS.

Informações úteis:

• Data: 15 de dezembro de 2025;
• Horário: 8h30 às 18h;
• Local: Centro de Convenções Rebouças - Avenida Rebouças, 600 - Pinheiros, São Paulo – SP
• Para acompanhar o evento de forma remota:
• Link para a transmissão online, no YouTube
• Os espectadores poderão interagir entre si e enviar suas perguntas via chat do YouTube. Elas serão repassadas aos palestrantes mediante moderação e se houver tempo hábil para respostas.

Veja os vídeos com as apresentações do GTS-40:

• Palestras no período da manhã
• Palestras no período da tarde

      

A propósito, o homenageado na edição 2025 do Prêmio Alberto Courrège Gomide é o Danton Nunes. Ele foi um dos pioneiros da Internet no Brasil, sendo membro do GTER desde sua primeira reunião, em 1996.

Para saber mais:

• https://gtergts.nic.br
• 15ª Semana da Infraestrutura da Internet no Brasil: o ponto de encontro da comunidade que faz a Internet funcionar

PS: Post atualizado em 16/12. Pequena atualização em 21/01/2026.