December 9, 2025 • 52 mins
Neste episódio, colocamos a armadura do Tony Stark e abrimos o HUD para olhar a segurança de software por outro ângulo: modelagem de ameaças. Sem enrolação, discutimos como pensar como o herói e antecipar ataques antes que eles aconteçam é a verdadeira fonte de poder no desenvolvimento seguro. De STRIDE a cenários reais, mostramos como transformar sua aplicação em uma Mark 50: elegante, eficiente e preparada para pancadaria digital. Exploramos exemplos práticos, padrões mentais e decisões arquiteturais que separam o código blindado do código “vamos torcer para não explodir”. É AppSec com estilo, estratégia e um toque Stark de ironia. Se você quer elevar seu nível de defesa sem travar a inovação, este episódio é o seu laboratório.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:27):
Olá pessoal, bem com vocês?
Sejam muito bem vindos a mais um episódio do Devisecops Podcast.
Eu sou o Cassio Pereira, o seu host, que vos apresenta mais uma vez o nosso podcast desegurança, mais especificamente segurança de aplicações, Devisecops, AppSec, a porra toda
relacionada a isso.
(00:48):
Hoje é episódio solo, porque o senhor Marcos está passeando, viajando pelo Brasil,enquanto o senhor Benyur...
trabalhando, ocupado e eu aqui vagabondiando, como sempre, para trazer esse conteúdo aquipara vocês.
Pessoal, hoje é episódio especial porque hoje a gente vai começar uma série que eu tenhomuito orgulho, na verdade, que é a série do Iron Man.
(01:10):
Epsec Homem de Ferro.
Pois é, essa série que eu criei livro, escrevi livro que está disponível gratuitamente,não precisa pagar nada, não precisa botar e-mail lugar nenhum, se cadastrar, você vai lá e
baixa, casodeveloper.com.br, tá lá o livro.
só baixar e também tem apresentação né eu fiz toda uma apresentação a palestra baseadanesse conteúdo na verdade primeiro foi apresentação depois escrevi o livro né então tem
(01:33):
uma apresentação onde eu apresento diversos eventos inclusive há duas semanas atrásapresentei na b-side porto já apresentei na b-side cracov a b-side budapeste e outros
eventos ao redor do mundo inclusive b-side londres também então é alguns continentes aíque puderam ter alguns não né um continente né só na europa
onde puder não ter o prazer de poder ter acompanhado esse material que eu tenho muitoorgulho e também apresentei no Brasil, obviamente.
(02:00):
Pessoal, antes de começar a nossa série, acho que vai ser dividida uns quatro ou cincoepisódios.
É uma série solo, os meninos não vão participar, porque é conteúdo que eu fiz,praticamente está tudo na minha cabeça, e não é debate, não uma discussão, é simplesmente
que eu quero entregar esse conteúdo para vocês de uma outra forma.
Então já tem no formato livro, já tem no formato apresentação, palestra, slides, eagora...
(02:21):
é aqui no podcast também, num formato mais áudio e vídeo.
podem me ver.
Para quem está aí no YouTube, minha companhia pelo YouTube, podem ver o meu novo visual.
Eu não vou falar para você estar ouvindo no podcast, no Spotify, enfim.
Vai lá no YouTube e dá uma olhadinha no novo visual desse rosto que vos fala.
Pessoal, antes de começar o nosso episódio, vamos sempre lembrar que a Nova 8 é adistribuidora da SNIC e Checkmarks no Brasil.
(02:47):
Nova 8 que suporta aqui o Davi Secoast Podcast.
desde sempre.
Muito obrigado, Nova 8.
Purple Bird Security, que vai cuidar de você durante e depois de incidente.
Purple Bird também que tem nos suportado com a nossa grande parceria junto com nosso amigoJefferson Macedo, que já gravou conosco aqui.
A Gold Security, com serviços especializados segurança de aplicações e a DigitalWalk, quetem portfólio completo para você, empresas lideradas por mim e o nosso grande Rodrigo
(03:15):
Balbino.
que também esteve conosco aqui durante algumas temporadas aqui no podcast.
E mais recentemente a Conviso, é especializada em segurança de aplicações, ela ajudaempresas que lidam com dados sensíveis como fintechs, bancos, healthtechs e plataformas
digitais a fortalecerem toda a gestão de segurança de software desde o desenvolvimento atéa produção.
Então a Conviso do nosso grande amigo Wagner, que também nos apoia aqui no DevSecOpsPodcast.
(03:41):
Pessoal, vamos lá, o negócio é o seguinte.
pra gente começar essa série aqui alto nível, né?
Primeiro, você vai baixar o livro, tá?
Você vai lá no meu site, cassodeveloper.com.br, vai ter lá uma sessão de projetos e tem láa capa bem grande do Homem de Ferro, Literalmente aquele primeiro artefato que ele usa no
peito ali no primeiro filme, tá lá como capa do livro e você baixa.
(04:05):
Não precisa botar e-mail, não precisa se cadastrar, não precisa mandar mensagem, nãoprecisa seguir ninguém, fazer nada.
Você vai lá e clica e baixa o PDF, tá?
Se meu site não for hackeado, não é vírus, pode baixar o PDF que tá tudo bem seguro, tábom?
E esse livro tá português, com a grande colaboração da minha irmã Emily Silva, quetraduziu o livro pra mim, porque em primeira versão eu escrevi esse livro inglês, tá?
(04:28):
Escrevi ele inglês e aí a minha irmã fez a tradução pra nós em português, facilita muitonosso trabalho, nossa escala aí, tá bom?
Então fica aí os créditos também pra nossa grande, que queremos aqui também no podcast,né?
minha irmã, Emily Silva.
E a irmã não é irmã, boca pra fora, não, é minha irmã mesmo, tá?
Que trabalha também com a gente na área de Epsec, tá bom?
Então, abraço aí pra ela e obrigado pela tradução.
(04:50):
Pessoal, então, assim, baixa o livro.
Primeira coisa, por quê?
Porque o livro vai ter muito mais detalhes do tudo que eu tô falando aqui pra vocês.
Que, obviamente, gente não vai conseguir cobrir tudo, especificamente, o livro vai tetrazer muito mais detalhes.
Inclusive, no livro tem uns links a cada...
por cada parte do livro onde eu estou fazendo referência aos filmes e tal, eu trago o linkda cena do filme.
Então você vai clicar, vai assistir a cena e tal, tem toda uma imersão diferente desseformato aqui.
(05:15):
Então o livro diria que é a sua primeira coisa que você tem que fazer.
Ai, Cassio, mas eu tenho preguiça de ler o livro, não sei o quê.
Então você desliga e sai fora e vai fazer outra coisa da sua vida.
Mas ainda assim você quer uma chance?
Tá bom, então você vai lá no castetvelover.com.br, barra, AppSec, tracinho, Iron Man.
Epsec, Tracinho, Aeroman.
E aí, camel case, né?
(05:35):
O A, o S maiúsculo, o I e o maiúsculo, tá?
Esse link é o link da apresentação que também tá inglês, breve vai ter português, masainda tá inglês, que é a apresentação que eu criei, foi a primeira coisa que eu fiz desse
projeto, Epsec, Aeroman, ou Epsec, Almeida de Inferno, foi essa apresentação.
Então eu criei os slides, criei a apresentação, criei a história e a narrativa praapresentar isso em alguns eventos, algumas conferências aí.
(05:55):
Deu muito certo, tá dando muito certo.
e esse conteúdo foi a primeira coisa que eu fiz.
aí, conteúdo foi que eu escrevi o livro, né?
Resolvi colocar mais detalhes, mais informações lá, enfim, abrangei tudo que não cabe napalestra.
Na verdade, isso aqui vira uma palestra já de uma hora, duas horas e workshop de quatrohoras, né?
Então, é conteúdo, é muita coisa, tem muita coisa mesmo.
Por isso que aqui no podcast a gente vai tentar, né?
(06:16):
Solver isso pra vocês quatro, cinco episódios, pra que vocês possam digerir isso, tá bom?
Mas vamos lá, então, você vai baixar o livro.
Tá?
E fica a vontade pra compartilhar esse livro com quem você quiser.
Baixa o PDF, no grupo do WhatsApp, manda por email, faz o que quiser, tá?
Não tem problema nenhum compartilhar.
Agora, você não pode modificar esse conteúdo, né?
Ele tem direitos autorais, eu que escrevi e tal, tal, tal.
(06:37):
Ele é gratuito, não precisa pagar nada, mas não vai me modificar, fazer bosta, né?
Use o negócio como deve ser usado.
É simples assim, tá?
É projeto gratuito, fica a vontade pra compartilhar com quem você quiser.
mas não modifique o conteúdo.
E se você quiser modificar o conteúdo, se inspirar nele, não tem problema.
Só botar meu nome lá, fala ó, fiz isso aqui inspirado no conteúdo desse original que é docaso.
(06:59):
Ponto final, tá bom?
Então não tem problema nenhum.
Agora, vamos lá, vamos começar.
Primeira coisa dessa apresentação é o primeiro tópico, gente fala de modelagem de ameaças.
É tópico que eu gosto muito, como vocês sabem.
Threat modeling.
Então esse será o nosso primeiro tema, nossa primeira discussão aqui no DevSecOps Podcast.
(07:25):
Boa, então a vinheta está funcionando.
Então, pessoal, vamos lá.
O que eu queria falar sobre modelagem de ameaças?
Na verdade, antes de entrar no tópico de fato, vamos lembrar do primeiro filme do Homem deFerro.
Lá no primeiro filme do Homem de Ferro, ele tem ali...
Ele foi sequestrado, para quem não lembra.
Vale lembrar, isso aqui não é spoiler nem nada.
Os filmes já são relativamente antigos e tal.
enfim.
Se você não assistiu, se prepare para spoilers.
(07:47):
Se você não gosta, eu garanto que você vai gostar.
E se você gosta, eu garanto que você vai olhar com outros olhos agora e vai se apaixonarainda mais.
pelos personagens, pelos filmes, enfim, e vai re-assistir agora com uma outra visão.
Eu sei que ferreir com sua vida, né?
Você vai gastar agora dois fim de semana e partir tudo de novo, mas tá bom, faz parte.
Bom, vamos lá, pessoal, então sem enrolação.
(08:08):
O primeiro filme do Homem de Ferro foi sequestrado.
Vale lembrar que o Tony Stark ele herdou do pai, o pai que é o Howard Stark.
O pai já tinha uma fábrica de armas, literalmente.
fez toda a fortuna ali dele fabricando armas e o Tony Stark herdou tudo isso e continuouali fabricando armas.
E o Tony Stark, meio que inocente, não sabe que as armas dele estão sendo enviadas para oBlack Market, vamos dizer assim.
(08:32):
Enfim, ele vai fazer uma apresentação lá no Oriente Médio de uns novos mísseis, que novomísseis que tem uma propulsão diferente, uma forma de voar diferente, vamos dizer assim,
que inclusive vai ser usado na armadura dele.
E os terroristas que estão lá naquela região onde ele vai apresentar, sequestram eleporque querem que ele fabrique
e, obviamente, ilegalmente, mas quer que ele fabrique aqueles mísseis ali pra ele, que sãoos mísseis de última tecnologia e tal, pra que aqueles terroristas tenham uma vantagem.
(08:58):
E ele se recusa, obviamente, mas ele é sequestrado com este fim.
E aí, sequestrado dentro de uma caverna, ele não consegue ser encontrado, ele não consegueser encontrado, na verdade não, ninguém consegue encontrá-lo, O governo americano junto
com o Coronel Rhodes, que eventualmente vai virar o patriota de fé, estão lá procurandoele, mas ele tá, obviamente, dentro de uma caverna irrastreável, não vão conseguir
encontrá-lo.
(09:19):
Ele, na caverna, pensa.
Poxa, cara.
Na verdade, ele tem companheiro lá que já está sequestrado também.
É tradutor, inclusive, dos idiomas que eles falam lá e tal.
Esqueci o nome do personagem agora.
Yen Sen, acho que é o Yen Sen.
Que ajuda o Tony Stark, coloca aquele ímã no peito dele, literalmente, para...
Os estilhaços da granada que explodiu perto dele vão para o coração dele, enfim.
(09:40):
Então aquilo ali mantém ele vivo.
E é o cara que salva a vida dele praticamente e dá uns conselhos ali para ele.
Enfim, vamos contextualizar aqui.
E aí nessa caverna ele já faz o primeiro trabalho de modelagem de ameaça.
Por quê?
Porque quando ele tá lá na caverna, ele...
Obviamente o filme não mostra isso, mas deixa muito claro, ele faz o seguinte, ele fala,pensa, eu preciso sair daqui.
Já tô aqui há uma semana, lá, não deixa muito claro quanto tempo ele tá ali, mas já vai láalguns dias, Já tô aqui, o próprio colega dele lá da cela, de cela, com ele fala, cara,
(10:10):
vão construir, a gente vai construir o bíceps pra eles e eles vão nos matar, né?
E o Tony Stark fala, bom, então temos que fugir daqui, né?
Não vai ter jeito, não vão achar a gente.
A gente tem que fugir daqui.
Então tem trabalho de modelagem e ameaça.
Obviamente ele não tem muita opção, ele tem que fugir ou ele vai morrer.
Mas ele tem trabalho de ameaça, modelagem e ameaça no sentido de, é possível fugir daqui?
(10:30):
O que eu tenho aqui?
Bom, querem que eu construa míssil, então eu uma certa tecnologia.
Eu tenho aqui os próprios míssils que me deram pra desmontar e montar na escala queprecisam lá.
Ele tem ali uma certas coisas, O pessoal até fala que ele tem uma caixa de sucatas ali nacaverna.
Ele pede para os caras equipamento de solda, precisão, ferramenta disso, daquilo e outro.
(10:51):
Então ele tem ali uma série de equipamentos, mas obviamente limitado.
Não tem laboratório, tem tudo aquilo à disposição.
Ele tem ali uma caverna, o talento dele, todo conhecimento, ele é gênio.
E ponto.
Então ele faz uma modelagem de ameaça.
Qual é a modelagem de ameaça que ele faz?
Bom, com o que eu tenho aqui, é possível construir algo, uma arma, uma armadura, o quequer que seja, que vai me permitir fugir daqui?
(11:15):
Fugir significa sair da caverna, obviamente ir o mais longe possível, eventualmente nãomorrer, porque eu quero fugir e também ficar vivo, e pode ser que eu precise atacar, não
vamos simplesmente deixar eu passar pela porta e ir embora, eu vou precisar atacar porquevão atirar mim, então preciso me defender.
Então ele tem ali alguns objetivos, fugir, atacar eventualmente, não morrer, e olha queinteressante, ele precisa pensar quais são as ameaças que estão aqui, as ameaças são
(11:43):
simples.
homens armados.
com o que eu tenho aqui, eu consigo lidar com esses homens armados?
E ele pensa, bom, sim, consigo.
Porque se não, gente, olha como é importante isso aqui.
Se ele pensa, não, o que eu construí aqui não vai ser suficiente pra eu fugir.
Então não vale a pena a construção, porque eu só vou gastar tempo e energia e vou morrerdo mesmo jeito.
Agora, é viável o meu projeto?
(12:06):
Ele é viável a ponto de pé?
Eu vou conseguir conter as minhas ameaças, estar protegido e fugir no final?
Sim, as chances são boas.
ele ainda toma tiro de raspão.
Para quem não lembra, na hora que ele sai da caverna, ele toma tiro de raspão na perna.
Passa ali até a joelha, com a armadura dele, enfim, mas ele eventualmente consegue fugir.
Então, perfeito, ele fez trabalho de modelagem de ameaça.
(12:26):
E aí, eu já gosto de falar para a gente que o seguinte, a modelagem de ameaça, gente, elanão é nada demais.
Ela é uma metodologia, um framework, jeito de fazer as coisas.
jeito de fazer algo específico nesse contexto de modelagem de ameaça.
Eu sempre gosto de falar que assim...
é jeito de você identificar possíveis situações de ataques a sistema ou parte dele.
(12:48):
Por que possíveis situações de ataque?
Porque não é real ainda.
O próprio Amigo de Ferro tá na caverna, pensa, vou construir uma armadura que vai ser aprova de balas porque vão tentar atirar mim, eu vou precisar voar pra sair o mais longe
possível, vou ter lança-chamas pra poder atacar, blá blá blá, beleza.
Mas tudo isso tá acontecendo?
Não, ele tá planejando, ele tá pensando em possíveis situações, vão atirar mim, vão tentarme parar.
(13:11):
Eu preciso que isso seja a prova de bala.
Então veja, qual é a ameaça?
Vão me dar tiro.
Como que eu me protejo?
Eu preciso ter um colete a prova de bala.
ter uma armadura, algo que seja capaz de parar um tiro.
É simples assim.
Então é essa possibilidade de uma situação, nesse caso, a possibilidade de tomar tiro e eupreciso me proteger disso.
Então isso é uma modelagem de ameaça.
(13:32):
De fato, você pensar possíveis situações de ataque a sistema a partir dele.
E eu sempre gosto de dizer o seguinte.
A modelagem ameaças é a arte de encontrar problemas mesmo antes do software existir.
Por que?
Porque eu não preciso de um software pra fazer modelagem ameaça num software.
Eu preciso dos...
dos...
DOS...
(13:52):
Requisitos funcionais.
Pra você que não sabe...
Pra você que não sabe, o requisito funcional é a matéria prima do software.
Assim como um móvel é feito de madeira, assim como o carro é feito do ferro, do metal, doalumínio, você tem uma matéria prima ali.
(14:16):
Então, vamos pegar o exemplo de guarda-roupa de madeira.
Vem lá a madeira da floresta, ela é tratada, ela vai passar por processador de corte, delimpeza, de lixamento, sei lá o quê, e vai virar uma peça que eventualmente depois vai
virar o guarda-roupa.
Eu não tiro a árvore da floresta e transformo no guarda-roupa imediatamente.
(14:37):
Eu preciso que essa madeira seja trabalhada.
A matéria-prima crua, bruta, ela não tá pronta.
Eu preciso de preparo, ainda que ela tenha essa matéria-prima já de uma certa qualidade.
Até pensar como plantar essa árvore, a melhor espécie da madeira, aquela coisa toda.
Então, você entendeu a analogia aqui.
O fato é, a matéria-prima do software, é o requisito funcional,
(15:01):
ele precisa ser melhor trabalhado, ou seja, eu não pego requisito funcional e falo, eupreciso de uma tela de login.
Não, eu falo, olha, eu preciso de uma tela de login, usuárias sem, são dados sensíveis,então precisam estar criptografados, eu preciso de CAPT para evitar o número de forças, eu
preciso validar esses inputs para evitar injections e coisas do tipo, eu preciso de log acada tentativa de login, é log de auditoria para ver quem está logando e quem não está
(15:22):
logando, essa tentativa de login foi com sucesso e com erro, eu preciso que esses logssejam alertados eventualmente caso...
Tenham muitos logs de insucesso sequenciais, enfim.
Então eu estou melhorando a minha matéria-prima, que é o meu requisito funcional, paramelhorar, obviamente, o meu produto final.
Então se essa matéria-prima está bem melhorada, matéria-prima bruta, eu vou trabalhando emelhorando ela, a tendência é que o meu produto final tenha uma melhor qualidade.
(15:50):
Então nesse contexto aqui, arte de encontrar problemas antes do software existir é.
Porque eu não preciso de código para fazer mandala de EMA, eu preciso do requisitofuncional, eu só preciso da matéria-prima.
que é uma tarea-prima, é nela que eu vou falar, tá, você fez uma tela de login, mas euposso fazer injection, eu posso fazer brute force, percebe?
Ah, você tem cadastro, então eu posso manipular os dados, eu posso fazer tampering,percebe?
Então eu só preciso do requisito funcional pra fazer essa modelagem de ameaça, tá bom?
(16:14):
E aí, repetindo pouco do que eu falei, o Homem de Ferro já tinha alguns objetivos prafugir da caverna, escapar, ir o mais longe possível, obviamente não adiantava só sair da
caverna, não morrer e eventualmente atacar.
E aí...
Ele fez a armadura, o Mark 1 fez a primeira armadura, fugiu da caverna, matou algunsterroristas, tomou tiro, enroscou o braço dele uma hora.
(16:37):
Se a lembrar daquela cena, enroscou o braço dele uma hora, ele consegue sair, cara vem,inclusive, dá tiro, queima a roupa nele e a bala recocheteia, recocheteia, recocheteia,
não sei como fala essa palavra, e mata o próprio cara.
Acontece algumas coisas, tem lança-chamas que vai queimar tudo, explode os caras, enfim,consegue voar.
Isso aí, quando ele voa, inclusive, que ele cai, a armadura se despedaça, era a únicachance que ele tinha.
(17:02):
Beleza, deu tudo certo.
E qual que é a importância aqui?
Ele fez o melhor que podia com o material que ele tinha.
Quer dizer que essa armadura seria suficiente para lutar com Thanos, eventualmente, nofuturo?
Não.
De jeito nenhum.
Ela seria suficiente para lutar depois com o próprio Capitão América, no Guerra Civil,quando eles tem desentendimento?
Não.
Vingadores 1, quando ele tem uma certa briguinha com o Thor.
(17:26):
O Thor dá relâmpago nele, se fosse com essa armadura aqui ele morria, ele iria tertrocutado, explodia.
Simples assim.
Então não, essa armadura não é a melhor armadura do mundo, ela não é suficiente paraqualquer ameaça que viria futuramente.
Mas para aquele momento ela era suficiente.
Na conta, ele toma tiro de raspão, enrosca a armadura, mas ele consegue voar, escapa dacaverna, o objetivo foi cumprido com sucesso.
(17:50):
E eventualmente ele vai ser resgatado.
Então, gente, é assim.
Desenvolvimento software, como que a gente faz hoje?
Tá sendo pensado algum possível ameaça?
Tá sendo de fato pensado segurança?
Ou você tá pensando fazer refactoring, melhor código performático, usar melhor bibliotecapossível, pra quê?
Só porque você quer uma decisão de ego?
(18:13):
Por uma decisão de negócio que não foi, eu tenho certeza, que CEO da empresa não falou,não, olha só, preciso que você agora, esse código precisa estar aplicando os princípios de
solid.
de arquitetura de software.
Não, não, esse código agora precisa refatorar o código.
ele tá funcionando a funcionalidade que eu preciso.
Tá, ponto.
(18:33):
É isso que o business ped.
Então, muitas vezes a negligencia a segurança por opção ou por falta de conhecimento.
Pode ser também.
Mas vamos lá, voltando ao tópico.
Então, a modelagem ameaças, eu sempre gosto de falar o seguinte também, gente.
Eu vou aplicar lá onde há risco significante de segurança.
Não precisa aplicar a modelagem ameaças a tudo.
(18:54):
Porque senão eu viro software que eu nunca mais paro de desenvolver.
Na verdade eu nunca mais finalizo.
Porque eu vou parar de fazer modelagem de ameaças e cada requisito vira negócio absurdo.
Porque a modelagem de ameaças é trabalho empírico, trabalho manual.
Eu preciso dedicar tempo naquilo.
Não tem ferramenta que aperta o botão e ela faz para mim.
Então eu vou precisar dedicar tempo nisso.
O que quer dizer que a modelagem de ameaças toma tempo?
(19:17):
Isso acaba atrapalhando pouco a própria aplicação da modelagem de ameaças.
Por isso que eu gosto de dizer o seguinte.
Não faz modelagem de ameaças no seu sistema inteiro.
faz modelagem de ameaça onde há risco significante de segurança.
Homem de Ferro nos mostrou isso já.
Ele fez uma armadura que protege a vida dele e permite que ele escape e ataqueeventualmente.
Ele conseguiria voar por uma hora, atingir velocidade supersônica?
(19:40):
Não.
A armadura era bonita?
Não.
Tinha cores, Não.
Tinha tecnologia, inteligência artificial?
Não.
Tinha nada disso.
Era uma armadura à prova de balas que permitia ele voar por 15 minutos.
15 minutos?
Não.
Acho que ele voa por...
alguns minutos, ela funciona por 15 minutos no total, inclusive ele fala isso né, precisade algo que funcione por 15 minutos no total, 15 ou 20 minutos enfim.
(20:01):
Então essa é ideia de modelagem e ameaça, o quão eu preciso proteger esse software, oquanto eu preciso proteger esse software das ameaças reais, ameaças que podem me trazer
impacto, porque ameaça gente, vocês vão ter infinitas ameaças, a gente pode ficar fazendomodelagem e ameaça o resto da nossa vida numa API única com endpoint só, você vai achar
diversos problemas.
Mas quais deles vão nos trazer impacto real de, olha, cara, isso aqui acaba com a empresa,isso aqui fecha o negócio, isso aqui vaza dados sensíveis.
(20:28):
Do que, olha, isso aqui é um cross-site scripting que não leva nada a lugar nenhum, nãotem impacto nenhum.
Então não vamos preocupar, ainda que tenha uma vulnerabilidade lá, não vamos preocupar.
É igual falar pra você, olha, gente, é o seguinte, uma vez por ano você vai pegar gripe.
Beleza.
Você vai viver numa bolha?
Não.
Você vai pegar gripe, vai tomar aspirina e vai ficar tudo bem.
(20:51):
Você sabe o impacto, um dia de cama, seja, ou dia mais febre e tal, acabou, cega a vida.
Você vai pegar gripe o resto da sua vida até morrer.
É muito provável.
Agora, quando você é criança, quando você é melhor idade, quando você é falidoso e tal,tende a ter um risco pouco maior.
Aí a gente se protege pouco mais.
Um pouco mais, porque a gripe já é natural.
(21:11):
Agora, se você voltar alguns anos atrás e falar, olha, você vai pegar Covid.
Opa, pera, não.
Vamos ficar casa, o hospital está lotado, tal, tal, tal.
Então eu preciso me proteger.
Ficar casa, usando uma boa dose aí do que foi falado.
Não que eu concorde ou não concorde, tanto faz a minha opinião, na verdade.
Só dizendo alguns exemplos aqui.
(21:33):
Então, cara, vamos pegar ebola.
Não, espera, não vou sair na rua, não vou encostar nisso aqui porque eu vou pegar ebola.
Enfim, vocês entenderam.
Então você vai ter um momento onde você precisa se preocupar, de fato, segurança, numaprofundidade maior.
E você vai ter momentos que não fazem sentido.
Simples assim, a gente está fazendo uma API interna que chama o serviço A para pegar ainformação e mandar no serviço B.
(21:55):
E é uma informação não sensível, não tem dados alevantos, tem dados de pagamento, é dadotransacional.
Não precisa ter autenticação, criptografia, WAF?
Não.
Talvez uma autenticação ali para garantir que o serviço está chamando outro ponto paraevitar problema interno eventualmente.
assim, percebe que é diferente de eu falar, olha, cara, tem uma tela de login do meusistema principal.
(22:17):
Olha, estou banco aqui, porra, nem se compara.
E eu sempre gosto de falar o seguinte, fazer modelagem de ameaças para você não passar avida fazendo, faz no nível mais granular possível.
O mais granular possível, na minha visão, é você não precisa quebrar nível de método,componente, mas pega requisito funcional.
Pega requisito funcional.
(22:37):
Eu tenho lá crude.
Create, nem lembro o crude agora em inglês.
Create, retrieve, update, delete.
Beleza, então tem crude, eu tenho quatro requisitos funcionais.
Criar dados, buscar dados, atualizar esses dados e deletar esses dados.
nesses quatro, o que é mais crítico para mim?
(23:00):
Vamos lá, estou falando de dados sensíveis?
Então os quatro são sensíveis.
Agora, não é dado sensível.
Então entre ler as informações, até criar informação nova, nem se comparar, apagar osdados.
Percebe?
Ou atualizar os dados.
Integridade.
confidencialidade.
Então esses dois pilares de segurança talvez sejam ainda mais importantes, eu diria, doque a própria disponibilidade.
(23:24):
Estou jogando aqui, tá, gente?
Então, numa classificação, o deletar dados talvez seja mais importante do que o criar osdados.
E ainda mais importante do que o buscar os dados.
Não tão consequencial como o atualizar os dados.
Então vocês entenderam.
É como se eu falasse assim, olha, gente, vamos lá.
(23:46):
Eu tenho aplicações externas que estão olhando para internet, meu usuário precisa só teindicar, tem informação sensível aqui.
E eu tenho aplicações de back office que são transacionais, que são só acessadas via VPN,estão atrás de um firewall, então eu tenho uma exposição menor.
Então a tendência de eu ter umas perfis de ataque é menor do que o que está exposto parainternet, só para vocês entenderem.
(24:09):
Ou seja, vai fazer modelagem ameaças, pega cada requisito funcional,
classifica ele no nível de criticidade para o seu business, o que pode trazer impactoreal.
é esses caras que você vai aplicar, lá de ameaça.
Beleza?
No Homem de Ferro, ou, aliás, o Homem de Ferro Tony Stark, numa conversa com o BruceBanner, que é o Hulk, eles falam desta conversa, mas não tem tanto detalhe, mas eles falam
(24:34):
desta conversa.
Olha, o Tony Stark junto com o Hulker criaram a Veronica, ou a Hulkbuster.
que é aquela armadura gigante, linda, maravilhosa, para conter o Hulk.
Até então, essa cena, inclusive, Vingadores 2 era de Ultron, onde o Hulk, nada para o Hulkaté então.
É uma ameaça, a maior ameaça que temos, vamos dizer assim.
(24:55):
E aí, o Tony, junto com o Bruce Banner, criam a Veronica.
Basicamente, o Hulk falando, olha, o Hulk é super forte, ele faz isso, faz aquilo, e oTony Stark vai lá e cria algo capaz de pará-lo.
Cara, é exatamente a mesma coisa que ele fez na caverna.
Na caverna eu tenho terroristas com armas, eu preciso criar algo suficiente para isso.
(25:15):
Agora eu tenho o Hulk, eu preciso criar algo suficiente para isso.
É simples assim, é a modelagem de ameaça.
É como se você ligasse para o seu hacker, falasse assim, hacker, como é que você vai meatacar hoje?
Olha, senhor, Cássio, eu vou atacá-lo usando um brute force primeiro ali na sua tela deautenticação.
Eventualmente vai passar por uma senha fraca, porque você não tem uma política de senhas.
Assim que eu conseguir o acesso, eu vou conseguir acesso não administrativo.
(25:36):
Então eu vou tentar...
fazer um roubo de sessão ou tokens para escalar o privilégio e conseguir uma conta compouco mais de privilégio.
E aí uma vez de uma conta administrativa eu vou tentar deletar dados, causar umadisponibilidade.
Ponto, é isso que o hacker falou que vai fazer.
Então você desliga a ligação, obrigado seu hacker, muito obrigado.
Aí você volta para casa agora e fala, bom legal, então o hacker primeiro é fazer bruteforce.
Então vamos botar capt aqui nessa tela de login, vamos colocar uma política de senha paranão ter senha fraca, vamos atualizar todas as senhas fracas, vamos ativar o MFA.
(26:04):
Ou seja, qualquer login agora vai pedir...
um Multifactor Authentication.
Isso aqui já barrou a entrada dele.
Mas beleza, ele falou que ia depois ganhar acesso e fazer escalação de privilégio paratentar apagar dados causar indisponibilidade.
Então cada função crítica agora no sistema, especialmente as de apagar informações, agente vai pedir uma confirmação, token, segundo fator ali para garantir que o usuário quer
(26:25):
mesmo apagar aqueles dados.
Vamos fazer uma política aqui de sessão e cookies.
Cada vez que cara fizer logout,
A gente mata a sessão, limpa os hooks pra evitar que ele consiga account takeover viasession hijacking.
Enfim, então basicamente você criou ali as medidas de proteção, as mitigações de acordocom o hacker e falou como que ele vai te atacar.
(26:45):
E aí amanhã o hacker vem te atacar, não consegui, realmente você colocou as proteções queeu falei, exatamente como eu falei que ia te atacar.
Então esse trabalho do Tony Stark junto com o Bruce Banner é exatamente isso.
Eles sentaram e criaram algo capaz de deter o hook.
o próprio Hulk falando.
aí, eu vou deixar para os senhores refletirem agora.
(27:08):
Essa cena é fantástica e quase ele perde.
É quase que o Hulk falou o que ele ia fazer e você criou as proteções e não fez direito.
Na verdade não é, o Hulk é muito foda, muito forte.
Inclusive quem está vendo pelo YouTube tem Hulk aqui fazendo carinho, elogio aqui paravocês.
Essa cena fantástica que quase o Tony Stark perde, eventualmente ele vai ganhar essa cena,essa luta e parar o Hulk ali que estava destruindo praticamente cidade inteira.
(27:36):
Mas dá tudo certo no final.
Então, como é o software dos senhores?
O nosso software hoje está protegido?
Quando ele tiver um brute force, injection, RCE, um componente desatualizado como React ouNext.js, exemplo, Log4j, enfim.
Como é que a aplicação vai se comportar?
A gente sequer pensou modalagem ameaça, sequer pensou possibilidade de algo acontecererrado ou não.
(28:01):
A gente só está fazendo entrega, entrega, entrega, gera valor, gera valor, gera valor,agile, agile, agile.
Para vocês pensarem, beleza?
Quero que vocês pensem muito nisso, inclusive.
Uma forma interessante de fazer modelagem de ameaças é sempre falar com o nosso time deresposta incidentes.
(28:22):
Por quê?
A ideia de você pegar o requisito funcional, que é a matéria-prima do software, melhorá-lopara que o seu produto final seja produto com mais qualidade, nesse contexto nosso mais
seguro, é simplesmente você enriquecer a sua matéria-prima, deixá-la melhor.
Se a ideia de pensar possibilidades de algo ruim acontecer, as ameaças...
(28:45):
Posso ser difícil?
Os frameworks de modelagem ameaça vão nos ajudar com isso?
Falar com o time de espaço incidente, falar com o time de segurança, falar, cara, o que jáestá acontecendo na nossa empresa?
Fala aí os ataques que a gente já sofre.
Fala aí, mostra aí pra gente, explica pra gente, faz uma palestra.
Cara, garanta que na sua empresa já acontece ataque todo santo dia.
Então conversar com essa galera é falar assim, me fala aí quais são os ataques que gentejá sofre.
(29:05):
Porque a gente vai criar software agora, tudo novo que a gente já fizer, a vai ter essasproteções contra esses ataques, porque a gente já sabe que são coisas que gente sofre.
Não precisa ser no nível técnico, olha,
A gente recebe a SQL Injection todo dia, todo mundo recebe payload de SQL Injection navida a cada segundo.
Praticamente tem hacker fazendo isso o tempo todo.
Agora, na minha empresa é uma empresa do ramo de turismo, a gente tem muita fraude.
(29:29):
Então olha só que interessante payload que a gente recebe, olha só o comportamento danossa aplicação com relação a esse esse usuário.
Então é ataque mais específico.
Então neste contexto, ideia que você tá, se eu trabalho empresa de turismo, eu tenho quepreocupar com fraude?
Se eu trabalho uma empresa financeira, eu tenho que preocupar com fraude, roubo de dados.
Se eu trabalho uma empresa do governo, eu tenho que preocupar com reactivismo e outrascoisas.
(29:53):
falar com a Atiência das Pazes Residentes alimenta a tua modelagem de ameaça.
Vai alimentar o teu campo, eu diria, de não mais ameaças, mas de fato ataques reais.
E aí você tende a ter o a gente sempre chama de segurança 100%, o que não existe.
Mas por que 100 %?
Porque assim, quando você está fazendo modelagem de ameaças, está pensando possibilidadesde algo acontecer.
(30:14):
Que podem nunca vir a acontecer.
Agora, quando você faz uma modelagem de ameaças, essas ameaças são alimentadas porrespostas a incidentes, ou seja, já está acontecendo.
É igual falar pra você assim, olha gente, vamos lá.
Conheci alguém na internet, no Tinder, na puta que pariu, vou marcar encontro.
E eu moro São Paulo, então eu sei que é uma cidade perigosa, ou não tão segura.
(30:37):
Eu sei que eu não vou marcar encontro à noite, eu num lugar público, eu restaurantepúblico, eu num bairro X neutro, não vou num bairro mais perigoso, etc.
Então você tem uma modela de ameaça, porque você quer conhecer o amor da sua vida, nãoquer perder o teu rim, o teu fígado.
Então você faz uma modela de ameaça, simples assim, porque você quer evitar algunsimpactos.
(30:57):
Impossibilidade de coisas que podem nunca vir a acontecer.
A pessoa na verdade é uma pessoa de bem, você foi num bairro que era inseguro mas nadaaconteceu, você foi à noite e tá tudo bem, você foi num lugar público e ok.
Percebe?
As possibilidades é...
talvez vai acontecer.
Se nunca acontecer, ótimo, mas se acontecer, você estava protegido ou precavido.
Esse é o ponto aqui, tá bom?
(31:17):
Então você cria ali o teu encontro na prova de balas.
Da mesma forma, você tá falando que seu time de responses incidentes já são ataques reais?
Então quando você cria a modelagem ameaça com software novo...
baseado ataques reais que você já sofre outras aplicações, a tendência é que essasaplicações já estejam à prova de balas, pelo menos contra essas balas específicas.
Bom, você entendeu.
(31:38):
E aí, eu gosto sempre de trazer à tona aquele caso do Homem de Ferro 3, onde o Tony Starké atacado pelo mandarim, destrói a casa dele, ele está com uma armadura protótipo, vale
lembrar isso, ou seja, está sem ali a capacidade de ataque, enfim, mas ele tem ali algumascoisas, e ele vai...
de forma errônea, ele voa para o Tennessee onde é inverno.
(32:00):
Quando ele chega lá, a armadura dele acaba a energia, ele tem que abrir a armadura e sairda armadura.
Só que tá nevando, né?
Menos 10, 20 graus, sei lá o quê.
E ele puxa, acabou a energia, ele tem que sair da armadura, abrir a armadura e sai.
E ele vai arrastar a armadura, eventualmente vai achar lá uma cabana, se aquecer, enfim.
Mas foi problema.
Por quê?
Se acaba a energia da armadura e preciso sair, e tá frio, ferrou.
(32:22):
Se acontecer qualquer outra coisa e tá frio, ferrou.
Então a armadura precisa ter um aquecimento ou restriamento, enfim.
Precisa ter isso.
Além do próprio cuidado com a energia, com a bateria, enfim.
Então ele teve esse bug, vamos dizer assim, esse problema.
No filme sequente, que na verdade é o filme do Homem-Aranha de volta para casa, agora aroupa do Homem-Aranha é feita pelo Tony Stark.
(32:43):
Eventualmente o Homem-Aranha está numa perseguição com os inimigos lá e tal, ele cai numlago, o lago está gelado.
O Homem de Ferro, que agora que fez a roupa do Homem-Aranha, ele é garoto, menino, o Homemde Ferro está rastreando ele tempo todo.
Ele vai lá, manda a armadura dele, resgata o Peter desse lago, e na conversa ali o Peterfala que legal dessa nova roupa que você criou, tem rastreador, e o Tony Stark fala, tem
(33:10):
rastreador, por isso que eu te achei, e inclusive eu coloquei tudo no seu roupa, inclusiveesse aquecedor, porque nessa hora o Peter está tremendo de frio, porque ele estava num
lago gelado à noite.
E aí o Tony fala, inclusive esse aquecedor, e aí a roupa dele faz um...
Olha a sonoplastia, né?
E aí cena mostra ali a roupa do Peter aquecendo ele, e ele tem ali uma vantagem,obviamente, com base na experiência do próprio Tony.
(33:35):
Ele teve incidente, ele teve problema que a armadura dele precisou abrir e tava nevando,tava gelo.
Ele vai lá e colocou agora aquecedor na roupa do Homem Aranha.
E provavelmente na roupa dele também.
Então é esse mindset de melhoria sempre.
Que é o que eu quero falar agora.
Vale sempre lembrar, gente, não adianta.
(33:58):
Você entrar nessa ondinha aí de vamos entregar valor, a gente é Agile, é funcionalidadenova toda semana, não, porque o meu SaaS, uh, agora onde é SaaS, building public e palavá,
é tudo pra bosta vocês, é tudo pra bosta.
Porque a ideia é muito legal, mas só fazer entregar, você está entregando merda.
(34:19):
É isso que você está entregando, está entregando software.
Pode estar usando, pode estar funcionando, o objetivo é atingido.
Mas eu tenho certeza que você não pensou segurança, o mínimo de segurança.
Porque se eventualmente você tiver ataque, e eu espero que você não tenha...
(34:40):
Pausa para espirrar.
Espero que você não tenha, mas eventualmente você vai ter.
Você não só não entregou o valor para o seu cliente, você tirou dele.
E pior, esse ataque não aconteceria se não fosse o seu software.
Você virou o meio para aquele ataque.
Então você tem uma certa corresponsabilidade.
E eu vou dizer mais.
(35:01):
Se você fez isso de propósito, você é cúmplice desse ataque, que provavelmente écybercriminoso.
Se você fez por falta de conhecimento, né?
Puta, não tinha ignorância, o que quer que seja.
Que é ok, tá?
Ninguém está julgando ninguém.
É ok.
Ok.
Vamos lá e resolve agora.
Mas ainda assim você tem uma responsabilidade nisso.
É simples assim.
(35:21):
Tá?
A pizzaria, ela faz a pizza, põe no forno, tempera e bota no...
para o motoboy que vai entregar na casa de alguém.
A responsabilidade da entrega ainda é da pizzaria.
Ah, mas eu uso o serviço terceiro.
mas o motoboy eu não consigo controlar.
Sinto muito.
Agora, troca o cenário.
Você vai no restaurante, o chefe fez o prato, o melhor prato do planeta, com o melhoringredient do mundo, entregou na mão do garçom.
(35:46):
O garçom com a mão toda suja, entrega o prato para você e o prato chega todo sujo.
De quem é a culpa?
É do chefe.
Não é do garçom.
O garçom, obviamente, foi o responsável pelo problema.
Mas o restaurante responde por aquilo.
Então a culpa é do chefe de cozinha.
A responsabilidade do prato sair da cozinha, até a mesa do cliente, é do chefe de cozinha.
(36:06):
Dono do restaurante, né?
Mas vamos lá.
Então o teu software teve um ataque, vazou os dados do seu usuário, não adianta botar aculpa na Cloudflare, não adianta botar a culpa na puta que pariu, a culpa é sua, meu
jovem.
Tá, então o que eu quero dizer com isso, cada versão do seu software a 1.1 tem que sermelhor que a 1.0.
Eu não tô dizendo melhor que agora dá mortal pra trás, tem uma cor nova, funcionalidadenova, entrega valor, olha nova feature, nova feature, nova feature.
(36:32):
Tá mais seguro?
É só isso que eu tenho perguntar pra vocês, só isso.
Você tá mais seguro?
eu preciso preocupar.
Precisa.
Preciso se preocupar sim.
Porque se eu não se preocupar com segurança, meu jovem, se eu não se preocupar comsegurança, você vai eventualmente ter incidente que pode custar muito caro pra você e pros
seus usuários, Então, pensar com o motor Stark, Não só resolver bug, mas melhorar asegurança.
(36:58):
É nossa responsabilidade enquanto desenvolvedores.
É nossa responsabilidade enquanto empresa que desenvolve software.
É nossa responsabilidade.
Ponto.
O garçom...
O chefe de cozinha, a recepcionista, o dono do restaurante, todos são responsáveis pelacomida.
Todos.
Se o chefe de cozinha, ele tem os ingredientes para preparar.
(37:18):
Ele falou, compra o ingrediente tal de tal lugar.
Se o dono do restaurante foi lá e comprou do outro lugar e a qualidade veio baixa, todospagam por aquilo.
No fim do dia, o cliente vai comer a comida.
Percebe que o usuário vai sofrer o impacto.
Consequentemente vai manchar o nome do restaurante.
consequentemente você pode causar dano, for uma alergia naquele cliente, podeeventualmente matá-lo.
(37:42):
Então, o teu software, você tem responsabilidade nisso, a segurança é responsabilidadesua.
Não adianta fugir disso.
Você pode discutir filosóficamente, ah não, mas o chefe de cozinha pediu, aí fez, aí não éculpa dele.
Não, gente.
Vocês estão muito assim, do apartamentinho de vocês aí do Leblon não dá pra ver essascoisas, Mas vocês estão muito mal informados por jornalzinho e televisão.
(38:04):
a gente perdeu o senso de responsabilidade.
Cara, todo mundo envolvido no ciclo de desenvolvimento de software é responsável poraquele software.
Ah, mas eu trabalho, sei lá, vou dar exemplo aqui, tá?
Mas eu trabalho no Itaú, por exemplo, e aí teve problema no Itaú, tá, que lá no Itaú, aculpa é minha, a culpa é sua, é sua do CEO, do CTO, de todo mundo.
(38:29):
Por quê?
Porque é o Itaú.
Ponto, você trabalha lá?
Ah, eu não tô naquele projeto, gente.
Gente.
Gente.
Não me vem com essa.
Aprende a ocupar o teu lugar no espaço.
É responsabilidade sua.
Teve incidente de segurança na empresa que você trabalha, no software que você trabalha?
(38:51):
É responsabilidade sua.
Ponto final.
Tá bom?
Então, gente vai melhorar a segurança.
E vale lembrar o seguinte, não dá pra fazer segurança direito, appsec, enfim, sem ter umsoftware development lifecycle correto, sem ter ciclo de development software decente.
Por quê?
Porque o time A faz de jeito, time B faz de outro jeito, fica difícil.
(39:14):
Então, é importante que, ainda que cada time faça de jeito, mas de jeito estruturado,processo estruturado, é possível a gente incluir segurança nesse processo, nessa
estratégia.
Então, a ideia é que...
Cada release sua, cada versão nova sua, seja uma nova marque.
marque 1, marque 2, marque 3.
Cada nova armadura do Homem de Ferro.
(39:35):
Para que você possa evoluir.
A segurança do seu software, tá?
E vale lembrar que seguinte, cada armadura do Homem de Ferro, ela é feita principalmentepara protegê-lo.
Ele não pensou, vou fazer uma arma para sair atacando por aí.
Não.
Não foi essa a primeira intenção.
A primeira decisão foi eu preciso de algo que me proteja dos tiros dos terroristas e queeu possa voar daqui.
(39:59):
Eventualmente eu vou precisar atacar.
Percebe?
Então o teu software não pode perder essa essência.
Não, preciso criar software agora à prova de hackers.
Não.
O teu software precisa fazer o que o teu software tem que fazer.
É software de venda, de pagamento, é de entregar pedido, é de pedir carro.
Não importa.
Mas ele tem que fazer tudo isso de forma segura.
(40:19):
Então não adianta inverter a jogada.
Homem de Ferro não falou, vou criar uma bazuca aqui, sair matando todo mundo e estoufeliz.
Não.
Ele falou, eu vou criar algo que vai me ajudar a sair dessa caverna e voar.
Ficou monte de terrorista vivo lá.
Inclusive, depois ele volta e mata os caras, aí ele melhorou a armadura e tal.
Mas, veja, eu preciso fugir daqui.
(40:40):
Esse é o meu objetivo.
Então não perca essa essência no seu software.
Qual o objetivo do seu software?
É vender, é registrar clientes, é gerar relatório, é fazer ABC.
Continue com isso, mas agora você vai fazer isso de forma segura.
Esse é o ponto, não perca essa essência, tá?
Lembra que no Homem de Ferro 1, final do filme, ele está lutando com o vilão.
Na verdade, começo do filme, a armadura 2 dele, que é a prateada, quando ele volta paracasa, ele foi resgatado, ele faz aquela armadura toda prateada.
(41:06):
Agora já com toda a tecnologia, todo o laboratório que ele tem, já com a inteligênciaartificial, que é o Jarvis, enfim.
A primeira coisa que ele faz é voar fora da estratosfera, ver até onde ele consegue voar.
Quando ele sai da estratosfera,
Enfim, está na extraterrestre, não sei exatamente como falar isso.
Ele congela.
A armadura congela, ela desliga, ele perde a capacidade de voo, começa a cair, quedalivre.
(41:29):
Aí tem um trabalho manual que ele faz, abre uns flaps ali, descongela, a armadurareinicia, ele continua, toma o controle de volta.
Perfeito, esse foi o buggy, esse foi o cenário.
Final do filme, ele já está na versão 3 agora, e o vilão roubou a armadura dele, roubou aideia e tal, roubou a 1, a primeira versão.
Quando ele está quase sem energia, inclusive o vilão perseguindo ele, ele começa a voarbem alto, o vilão perseguindo ele, porque ele sabe que ele agora melhorou, material da
(41:56):
armadura dele não vai congelar mais, e o vilão toca a versão ruim ainda, toca a versãobugada.
E o vilão, que é o monge de ferro, pega o pé dele e fala, Tony, a sua armadura é...
Você teve uma grande ideia, na verdade, mas a minha armadura é mais avançada que a sua.
Aí o Tony, mas como é que você resolveu problema do gelo?
E nessa hora o cara já está congelando, né?
Praticamente, e aí desliga a armadura também, vai perder ali, ele tem uma vantagem,consegue escapar do cara e tal.
(42:21):
Então, olha que legal, ele teve um bug, resolveu o bug, teve um incidente, umavulnerabilidade, resolveu aquela vulnerabilidade.
Por quê?
Porque depois pode custar a vida dele, depois pode custar caro, então a resolve o problemaque gente acha.
Olha a mentalidade do Tony.
Assim, não tem como fugir disso, né?
Se a gente lembrar também, lá no Homem de Ferro 2, quando ele está lutando com o E-Plash,
(42:43):
aquele cara com chicotes de energia, ele ganha a luta ali e tal, mas o Iplash agoraconsegue atingi-lo com chicotes de energia, que ele copiou praticamente ali o reator do
Tony Stark, e a armadura dele toma muito dano, fica bem desgastada, Além, do cara terencostado nele com tanta energia.
Já no Vingadores, que é filme na cronordem cronológica, no Vingadores 1, quando ele temuma briga com o Thor ali, o Thor...
(43:09):
dá o raio ali o trovão, a armadura dele não toma tanto dano quanto antes.
A material da armadura é melhor agora.
E ele ainda toma dano, Ela fica meio rachada e tal, mas já é bem melhor.
E ele absorve toda a energia do raio agora.
Ou seja, eu tive problema onde consegui encostar mim com muita energia.
Por que não me beneficiar disso?
(43:30):
Eventualmente eu vou ter um próximo vilão, uma próxima luta que se alguém encostar mim, aarmadura vai tomar muito dano.
Não pode ser assim, eu preciso melhorar isso.
Vou melhorar essa funcionalidade de proteção da armadura.
Ele melhora o material e agora ele absorve a energia.
O que no Vingadores Ultimato, o último filme da saga, que é quando ele inclusive sesacrifica pela humanidade, minuto de silêncio, pronto.
(43:53):
Ele se sacrifica pela humanidade, não é Homem de Ferro?
Agora ele fala para o Thor, me atinge.
A armadura dele agora abre de forma proposital.
O Thor chama lá o trovão, taca nele.
ele absorve aquilo tudo tempo real, aquela energia toda e vira laser, vira uma arma paraatacar o Thanos ali e tal.
Então veja, lá atrás, cara, eu tive um bug, o meu material era falho, a energia encostoumim, não pude fazer nada, tomei muito dano.
(44:19):
Agora eu evolui, eu tomo menos dano, absorvo energia, agora não, eu absorvo energiainteira, a minha armadura não toma dano nenhum e eu transformo isso numa arma.
Essa mentalidade é fantástica.
Porque como é que é o software nosso hoje dia?
Você tem uma vulnerabilidade?
Você nunca corrige, fica eternamente no backlog, dia você vai ter incidente e falar,caramba, não vimos isso antes.
(44:40):
É, mas jovem, não vimos isso antes.
Lá na guerra civil, a briga do Capitão América, time Homem de Ferro, o Homem-Formiga vaientrar na armadura do Homem de Ferro.
E começa a desligar a armadura.
A Friday fala pra olha, estamos com sistemas de armas offline.
(45:03):
Aí ele, o quê?
Porque ele não...
Aí o Homem-Formiga começa a na cabeça dele, sua consciência.
Friday, quando ele chama a Friday com uma cara de desespero, é do tipo, cara, eu sei o queeu fiz, eu conheço minha armadura, eu sou gênio.
O que está acontecendo?
Como é tem algo fora do meu controle?
Isso é absolutamente foda.
(45:24):
Quando a gente para pra pensar, cara, eu tenho de fato uma ameaça agora.
Algo que eu não tinha pensado.
Algo que sequer eu imaginei que existisse e está me atacando agora.
Está desligando a minha armadura.
Aí a Friday toma ali a iniciativa de soltar o sistema de exaustão como se estivessepegando fogo.
Solta ali a água, expulsa o homem formiga, sem saber o que está acontecendo.
(45:44):
E resolve o problema.
Mas foi uma ameaça não pensada.
E a pergunta é, como é que é o software hoje dia?
Você pensou alguma ameaça?
Você pensou naqueles caras na universidade aprendendo segurança de informação, fazendoCrossfire Script e Asker Injection por aí?
Seu site vai se proteger deles?
Seu site vai se proteger do crime organizado?
Seu site vai se proteger de um grupo de hacktivista num nível de país, nível de nação, decyber guerra mesmo?
(46:13):
Se o site está preparado para quê?
Se o sistema está preparado para qual tipo de ataque?
Ou nenhum deles, né?
O que é pior, né?
Então, eventualmente ele vai resolver esse problema lá com solução de nanotecnologia etal, mas a ideia é que ameaças existem.
Quer você quer ou não, quer você acredite ou não.
É tanto que no Homem de Ferro 3 ele começa a ficar paranoico, né?
(46:34):
Porque logo depois do Vingadores 1 as ameaças agora não são mais tão reais, reais do pontode vista físicas, humanas.
As ameaças agora são alienígenas.
Abriu portal Nova York, entrou, a aliens vieram nos atacar.
Então, o Tony Stark fala, cara, a gente não tá preparado pra isso.
A tá fodido, pra falar a verdade.
Se isso aqui acontecer de novo, a tá fodido.
No Vingadores 1 foi sorte que deram.
(46:56):
Muita sorte.
Assiste o filme e vocês vão ver que foi pura sorte.
A gente não teria resolvido o problema, né?
E aí, no Homem de Ferro 3, já tá neuróticosão, neuróticosinho, ele cria a legião de ferro,basicamente ali toda...
várias armaduras, cada uma com uma funcionalidade diferente, cada uma com uma capacidadediferente, mas ele não consegue escalar isso, ele vê que tem alguns problemas, ele desiste
(47:16):
da ideia, mas o Homem de Ferro 3 dá avanço tecnológico muito alto para ele, porque aarmadura dele agora é independente, a vai discutir isso no próximo episódio, mas só para
vocês entenderem até que ponto chega.
E a ideia é que, gente, modelagem e ameaça, a gente é sustentado por lições, aprendidas.
A gente precisa fazer modelagem e ameaça às escuras, pegar um framer que começar a aplicare tal, sim e não.
(47:38):
Por que não?
Porque já tá, como eu falei pra vocês, já tá acontecendo coisa na sua empresa.
Basta conversar com o time de segurança.
E o Tony Stark nos mostra pouco disso, de lições aprendidas, quando lá no Guerra Civiltambém, no final, meio do filme, o Visão atinge com raio lá, ele quer atingir o Falcão, O
Falcão ali desvia, esquiva, atinge o Rhodes, que não tá esperando, né?
Atinge o Rhodes, o Rhodes perde a capacidade de voo, ele vai cair e ficar paraplégico.
(48:03):
E o Tony Stark tá voando com o Rhodes, ele tenta resgatar o Rhodes.
mas ele está com uma armadura sem a velocidade supersônica, sem super velocidade, ele nãoconsegue resgatá-lo.
Enfim, o cara está caindo, Meter a velocidade supersônica para baixo também, ele vaiconseguir parar, enfim.
Ele não consegue ajudar o amigo dele, o amigo dele vai ficar paraplégico.
No Guerra Civil, aliás, no Guerra Infinita, o Vingadores 3 praticamente, a nave invade aterra lá e tal, pega lá, sequestra o Dr.
(48:29):
Estranho e está indo embora.
E ele está perseguindo a nave e a nave começa a mais rápida que ele.
E ele fala para a Friday, pede turbo ali e tal, e aí armadura dele ganha um turbo, eleconsegue super velocidade e eventualmente vai chegar até a nave.
Então a ideia de melhorar sempre, de ter sempre ali, eu tive problema, tive uma liçãoaprendida, preciso melhorar, preciso evoluir, estar constantemente com o Tony Stark e
(48:52):
conosco também, desenvolvedor de software de segurança.
E aí, modelagem de ameaça a gente faz com diversas formas.
Eu sempre gosto de falar das talvez as mais práticas, o OASP...
ThreatDragon, uma ferramenta que implementa, se não me engano, o Stride, o Pasta e umoutro framework que eu não lembro agora.
E o Microsoft Threat Modeling Tool que implementa o Stride por trás.
(49:13):
Mas a gente está falando de implementação disso de frameworks.
Então, Stride, o Pasta, Lindum, Attack Trees, PNG, Security Cards, HTML, o QTMM, é oQuantitative Threat Modeling Method, o Trike, o VAST, Octave.
Todos os frameworks e modelos de você fazer modelado de ameaça.
Minha sugestão, pega um e faz Hello World.
(49:35):
Você vê como as coisas funcionam.
Mas todos eles vão trazer basicamente...
Todos não, alguns deles vão trazer categorias de ataques ou ameaças e você dentro do teucontexto, dentro do teu requisito funcional, você vai aplicar aquelas categorias.
Então no Stride, exemplo, lá, spoofing, tampering.
Onde nessa tela de login eu posso ter spoofing?
Onde nessa tela de login eu posso ter tampering?
Onde nessa tela de login eu posso ter repudiation?
(49:56):
Um information disclosure, denial of service, elevation of privilege.
e assim por diante.
baseado nisso, você vai definir as ameaças com base naquelas categorias e as mitigações.
O output do modelo de ameaça é, tá bom, achei os problemas, ou os possíveis problemas, aspossíveis situações de ataque.
O que eu faço agora para proteger delas?
Ou para reduzir o impacto e assim por diante.
Então a conclusão aqui, é a seguinte.
(50:19):
Imaginar o inimaginável é o que Tony Stark faz.
Ele tá...
Cada filme mostra que a evolução dele...
No filme 1 já, tive a primeira armadura, saiu da caverna, mas a segunda versão tinha queser muito mais foda, porque ele queria voltar lá e pegar os terroristas, ver que estava
tudo errado.
Então a segunda armadura já é foda.
(50:40):
A terceira então, já é absurdo, já é a colorida.
Então esse mindset de evolução e melhoria constante, isso tem que estar no sangue devocês, principalmente se você é desenvolvedor.
Eu não estou falando melhoria gente, desculpa tá, mas não estou falando melhoria deperformance, de código, de...
Sim, também, isso já é natural.
Mas a melhoria é de segurança.
(51:01):
A empresa que não pensa segurança hoje está fadada ao fracasso, porque eventualmente vocêvai ser atacado.
Eventualmente não, né?
Você já está sendo atacado, você só não sabe disso.
Então, esse mindset é o que eu queria passar pra vocês hoje, de modelagem e ameaças, comofazer modelagem e ameaças, com o meu novo design.
Eu não estou com uma barba estilo Tony Stark, mas estou...
com novo visual que eu gostaria muito que vocês fossem lá no YouTube e comentassem nessevídeo aqui nesse episódio, tá bom?
(51:27):
Pessoal, a gente se vê na semana que vem, final de ano acabando, então vamos dar fériaspros meninos, né?
Daqui a pouco a gente volta aí a todo vapor na nossa sexta ou sétima temporada da VistaCouch Podcast.
Nem me perdi agora.
Temporada da Vista Couch Podcast, muito episódio pra vocês, eu espero que vocês fiquembem.
Leiam o livro enquanto isso, porque aí os próximos episódios aqui do Podcast vão ser aindamelhores.
(51:49):
você vai conseguir acompanhar ainda muito mais.
Compartilha esse episódio com quem você ama ou com quem você odeia, mas compartilhe,porque o importante é fazer software com segurança.
Leia o livro, veja a apresentação do AppSec Iron Man.
E acho que era isso, A gente se vê no próximo episódio.
Valeu.
Olá pessoal, bem com vocês?
Sejam muito bem vindos a mais um episódio do Devisecops Podcast.
Eu sou o Cassio Pereira, o seu host, que vos apresenta mais uma vez o nosso podcast desegurança, mais especificamente segurança de aplicações, Devisecops, AppSec, a porra toda
relacionada a isso.
(00:48):
Hoje é episódio solo, porque o senhor Marcos está passeando, viajando pelo Brasil,enquanto o senhor Benyur...
trabalhando, ocupado e eu aqui vagabondiando, como sempre, para trazer esse conteúdo aquipara vocês.
Pessoal, hoje é episódio especial porque hoje a gente vai começar uma série que eu tenhomuito orgulho, na verdade, que é a série do Iron Man.
(01:10):
Epsec Homem de Ferro.
Pois é, essa série que eu criei livro, escrevi livro que está disponível gratuitamente,não precisa pagar nada, não precisa botar e-mail lugar nenhum, se cadastrar, você vai lá e
baixa, casodeveloper.com.br, tá lá o livro.
só baixar e também tem apresentação né eu fiz toda uma apresentação a palestra baseadanesse conteúdo na verdade primeiro foi apresentação depois escrevi o livro né então tem
(01:33):
uma apresentação onde eu apresento diversos eventos inclusive há duas semanas atrásapresentei na b-side porto já apresentei na b-side cracov a b-side budapeste e outros
eventos ao redor do mundo inclusive b-side londres também então é alguns continentes aíque puderam ter alguns não né um continente né só na europa
onde puder não ter o prazer de poder ter acompanhado esse material que eu tenho muitoorgulho e também apresentei no Brasil, obviamente.
(02:00):
Pessoal, antes de começar a nossa série, acho que vai ser dividida uns quatro ou cincoepisódios.
É uma série solo, os meninos não vão participar, porque é conteúdo que eu fiz,praticamente está tudo na minha cabeça, e não é debate, não uma discussão, é simplesmente
que eu quero entregar esse conteúdo para vocês de uma outra forma.
Então já tem no formato livro, já tem no formato apresentação, palestra, slides, eagora...
(02:21):
é aqui no podcast também, num formato mais áudio e vídeo.
podem me ver.
Para quem está aí no YouTube, minha companhia pelo YouTube, podem ver o meu novo visual.
Eu não vou falar para você estar ouvindo no podcast, no Spotify, enfim.
Vai lá no YouTube e dá uma olhadinha no novo visual desse rosto que vos fala.
Pessoal, antes de começar o nosso episódio, vamos sempre lembrar que a Nova 8 é adistribuidora da SNIC e Checkmarks no Brasil.
(02:47):
Nova 8 que suporta aqui o Davi Secoast Podcast.
desde sempre.
Muito obrigado, Nova 8.
Purple Bird Security, que vai cuidar de você durante e depois de incidente.
Purple Bird também que tem nos suportado com a nossa grande parceria junto com nosso amigoJefferson Macedo, que já gravou conosco aqui.
A Gold Security, com serviços especializados segurança de aplicações e a DigitalWalk, quetem portfólio completo para você, empresas lideradas por mim e o nosso grande Rodrigo
(03:15):
Balbino.
que também esteve conosco aqui durante algumas temporadas aqui no podcast.
E mais recentemente a Conviso, é especializada em segurança de aplicações, ela ajudaempresas que lidam com dados sensíveis como fintechs, bancos, healthtechs e plataformas
digitais a fortalecerem toda a gestão de segurança de software desde o desenvolvimento atéa produção.
Então a Conviso do nosso grande amigo Wagner, que também nos apoia aqui no DevSecOpsPodcast.
(03:41):
Pessoal, vamos lá, o negócio é o seguinte.
pra gente começar essa série aqui alto nível, né?
Primeiro, você vai baixar o livro, tá?
Você vai lá no meu site, cassodeveloper.com.br, vai ter lá uma sessão de projetos e tem láa capa bem grande do Homem de Ferro, Literalmente aquele primeiro artefato que ele usa no
peito ali no primeiro filme, tá lá como capa do livro e você baixa.
(04:05):
Não precisa botar e-mail, não precisa se cadastrar, não precisa mandar mensagem, nãoprecisa seguir ninguém, fazer nada.
Você vai lá e clica e baixa o PDF, tá?
Se meu site não for hackeado, não é vírus, pode baixar o PDF que tá tudo bem seguro, tábom?
E esse livro tá português, com a grande colaboração da minha irmã Emily Silva, quetraduziu o livro pra mim, porque em primeira versão eu escrevi esse livro inglês, tá?
(04:28):
Escrevi ele inglês e aí a minha irmã fez a tradução pra nós em português, facilita muitonosso trabalho, nossa escala aí, tá bom?
Então fica aí os créditos também pra nossa grande, que queremos aqui também no podcast,né?
minha irmã, Emily Silva.
E a irmã não é irmã, boca pra fora, não, é minha irmã mesmo, tá?
Que trabalha também com a gente na área de Epsec, tá bom?
Então, abraço aí pra ela e obrigado pela tradução.
(04:50):
Pessoal, então, assim, baixa o livro.
Primeira coisa, por quê?
Porque o livro vai ter muito mais detalhes do tudo que eu tô falando aqui pra vocês.
Que, obviamente, gente não vai conseguir cobrir tudo, especificamente, o livro vai tetrazer muito mais detalhes.
Inclusive, no livro tem uns links a cada...
por cada parte do livro onde eu estou fazendo referência aos filmes e tal, eu trago o linkda cena do filme.
Então você vai clicar, vai assistir a cena e tal, tem toda uma imersão diferente desseformato aqui.
(05:15):
Então o livro diria que é a sua primeira coisa que você tem que fazer.
Ai, Cassio, mas eu tenho preguiça de ler o livro, não sei o quê.
Então você desliga e sai fora e vai fazer outra coisa da sua vida.
Mas ainda assim você quer uma chance?
Tá bom, então você vai lá no castetvelover.com.br, barra, AppSec, tracinho, Iron Man.
Epsec, Tracinho, Aeroman.
E aí, camel case, né?
(05:35):
O A, o S maiúsculo, o I e o maiúsculo, tá?
Esse link é o link da apresentação que também tá inglês, breve vai ter português, masainda tá inglês, que é a apresentação que eu criei, foi a primeira coisa que eu fiz desse
projeto, Epsec, Aeroman, ou Epsec, Almeida de Inferno, foi essa apresentação.
Então eu criei os slides, criei a apresentação, criei a história e a narrativa praapresentar isso em alguns eventos, algumas conferências aí.
(05:55):
Deu muito certo, tá dando muito certo.
e esse conteúdo foi a primeira coisa que eu fiz.
aí, conteúdo foi que eu escrevi o livro, né?
Resolvi colocar mais detalhes, mais informações lá, enfim, abrangei tudo que não cabe napalestra.
Na verdade, isso aqui vira uma palestra já de uma hora, duas horas e workshop de quatrohoras, né?
Então, é conteúdo, é muita coisa, tem muita coisa mesmo.
Por isso que aqui no podcast a gente vai tentar, né?
(06:16):
Solver isso pra vocês quatro, cinco episódios, pra que vocês possam digerir isso, tá bom?
Mas vamos lá, então, você vai baixar o livro.
Tá?
E fica a vontade pra compartilhar esse livro com quem você quiser.
Baixa o PDF, no grupo do WhatsApp, manda por email, faz o que quiser, tá?
Não tem problema nenhum compartilhar.
Agora, você não pode modificar esse conteúdo, né?
Ele tem direitos autorais, eu que escrevi e tal, tal, tal.
(06:37):
Ele é gratuito, não precisa pagar nada, mas não vai me modificar, fazer bosta, né?
Use o negócio como deve ser usado.
É simples assim, tá?
É projeto gratuito, fica a vontade pra compartilhar com quem você quiser.
mas não modifique o conteúdo.
E se você quiser modificar o conteúdo, se inspirar nele, não tem problema.
Só botar meu nome lá, fala ó, fiz isso aqui inspirado no conteúdo desse original que é docaso.
(06:59):
Ponto final, tá bom?
Então não tem problema nenhum.
Agora, vamos lá, vamos começar.
Primeira coisa dessa apresentação é o primeiro tópico, gente fala de modelagem de ameaças.
É tópico que eu gosto muito, como vocês sabem.
Threat modeling.
Então esse será o nosso primeiro tema, nossa primeira discussão aqui no DevSecOps Podcast.
(07:25):
Boa, então a vinheta está funcionando.
Então, pessoal, vamos lá.
O que eu queria falar sobre modelagem de ameaças?
Na verdade, antes de entrar no tópico de fato, vamos lembrar do primeiro filme do Homem deFerro.
Lá no primeiro filme do Homem de Ferro, ele tem ali...
Ele foi sequestrado, para quem não lembra.
Vale lembrar, isso aqui não é spoiler nem nada.
Os filmes já são relativamente antigos e tal.
enfim.
Se você não assistiu, se prepare para spoilers.
(07:47):
Se você não gosta, eu garanto que você vai gostar.
E se você gosta, eu garanto que você vai olhar com outros olhos agora e vai se apaixonarainda mais.
pelos personagens, pelos filmes, enfim, e vai re-assistir agora com uma outra visão.
Eu sei que ferreir com sua vida, né?
Você vai gastar agora dois fim de semana e partir tudo de novo, mas tá bom, faz parte.
Bom, vamos lá, pessoal, então sem enrolação.
(08:08):
O primeiro filme do Homem de Ferro foi sequestrado.
Vale lembrar que o Tony Stark ele herdou do pai, o pai que é o Howard Stark.
O pai já tinha uma fábrica de armas, literalmente.
fez toda a fortuna ali dele fabricando armas e o Tony Stark herdou tudo isso e continuouali fabricando armas.
E o Tony Stark, meio que inocente, não sabe que as armas dele estão sendo enviadas para oBlack Market, vamos dizer assim.
(08:32):
Enfim, ele vai fazer uma apresentação lá no Oriente Médio de uns novos mísseis, que novomísseis que tem uma propulsão diferente, uma forma de voar diferente, vamos dizer assim,
que inclusive vai ser usado na armadura dele.
E os terroristas que estão lá naquela região onde ele vai apresentar, sequestram eleporque querem que ele fabrique
e, obviamente, ilegalmente, mas quer que ele fabrique aqueles mísseis ali pra ele, que sãoos mísseis de última tecnologia e tal, pra que aqueles terroristas tenham uma vantagem.
(08:58):
E ele se recusa, obviamente, mas ele é sequestrado com este fim.
E aí, sequestrado dentro de uma caverna, ele não consegue ser encontrado, ele não consegueser encontrado, na verdade não, ninguém consegue encontrá-lo, O governo americano junto
com o Coronel Rhodes, que eventualmente vai virar o patriota de fé, estão lá procurandoele, mas ele tá, obviamente, dentro de uma caverna irrastreável, não vão conseguir
encontrá-lo.
(09:19):
Ele, na caverna, pensa.
Poxa, cara.
Na verdade, ele tem companheiro lá que já está sequestrado também.
É tradutor, inclusive, dos idiomas que eles falam lá e tal.
Esqueci o nome do personagem agora.
Yen Sen, acho que é o Yen Sen.
Que ajuda o Tony Stark, coloca aquele ímã no peito dele, literalmente, para...
Os estilhaços da granada que explodiu perto dele vão para o coração dele, enfim.
(09:40):
Então aquilo ali mantém ele vivo.
E é o cara que salva a vida dele praticamente e dá uns conselhos ali para ele.
Enfim, vamos contextualizar aqui.
E aí nessa caverna ele já faz o primeiro trabalho de modelagem de ameaça.
Por quê?
Porque quando ele tá lá na caverna, ele...
Obviamente o filme não mostra isso, mas deixa muito claro, ele faz o seguinte, ele fala,pensa, eu preciso sair daqui.
Já tô aqui há uma semana, lá, não deixa muito claro quanto tempo ele tá ali, mas já vai láalguns dias, Já tô aqui, o próprio colega dele lá da cela, de cela, com ele fala, cara,
(10:10):
vão construir, a gente vai construir o bíceps pra eles e eles vão nos matar, né?
E o Tony Stark fala, bom, então temos que fugir daqui, né?
Não vai ter jeito, não vão achar a gente.
A gente tem que fugir daqui.
Então tem trabalho de modelagem e ameaça.
Obviamente ele não tem muita opção, ele tem que fugir ou ele vai morrer.
Mas ele tem trabalho de ameaça, modelagem e ameaça no sentido de, é possível fugir daqui?
(10:30):
O que eu tenho aqui?
Bom, querem que eu construa míssil, então eu uma certa tecnologia.
Eu tenho aqui os próprios míssils que me deram pra desmontar e montar na escala queprecisam lá.
Ele tem ali uma certas coisas, O pessoal até fala que ele tem uma caixa de sucatas ali nacaverna.
Ele pede para os caras equipamento de solda, precisão, ferramenta disso, daquilo e outro.
(10:51):
Então ele tem ali uma série de equipamentos, mas obviamente limitado.
Não tem laboratório, tem tudo aquilo à disposição.
Ele tem ali uma caverna, o talento dele, todo conhecimento, ele é gênio.
E ponto.
Então ele faz uma modelagem de ameaça.
Qual é a modelagem de ameaça que ele faz?
Bom, com o que eu tenho aqui, é possível construir algo, uma arma, uma armadura, o quequer que seja, que vai me permitir fugir daqui?
(11:15):
Fugir significa sair da caverna, obviamente ir o mais longe possível, eventualmente nãomorrer, porque eu quero fugir e também ficar vivo, e pode ser que eu precise atacar, não
vamos simplesmente deixar eu passar pela porta e ir embora, eu vou precisar atacar porquevão atirar mim, então preciso me defender.
Então ele tem ali alguns objetivos, fugir, atacar eventualmente, não morrer, e olha queinteressante, ele precisa pensar quais são as ameaças que estão aqui, as ameaças são
(11:43):
simples.
homens armados.
com o que eu tenho aqui, eu consigo lidar com esses homens armados?
E ele pensa, bom, sim, consigo.
Porque se não, gente, olha como é importante isso aqui.
Se ele pensa, não, o que eu construí aqui não vai ser suficiente pra eu fugir.
Então não vale a pena a construção, porque eu só vou gastar tempo e energia e vou morrerdo mesmo jeito.
Agora, é viável o meu projeto?
(12:06):
Ele é viável a ponto de pé?
Eu vou conseguir conter as minhas ameaças, estar protegido e fugir no final?
Sim, as chances são boas.
ele ainda toma tiro de raspão.
Para quem não lembra, na hora que ele sai da caverna, ele toma tiro de raspão na perna.
Passa ali até a joelha, com a armadura dele, enfim, mas ele eventualmente consegue fugir.
Então, perfeito, ele fez trabalho de modelagem de ameaça.
(12:26):
E aí, eu já gosto de falar para a gente que o seguinte, a modelagem de ameaça, gente, elanão é nada demais.
Ela é uma metodologia, um framework, jeito de fazer as coisas.
jeito de fazer algo específico nesse contexto de modelagem de ameaça.
Eu sempre gosto de falar que assim...
é jeito de você identificar possíveis situações de ataques a sistema ou parte dele.
(12:48):
Por que possíveis situações de ataque?
Porque não é real ainda.
O próprio Amigo de Ferro tá na caverna, pensa, vou construir uma armadura que vai ser aprova de balas porque vão tentar atirar mim, eu vou precisar voar pra sair o mais longe
possível, vou ter lança-chamas pra poder atacar, blá blá blá, beleza.
Mas tudo isso tá acontecendo?
Não, ele tá planejando, ele tá pensando em possíveis situações, vão atirar mim, vão tentarme parar.
(13:11):
Eu preciso que isso seja a prova de bala.
Então veja, qual é a ameaça?
Vão me dar tiro.
Como que eu me protejo?
Eu preciso ter um colete a prova de bala.
ter uma armadura, algo que seja capaz de parar um tiro.
É simples assim.
Então é essa possibilidade de uma situação, nesse caso, a possibilidade de tomar tiro e eupreciso me proteger disso.
Então isso é uma modelagem de ameaça.
(13:32):
De fato, você pensar possíveis situações de ataque a sistema a partir dele.
E eu sempre gosto de dizer o seguinte.
A modelagem ameaças é a arte de encontrar problemas mesmo antes do software existir.
Por que?
Porque eu não preciso de um software pra fazer modelagem ameaça num software.
Eu preciso dos...
dos...
DOS...
(13:52):
Requisitos funcionais.
Pra você que não sabe...
Pra você que não sabe, o requisito funcional é a matéria prima do software.
Assim como um móvel é feito de madeira, assim como o carro é feito do ferro, do metal, doalumínio, você tem uma matéria prima ali.
(14:16):
Então, vamos pegar o exemplo de guarda-roupa de madeira.
Vem lá a madeira da floresta, ela é tratada, ela vai passar por processador de corte, delimpeza, de lixamento, sei lá o quê, e vai virar uma peça que eventualmente depois vai
virar o guarda-roupa.
Eu não tiro a árvore da floresta e transformo no guarda-roupa imediatamente.
(14:37):
Eu preciso que essa madeira seja trabalhada.
A matéria-prima crua, bruta, ela não tá pronta.
Eu preciso de preparo, ainda que ela tenha essa matéria-prima já de uma certa qualidade.
Até pensar como plantar essa árvore, a melhor espécie da madeira, aquela coisa toda.
Então, você entendeu a analogia aqui.
O fato é, a matéria-prima do software, é o requisito funcional,
(15:01):
ele precisa ser melhor trabalhado, ou seja, eu não pego requisito funcional e falo, eupreciso de uma tela de login.
Não, eu falo, olha, eu preciso de uma tela de login, usuárias sem, são dados sensíveis,então precisam estar criptografados, eu preciso de CAPT para evitar o número de forças, eu
preciso validar esses inputs para evitar injections e coisas do tipo, eu preciso de log acada tentativa de login, é log de auditoria para ver quem está logando e quem não está
(15:22):
logando, essa tentativa de login foi com sucesso e com erro, eu preciso que esses logssejam alertados eventualmente caso...
Tenham muitos logs de insucesso sequenciais, enfim.
Então eu estou melhorando a minha matéria-prima, que é o meu requisito funcional, paramelhorar, obviamente, o meu produto final.
Então se essa matéria-prima está bem melhorada, matéria-prima bruta, eu vou trabalhando emelhorando ela, a tendência é que o meu produto final tenha uma melhor qualidade.
(15:50):
Então nesse contexto aqui, arte de encontrar problemas antes do software existir é.
Porque eu não preciso de código para fazer mandala de EMA, eu preciso do requisitofuncional, eu só preciso da matéria-prima.
que é uma tarea-prima, é nela que eu vou falar, tá, você fez uma tela de login, mas euposso fazer injection, eu posso fazer brute force, percebe?
Ah, você tem cadastro, então eu posso manipular os dados, eu posso fazer tampering,percebe?
Então eu só preciso do requisito funcional pra fazer essa modelagem de ameaça, tá bom?
(16:14):
E aí, repetindo pouco do que eu falei, o Homem de Ferro já tinha alguns objetivos prafugir da caverna, escapar, ir o mais longe possível, obviamente não adiantava só sair da
caverna, não morrer e eventualmente atacar.
E aí...
Ele fez a armadura, o Mark 1 fez a primeira armadura, fugiu da caverna, matou algunsterroristas, tomou tiro, enroscou o braço dele uma hora.
(16:37):
Se a lembrar daquela cena, enroscou o braço dele uma hora, ele consegue sair, cara vem,inclusive, dá tiro, queima a roupa nele e a bala recocheteia, recocheteia, recocheteia,
não sei como fala essa palavra, e mata o próprio cara.
Acontece algumas coisas, tem lança-chamas que vai queimar tudo, explode os caras, enfim,consegue voar.
Isso aí, quando ele voa, inclusive, que ele cai, a armadura se despedaça, era a únicachance que ele tinha.
(17:02):
Beleza, deu tudo certo.
E qual que é a importância aqui?
Ele fez o melhor que podia com o material que ele tinha.
Quer dizer que essa armadura seria suficiente para lutar com Thanos, eventualmente, nofuturo?
Não.
De jeito nenhum.
Ela seria suficiente para lutar depois com o próprio Capitão América, no Guerra Civil,quando eles tem desentendimento?
Não.
Vingadores 1, quando ele tem uma certa briguinha com o Thor.
(17:26):
O Thor dá relâmpago nele, se fosse com essa armadura aqui ele morria, ele iria tertrocutado, explodia.
Simples assim.
Então não, essa armadura não é a melhor armadura do mundo, ela não é suficiente paraqualquer ameaça que viria futuramente.
Mas para aquele momento ela era suficiente.
Na conta, ele toma tiro de raspão, enrosca a armadura, mas ele consegue voar, escapa dacaverna, o objetivo foi cumprido com sucesso.
(17:50):
E eventualmente ele vai ser resgatado.
Então, gente, é assim.
Desenvolvimento software, como que a gente faz hoje?
Tá sendo pensado algum possível ameaça?
Tá sendo de fato pensado segurança?
Ou você tá pensando fazer refactoring, melhor código performático, usar melhor bibliotecapossível, pra quê?
Só porque você quer uma decisão de ego?
(18:13):
Por uma decisão de negócio que não foi, eu tenho certeza, que CEO da empresa não falou,não, olha só, preciso que você agora, esse código precisa estar aplicando os princípios de
solid.
de arquitetura de software.
Não, não, esse código agora precisa refatorar o código.
ele tá funcionando a funcionalidade que eu preciso.
Tá, ponto.
(18:33):
É isso que o business ped.
Então, muitas vezes a negligencia a segurança por opção ou por falta de conhecimento.
Pode ser também.
Mas vamos lá, voltando ao tópico.
Então, a modelagem ameaças, eu sempre gosto de falar o seguinte também, gente.
Eu vou aplicar lá onde há risco significante de segurança.
Não precisa aplicar a modelagem ameaças a tudo.
(18:54):
Porque senão eu viro software que eu nunca mais paro de desenvolver.
Na verdade eu nunca mais finalizo.
Porque eu vou parar de fazer modelagem de ameaças e cada requisito vira negócio absurdo.
Porque a modelagem de ameaças é trabalho empírico, trabalho manual.
Eu preciso dedicar tempo naquilo.
Não tem ferramenta que aperta o botão e ela faz para mim.
Então eu vou precisar dedicar tempo nisso.
O que quer dizer que a modelagem de ameaças toma tempo?
(19:17):
Isso acaba atrapalhando pouco a própria aplicação da modelagem de ameaças.
Por isso que eu gosto de dizer o seguinte.
Não faz modelagem de ameaças no seu sistema inteiro.
faz modelagem de ameaça onde há risco significante de segurança.
Homem de Ferro nos mostrou isso já.
Ele fez uma armadura que protege a vida dele e permite que ele escape e ataqueeventualmente.
Ele conseguiria voar por uma hora, atingir velocidade supersônica?
(19:40):
Não.
A armadura era bonita?
Não.
Tinha cores, Não.
Tinha tecnologia, inteligência artificial?
Não.
Tinha nada disso.
Era uma armadura à prova de balas que permitia ele voar por 15 minutos.
15 minutos?
Não.
Acho que ele voa por...
alguns minutos, ela funciona por 15 minutos no total, inclusive ele fala isso né, precisade algo que funcione por 15 minutos no total, 15 ou 20 minutos enfim.
(20:01):
Então essa é ideia de modelagem e ameaça, o quão eu preciso proteger esse software, oquanto eu preciso proteger esse software das ameaças reais, ameaças que podem me trazer
impacto, porque ameaça gente, vocês vão ter infinitas ameaças, a gente pode ficar fazendomodelagem e ameaça o resto da nossa vida numa API única com endpoint só, você vai achar
diversos problemas.
Mas quais deles vão nos trazer impacto real de, olha, cara, isso aqui acaba com a empresa,isso aqui fecha o negócio, isso aqui vaza dados sensíveis.
(20:28):
Do que, olha, isso aqui é um cross-site scripting que não leva nada a lugar nenhum, nãotem impacto nenhum.
Então não vamos preocupar, ainda que tenha uma vulnerabilidade lá, não vamos preocupar.
É igual falar pra você, olha, gente, é o seguinte, uma vez por ano você vai pegar gripe.
Beleza.
Você vai viver numa bolha?
Não.
Você vai pegar gripe, vai tomar aspirina e vai ficar tudo bem.
(20:51):
Você sabe o impacto, um dia de cama, seja, ou dia mais febre e tal, acabou, cega a vida.
Você vai pegar gripe o resto da sua vida até morrer.
É muito provável.
Agora, quando você é criança, quando você é melhor idade, quando você é falidoso e tal,tende a ter um risco pouco maior.
Aí a gente se protege pouco mais.
Um pouco mais, porque a gripe já é natural.
(21:11):
Agora, se você voltar alguns anos atrás e falar, olha, você vai pegar Covid.
Opa, pera, não.
Vamos ficar casa, o hospital está lotado, tal, tal, tal.
Então eu preciso me proteger.
Ficar casa, usando uma boa dose aí do que foi falado.
Não que eu concorde ou não concorde, tanto faz a minha opinião, na verdade.
Só dizendo alguns exemplos aqui.
(21:33):
Então, cara, vamos pegar ebola.
Não, espera, não vou sair na rua, não vou encostar nisso aqui porque eu vou pegar ebola.
Enfim, vocês entenderam.
Então você vai ter um momento onde você precisa se preocupar, de fato, segurança, numaprofundidade maior.
E você vai ter momentos que não fazem sentido.
Simples assim, a gente está fazendo uma API interna que chama o serviço A para pegar ainformação e mandar no serviço B.
(21:55):
E é uma informação não sensível, não tem dados alevantos, tem dados de pagamento, é dadotransacional.
Não precisa ter autenticação, criptografia, WAF?
Não.
Talvez uma autenticação ali para garantir que o serviço está chamando outro ponto paraevitar problema interno eventualmente.
assim, percebe que é diferente de eu falar, olha, cara, tem uma tela de login do meusistema principal.
(22:17):
Olha, estou banco aqui, porra, nem se compara.
E eu sempre gosto de falar o seguinte, fazer modelagem de ameaças para você não passar avida fazendo, faz no nível mais granular possível.
O mais granular possível, na minha visão, é você não precisa quebrar nível de método,componente, mas pega requisito funcional.
Pega requisito funcional.
(22:37):
Eu tenho lá crude.
Create, nem lembro o crude agora em inglês.
Create, retrieve, update, delete.
Beleza, então tem crude, eu tenho quatro requisitos funcionais.
Criar dados, buscar dados, atualizar esses dados e deletar esses dados.
nesses quatro, o que é mais crítico para mim?
(23:00):
Vamos lá, estou falando de dados sensíveis?
Então os quatro são sensíveis.
Agora, não é dado sensível.
Então entre ler as informações, até criar informação nova, nem se comparar, apagar osdados.
Percebe?
Ou atualizar os dados.
Integridade.
confidencialidade.
Então esses dois pilares de segurança talvez sejam ainda mais importantes, eu diria, doque a própria disponibilidade.
(23:24):
Estou jogando aqui, tá, gente?
Então, numa classificação, o deletar dados talvez seja mais importante do que o criar osdados.
E ainda mais importante do que o buscar os dados.
Não tão consequencial como o atualizar os dados.
Então vocês entenderam.
É como se eu falasse assim, olha, gente, vamos lá.
(23:46):
Eu tenho aplicações externas que estão olhando para internet, meu usuário precisa só teindicar, tem informação sensível aqui.
E eu tenho aplicações de back office que são transacionais, que são só acessadas via VPN,estão atrás de um firewall, então eu tenho uma exposição menor.
Então a tendência de eu ter umas perfis de ataque é menor do que o que está exposto parainternet, só para vocês entenderem.
(24:09):
Ou seja, vai fazer modelagem ameaças, pega cada requisito funcional,
classifica ele no nível de criticidade para o seu business, o que pode trazer impactoreal.
é esses caras que você vai aplicar, lá de ameaça.
Beleza?
No Homem de Ferro, ou, aliás, o Homem de Ferro Tony Stark, numa conversa com o BruceBanner, que é o Hulk, eles falam desta conversa, mas não tem tanto detalhe, mas eles falam
(24:34):
desta conversa.
Olha, o Tony Stark junto com o Hulker criaram a Veronica, ou a Hulkbuster.
que é aquela armadura gigante, linda, maravilhosa, para conter o Hulk.
Até então, essa cena, inclusive, Vingadores 2 era de Ultron, onde o Hulk, nada para o Hulkaté então.
É uma ameaça, a maior ameaça que temos, vamos dizer assim.
(24:55):
E aí, o Tony, junto com o Bruce Banner, criam a Veronica.
Basicamente, o Hulk falando, olha, o Hulk é super forte, ele faz isso, faz aquilo, e oTony Stark vai lá e cria algo capaz de pará-lo.
Cara, é exatamente a mesma coisa que ele fez na caverna.
Na caverna eu tenho terroristas com armas, eu preciso criar algo suficiente para isso.
(25:15):
Agora eu tenho o Hulk, eu preciso criar algo suficiente para isso.
É simples assim, é a modelagem de ameaça.
É como se você ligasse para o seu hacker, falasse assim, hacker, como é que você vai meatacar hoje?
Olha, senhor, Cássio, eu vou atacá-lo usando um brute force primeiro ali na sua tela deautenticação.
Eventualmente vai passar por uma senha fraca, porque você não tem uma política de senhas.
Assim que eu conseguir o acesso, eu vou conseguir acesso não administrativo.
(25:36):
Então eu vou tentar...
fazer um roubo de sessão ou tokens para escalar o privilégio e conseguir uma conta compouco mais de privilégio.
E aí uma vez de uma conta administrativa eu vou tentar deletar dados, causar umadisponibilidade.
Ponto, é isso que o hacker falou que vai fazer.
Então você desliga a ligação, obrigado seu hacker, muito obrigado.
Aí você volta para casa agora e fala, bom legal, então o hacker primeiro é fazer bruteforce.
Então vamos botar capt aqui nessa tela de login, vamos colocar uma política de senha paranão ter senha fraca, vamos atualizar todas as senhas fracas, vamos ativar o MFA.
(26:04):
Ou seja, qualquer login agora vai pedir...
um Multifactor Authentication.
Isso aqui já barrou a entrada dele.
Mas beleza, ele falou que ia depois ganhar acesso e fazer escalação de privilégio paratentar apagar dados causar indisponibilidade.
Então cada função crítica agora no sistema, especialmente as de apagar informações, agente vai pedir uma confirmação, token, segundo fator ali para garantir que o usuário quer
(26:25):
mesmo apagar aqueles dados.
Vamos fazer uma política aqui de sessão e cookies.
Cada vez que cara fizer logout,
A gente mata a sessão, limpa os hooks pra evitar que ele consiga account takeover viasession hijacking.
Enfim, então basicamente você criou ali as medidas de proteção, as mitigações de acordocom o hacker e falou como que ele vai te atacar.
(26:45):
E aí amanhã o hacker vem te atacar, não consegui, realmente você colocou as proteções queeu falei, exatamente como eu falei que ia te atacar.
Então esse trabalho do Tony Stark junto com o Bruce Banner é exatamente isso.
Eles sentaram e criaram algo capaz de deter o hook.
o próprio Hulk falando.
aí, eu vou deixar para os senhores refletirem agora.
(27:08):
Essa cena é fantástica e quase ele perde.
É quase que o Hulk falou o que ele ia fazer e você criou as proteções e não fez direito.
Na verdade não é, o Hulk é muito foda, muito forte.
Inclusive quem está vendo pelo YouTube tem Hulk aqui fazendo carinho, elogio aqui paravocês.
Essa cena fantástica que quase o Tony Stark perde, eventualmente ele vai ganhar essa cena,essa luta e parar o Hulk ali que estava destruindo praticamente cidade inteira.
(27:36):
Mas dá tudo certo no final.
Então, como é o software dos senhores?
O nosso software hoje está protegido?
Quando ele tiver um brute force, injection, RCE, um componente desatualizado como React ouNext.js, exemplo, Log4j, enfim.
Como é que a aplicação vai se comportar?
A gente sequer pensou modalagem ameaça, sequer pensou possibilidade de algo acontecererrado ou não.
(28:01):
A gente só está fazendo entrega, entrega, entrega, gera valor, gera valor, gera valor,agile, agile, agile.
Para vocês pensarem, beleza?
Quero que vocês pensem muito nisso, inclusive.
Uma forma interessante de fazer modelagem de ameaças é sempre falar com o nosso time deresposta incidentes.
(28:22):
Por quê?
A ideia de você pegar o requisito funcional, que é a matéria-prima do software, melhorá-lopara que o seu produto final seja produto com mais qualidade, nesse contexto nosso mais
seguro, é simplesmente você enriquecer a sua matéria-prima, deixá-la melhor.
Se a ideia de pensar possibilidades de algo ruim acontecer, as ameaças...
(28:45):
Posso ser difícil?
Os frameworks de modelagem ameaça vão nos ajudar com isso?
Falar com o time de espaço incidente, falar com o time de segurança, falar, cara, o que jáestá acontecendo na nossa empresa?
Fala aí os ataques que a gente já sofre.
Fala aí, mostra aí pra gente, explica pra gente, faz uma palestra.
Cara, garanta que na sua empresa já acontece ataque todo santo dia.
Então conversar com essa galera é falar assim, me fala aí quais são os ataques que gentejá sofre.
(29:05):
Porque a gente vai criar software agora, tudo novo que a gente já fizer, a vai ter essasproteções contra esses ataques, porque a gente já sabe que são coisas que gente sofre.
Não precisa ser no nível técnico, olha,
A gente recebe a SQL Injection todo dia, todo mundo recebe payload de SQL Injection navida a cada segundo.
Praticamente tem hacker fazendo isso o tempo todo.
Agora, na minha empresa é uma empresa do ramo de turismo, a gente tem muita fraude.
(29:29):
Então olha só que interessante payload que a gente recebe, olha só o comportamento danossa aplicação com relação a esse esse usuário.
Então é ataque mais específico.
Então neste contexto, ideia que você tá, se eu trabalho empresa de turismo, eu tenho quepreocupar com fraude?
Se eu trabalho uma empresa financeira, eu tenho que preocupar com fraude, roubo de dados.
Se eu trabalho uma empresa do governo, eu tenho que preocupar com reactivismo e outrascoisas.
(29:53):
falar com a Atiência das Pazes Residentes alimenta a tua modelagem de ameaça.
Vai alimentar o teu campo, eu diria, de não mais ameaças, mas de fato ataques reais.
E aí você tende a ter o a gente sempre chama de segurança 100%, o que não existe.
Mas por que 100 %?
Porque assim, quando você está fazendo modelagem de ameaças, está pensando possibilidadesde algo acontecer.
(30:14):
Que podem nunca vir a acontecer.
Agora, quando você faz uma modelagem de ameaças, essas ameaças são alimentadas porrespostas a incidentes, ou seja, já está acontecendo.
É igual falar pra você assim, olha gente, vamos lá.
Conheci alguém na internet, no Tinder, na puta que pariu, vou marcar encontro.
E eu moro São Paulo, então eu sei que é uma cidade perigosa, ou não tão segura.
(30:37):
Eu sei que eu não vou marcar encontro à noite, eu num lugar público, eu restaurantepúblico, eu num bairro X neutro, não vou num bairro mais perigoso, etc.
Então você tem uma modela de ameaça, porque você quer conhecer o amor da sua vida, nãoquer perder o teu rim, o teu fígado.
Então você faz uma modela de ameaça, simples assim, porque você quer evitar algunsimpactos.
(30:57):
Impossibilidade de coisas que podem nunca vir a acontecer.
A pessoa na verdade é uma pessoa de bem, você foi num bairro que era inseguro mas nadaaconteceu, você foi à noite e tá tudo bem, você foi num lugar público e ok.
Percebe?
As possibilidades é...
talvez vai acontecer.
Se nunca acontecer, ótimo, mas se acontecer, você estava protegido ou precavido.
Esse é o ponto aqui, tá bom?
(31:17):
Então você cria ali o teu encontro na prova de balas.
Da mesma forma, você tá falando que seu time de responses incidentes já são ataques reais?
Então quando você cria a modelagem ameaça com software novo...
baseado ataques reais que você já sofre outras aplicações, a tendência é que essasaplicações já estejam à prova de balas, pelo menos contra essas balas específicas.
Bom, você entendeu.
(31:38):
E aí, eu gosto sempre de trazer à tona aquele caso do Homem de Ferro 3, onde o Tony Starké atacado pelo mandarim, destrói a casa dele, ele está com uma armadura protótipo, vale
lembrar isso, ou seja, está sem ali a capacidade de ataque, enfim, mas ele tem ali algumascoisas, e ele vai...
de forma errônea, ele voa para o Tennessee onde é inverno.
(32:00):
Quando ele chega lá, a armadura dele acaba a energia, ele tem que abrir a armadura e sairda armadura.
Só que tá nevando, né?
Menos 10, 20 graus, sei lá o quê.
E ele puxa, acabou a energia, ele tem que sair da armadura, abrir a armadura e sai.
E ele vai arrastar a armadura, eventualmente vai achar lá uma cabana, se aquecer, enfim.
Mas foi problema.
Por quê?
Se acaba a energia da armadura e preciso sair, e tá frio, ferrou.
(32:22):
Se acontecer qualquer outra coisa e tá frio, ferrou.
Então a armadura precisa ter um aquecimento ou restriamento, enfim.
Precisa ter isso.
Além do próprio cuidado com a energia, com a bateria, enfim.
Então ele teve esse bug, vamos dizer assim, esse problema.
No filme sequente, que na verdade é o filme do Homem-Aranha de volta para casa, agora aroupa do Homem-Aranha é feita pelo Tony Stark.
(32:43):
Eventualmente o Homem-Aranha está numa perseguição com os inimigos lá e tal, ele cai numlago, o lago está gelado.
O Homem de Ferro, que agora que fez a roupa do Homem-Aranha, ele é garoto, menino, o Homemde Ferro está rastreando ele tempo todo.
Ele vai lá, manda a armadura dele, resgata o Peter desse lago, e na conversa ali o Peterfala que legal dessa nova roupa que você criou, tem rastreador, e o Tony Stark fala, tem
(33:10):
rastreador, por isso que eu te achei, e inclusive eu coloquei tudo no seu roupa, inclusiveesse aquecedor, porque nessa hora o Peter está tremendo de frio, porque ele estava num
lago gelado à noite.
E aí o Tony fala, inclusive esse aquecedor, e aí a roupa dele faz um...
Olha a sonoplastia, né?
E aí cena mostra ali a roupa do Peter aquecendo ele, e ele tem ali uma vantagem,obviamente, com base na experiência do próprio Tony.
(33:35):
Ele teve incidente, ele teve problema que a armadura dele precisou abrir e tava nevando,tava gelo.
Ele vai lá e colocou agora aquecedor na roupa do Homem Aranha.
E provavelmente na roupa dele também.
Então é esse mindset de melhoria sempre.
Que é o que eu quero falar agora.
Vale sempre lembrar, gente, não adianta.
(33:58):
Você entrar nessa ondinha aí de vamos entregar valor, a gente é Agile, é funcionalidadenova toda semana, não, porque o meu SaaS, uh, agora onde é SaaS, building public e palavá,
é tudo pra bosta vocês, é tudo pra bosta.
Porque a ideia é muito legal, mas só fazer entregar, você está entregando merda.
(34:19):
É isso que você está entregando, está entregando software.
Pode estar usando, pode estar funcionando, o objetivo é atingido.
Mas eu tenho certeza que você não pensou segurança, o mínimo de segurança.
Porque se eventualmente você tiver ataque, e eu espero que você não tenha...
(34:40):
Pausa para espirrar.
Espero que você não tenha, mas eventualmente você vai ter.
Você não só não entregou o valor para o seu cliente, você tirou dele.
E pior, esse ataque não aconteceria se não fosse o seu software.
Você virou o meio para aquele ataque.
Então você tem uma certa corresponsabilidade.
E eu vou dizer mais.
(35:01):
Se você fez isso de propósito, você é cúmplice desse ataque, que provavelmente écybercriminoso.
Se você fez por falta de conhecimento, né?
Puta, não tinha ignorância, o que quer que seja.
Que é ok, tá?
Ninguém está julgando ninguém.
É ok.
Ok.
Vamos lá e resolve agora.
Mas ainda assim você tem uma responsabilidade nisso.
É simples assim.
(35:21):
Tá?
A pizzaria, ela faz a pizza, põe no forno, tempera e bota no...
para o motoboy que vai entregar na casa de alguém.
A responsabilidade da entrega ainda é da pizzaria.
Ah, mas eu uso o serviço terceiro.
mas o motoboy eu não consigo controlar.
Sinto muito.
Agora, troca o cenário.
Você vai no restaurante, o chefe fez o prato, o melhor prato do planeta, com o melhoringredient do mundo, entregou na mão do garçom.
(35:46):
O garçom com a mão toda suja, entrega o prato para você e o prato chega todo sujo.
De quem é a culpa?
É do chefe.
Não é do garçom.
O garçom, obviamente, foi o responsável pelo problema.
Mas o restaurante responde por aquilo.
Então a culpa é do chefe de cozinha.
A responsabilidade do prato sair da cozinha, até a mesa do cliente, é do chefe de cozinha.
(36:06):
Dono do restaurante, né?
Mas vamos lá.
Então o teu software teve um ataque, vazou os dados do seu usuário, não adianta botar aculpa na Cloudflare, não adianta botar a culpa na puta que pariu, a culpa é sua, meu
jovem.
Tá, então o que eu quero dizer com isso, cada versão do seu software a 1.1 tem que sermelhor que a 1.0.
Eu não tô dizendo melhor que agora dá mortal pra trás, tem uma cor nova, funcionalidadenova, entrega valor, olha nova feature, nova feature, nova feature.
(36:32):
Tá mais seguro?
É só isso que eu tenho perguntar pra vocês, só isso.
Você tá mais seguro?
eu preciso preocupar.
Precisa.
Preciso se preocupar sim.
Porque se eu não se preocupar com segurança, meu jovem, se eu não se preocupar comsegurança, você vai eventualmente ter incidente que pode custar muito caro pra você e pros
seus usuários, Então, pensar com o motor Stark, Não só resolver bug, mas melhorar asegurança.
(36:58):
É nossa responsabilidade enquanto desenvolvedores.
É nossa responsabilidade enquanto empresa que desenvolve software.
É nossa responsabilidade.
Ponto.
O garçom...
O chefe de cozinha, a recepcionista, o dono do restaurante, todos são responsáveis pelacomida.
Todos.
Se o chefe de cozinha, ele tem os ingredientes para preparar.
(37:18):
Ele falou, compra o ingrediente tal de tal lugar.
Se o dono do restaurante foi lá e comprou do outro lugar e a qualidade veio baixa, todospagam por aquilo.
No fim do dia, o cliente vai comer a comida.
Percebe que o usuário vai sofrer o impacto.
Consequentemente vai manchar o nome do restaurante.
consequentemente você pode causar dano, for uma alergia naquele cliente, podeeventualmente matá-lo.
(37:42):
Então, o teu software, você tem responsabilidade nisso, a segurança é responsabilidadesua.
Não adianta fugir disso.
Você pode discutir filosóficamente, ah não, mas o chefe de cozinha pediu, aí fez, aí não éculpa dele.
Não, gente.
Vocês estão muito assim, do apartamentinho de vocês aí do Leblon não dá pra ver essascoisas, Mas vocês estão muito mal informados por jornalzinho e televisão.
(38:04):
a gente perdeu o senso de responsabilidade.
Cara, todo mundo envolvido no ciclo de desenvolvimento de software é responsável poraquele software.
Ah, mas eu trabalho, sei lá, vou dar exemplo aqui, tá?
Mas eu trabalho no Itaú, por exemplo, e aí teve problema no Itaú, tá, que lá no Itaú, aculpa é minha, a culpa é sua, é sua do CEO, do CTO, de todo mundo.
(38:29):
Por quê?
Porque é o Itaú.
Ponto, você trabalha lá?
Ah, eu não tô naquele projeto, gente.
Gente.
Gente.
Não me vem com essa.
Aprende a ocupar o teu lugar no espaço.
É responsabilidade sua.
Teve incidente de segurança na empresa que você trabalha, no software que você trabalha?
(38:51):
É responsabilidade sua.
Ponto final.
Tá bom?
Então, gente vai melhorar a segurança.
E vale lembrar o seguinte, não dá pra fazer segurança direito, appsec, enfim, sem ter umsoftware development lifecycle correto, sem ter ciclo de development software decente.
Por quê?
Porque o time A faz de jeito, time B faz de outro jeito, fica difícil.
(39:14):
Então, é importante que, ainda que cada time faça de jeito, mas de jeito estruturado,processo estruturado, é possível a gente incluir segurança nesse processo, nessa
estratégia.
Então, a ideia é que...
Cada release sua, cada versão nova sua, seja uma nova marque.
marque 1, marque 2, marque 3.
Cada nova armadura do Homem de Ferro.
(39:35):
Para que você possa evoluir.
A segurança do seu software, tá?
E vale lembrar que seguinte, cada armadura do Homem de Ferro, ela é feita principalmentepara protegê-lo.
Ele não pensou, vou fazer uma arma para sair atacando por aí.
Não.
Não foi essa a primeira intenção.
A primeira decisão foi eu preciso de algo que me proteja dos tiros dos terroristas e queeu possa voar daqui.
(39:59):
Eventualmente eu vou precisar atacar.
Percebe?
Então o teu software não pode perder essa essência.
Não, preciso criar software agora à prova de hackers.
Não.
O teu software precisa fazer o que o teu software tem que fazer.
É software de venda, de pagamento, é de entregar pedido, é de pedir carro.
Não importa.
Mas ele tem que fazer tudo isso de forma segura.
(40:19):
Então não adianta inverter a jogada.
Homem de Ferro não falou, vou criar uma bazuca aqui, sair matando todo mundo e estoufeliz.
Não.
Ele falou, eu vou criar algo que vai me ajudar a sair dessa caverna e voar.
Ficou monte de terrorista vivo lá.
Inclusive, depois ele volta e mata os caras, aí ele melhorou a armadura e tal.
Mas, veja, eu preciso fugir daqui.
(40:40):
Esse é o meu objetivo.
Então não perca essa essência no seu software.
Qual o objetivo do seu software?
É vender, é registrar clientes, é gerar relatório, é fazer ABC.
Continue com isso, mas agora você vai fazer isso de forma segura.
Esse é o ponto, não perca essa essência, tá?
Lembra que no Homem de Ferro 1, final do filme, ele está lutando com o vilão.
Na verdade, começo do filme, a armadura 2 dele, que é a prateada, quando ele volta paracasa, ele foi resgatado, ele faz aquela armadura toda prateada.
(41:06):
Agora já com toda a tecnologia, todo o laboratório que ele tem, já com a inteligênciaartificial, que é o Jarvis, enfim.
A primeira coisa que ele faz é voar fora da estratosfera, ver até onde ele consegue voar.
Quando ele sai da estratosfera,
Enfim, está na extraterrestre, não sei exatamente como falar isso.
Ele congela.
A armadura congela, ela desliga, ele perde a capacidade de voo, começa a cair, quedalivre.
(41:29):
Aí tem um trabalho manual que ele faz, abre uns flaps ali, descongela, a armadurareinicia, ele continua, toma o controle de volta.
Perfeito, esse foi o buggy, esse foi o cenário.
Final do filme, ele já está na versão 3 agora, e o vilão roubou a armadura dele, roubou aideia e tal, roubou a 1, a primeira versão.
Quando ele está quase sem energia, inclusive o vilão perseguindo ele, ele começa a voarbem alto, o vilão perseguindo ele, porque ele sabe que ele agora melhorou, material da
(41:56):
armadura dele não vai congelar mais, e o vilão toca a versão ruim ainda, toca a versãobugada.
E o vilão, que é o monge de ferro, pega o pé dele e fala, Tony, a sua armadura é...
Você teve uma grande ideia, na verdade, mas a minha armadura é mais avançada que a sua.
Aí o Tony, mas como é que você resolveu problema do gelo?
E nessa hora o cara já está congelando, né?
Praticamente, e aí desliga a armadura também, vai perder ali, ele tem uma vantagem,consegue escapar do cara e tal.
(42:21):
Então, olha que legal, ele teve um bug, resolveu o bug, teve um incidente, umavulnerabilidade, resolveu aquela vulnerabilidade.
Por quê?
Porque depois pode custar a vida dele, depois pode custar caro, então a resolve o problemaque gente acha.
Olha a mentalidade do Tony.
Assim, não tem como fugir disso, né?
Se a gente lembrar também, lá no Homem de Ferro 2, quando ele está lutando com o E-Plash,
(42:43):
aquele cara com chicotes de energia, ele ganha a luta ali e tal, mas o Iplash agoraconsegue atingi-lo com chicotes de energia, que ele copiou praticamente ali o reator do
Tony Stark, e a armadura dele toma muito dano, fica bem desgastada, Além, do cara terencostado nele com tanta energia.
Já no Vingadores, que é filme na cronordem cronológica, no Vingadores 1, quando ele temuma briga com o Thor ali, o Thor...
(43:09):
dá o raio ali o trovão, a armadura dele não toma tanto dano quanto antes.
A material da armadura é melhor agora.
E ele ainda toma dano, Ela fica meio rachada e tal, mas já é bem melhor.
E ele absorve toda a energia do raio agora.
Ou seja, eu tive problema onde consegui encostar mim com muita energia.
Por que não me beneficiar disso?
(43:30):
Eventualmente eu vou ter um próximo vilão, uma próxima luta que se alguém encostar mim, aarmadura vai tomar muito dano.
Não pode ser assim, eu preciso melhorar isso.
Vou melhorar essa funcionalidade de proteção da armadura.
Ele melhora o material e agora ele absorve a energia.
O que no Vingadores Ultimato, o último filme da saga, que é quando ele inclusive sesacrifica pela humanidade, minuto de silêncio, pronto.
(43:53):
Ele se sacrifica pela humanidade, não é Homem de Ferro?
Agora ele fala para o Thor, me atinge.
A armadura dele agora abre de forma proposital.
O Thor chama lá o trovão, taca nele.
ele absorve aquilo tudo tempo real, aquela energia toda e vira laser, vira uma arma paraatacar o Thanos ali e tal.
Então veja, lá atrás, cara, eu tive um bug, o meu material era falho, a energia encostoumim, não pude fazer nada, tomei muito dano.
(44:19):
Agora eu evolui, eu tomo menos dano, absorvo energia, agora não, eu absorvo energiainteira, a minha armadura não toma dano nenhum e eu transformo isso numa arma.
Essa mentalidade é fantástica.
Porque como é que é o software nosso hoje dia?
Você tem uma vulnerabilidade?
Você nunca corrige, fica eternamente no backlog, dia você vai ter incidente e falar,caramba, não vimos isso antes.
(44:40):
É, mas jovem, não vimos isso antes.
Lá na guerra civil, a briga do Capitão América, time Homem de Ferro, o Homem-Formiga vaientrar na armadura do Homem de Ferro.
E começa a desligar a armadura.
A Friday fala pra olha, estamos com sistemas de armas offline.
(45:03):
Aí ele, o quê?
Porque ele não...
Aí o Homem-Formiga começa a na cabeça dele, sua consciência.
Friday, quando ele chama a Friday com uma cara de desespero, é do tipo, cara, eu sei o queeu fiz, eu conheço minha armadura, eu sou gênio.
O que está acontecendo?
Como é tem algo fora do meu controle?
Isso é absolutamente foda.
(45:24):
Quando a gente para pra pensar, cara, eu tenho de fato uma ameaça agora.
Algo que eu não tinha pensado.
Algo que sequer eu imaginei que existisse e está me atacando agora.
Está desligando a minha armadura.
Aí a Friday toma ali a iniciativa de soltar o sistema de exaustão como se estivessepegando fogo.
Solta ali a água, expulsa o homem formiga, sem saber o que está acontecendo.
(45:44):
E resolve o problema.
Mas foi uma ameaça não pensada.
E a pergunta é, como é que é o software hoje dia?
Você pensou alguma ameaça?
Você pensou naqueles caras na universidade aprendendo segurança de informação, fazendoCrossfire Script e Asker Injection por aí?
Seu site vai se proteger deles?
Seu site vai se proteger do crime organizado?
Seu site vai se proteger de um grupo de hacktivista num nível de país, nível de nação, decyber guerra mesmo?
(46:13):
Se o site está preparado para quê?
Se o sistema está preparado para qual tipo de ataque?
Ou nenhum deles, né?
O que é pior, né?
Então, eventualmente ele vai resolver esse problema lá com solução de nanotecnologia etal, mas a ideia é que ameaças existem.
Quer você quer ou não, quer você acredite ou não.
É tanto que no Homem de Ferro 3 ele começa a ficar paranoico, né?
(46:34):
Porque logo depois do Vingadores 1 as ameaças agora não são mais tão reais, reais do pontode vista físicas, humanas.
As ameaças agora são alienígenas.
Abriu portal Nova York, entrou, a aliens vieram nos atacar.
Então, o Tony Stark fala, cara, a gente não tá preparado pra isso.
A tá fodido, pra falar a verdade.
Se isso aqui acontecer de novo, a tá fodido.
No Vingadores 1 foi sorte que deram.
(46:56):
Muita sorte.
Assiste o filme e vocês vão ver que foi pura sorte.
A gente não teria resolvido o problema, né?
E aí, no Homem de Ferro 3, já tá neuróticosão, neuróticosinho, ele cria a legião de ferro,basicamente ali toda...
várias armaduras, cada uma com uma funcionalidade diferente, cada uma com uma capacidadediferente, mas ele não consegue escalar isso, ele vê que tem alguns problemas, ele desiste
(47:16):
da ideia, mas o Homem de Ferro 3 dá avanço tecnológico muito alto para ele, porque aarmadura dele agora é independente, a vai discutir isso no próximo episódio, mas só para
vocês entenderem até que ponto chega.
E a ideia é que, gente, modelagem e ameaça, a gente é sustentado por lições, aprendidas.
A gente precisa fazer modelagem e ameaça às escuras, pegar um framer que começar a aplicare tal, sim e não.
(47:38):
Por que não?
Porque já tá, como eu falei pra vocês, já tá acontecendo coisa na sua empresa.
Basta conversar com o time de segurança.
E o Tony Stark nos mostra pouco disso, de lições aprendidas, quando lá no Guerra Civiltambém, no final, meio do filme, o Visão atinge com raio lá, ele quer atingir o Falcão, O
Falcão ali desvia, esquiva, atinge o Rhodes, que não tá esperando, né?
Atinge o Rhodes, o Rhodes perde a capacidade de voo, ele vai cair e ficar paraplégico.
(48:03):
E o Tony Stark tá voando com o Rhodes, ele tenta resgatar o Rhodes.
mas ele está com uma armadura sem a velocidade supersônica, sem super velocidade, ele nãoconsegue resgatá-lo.
Enfim, o cara está caindo, Meter a velocidade supersônica para baixo também, ele vaiconseguir parar, enfim.
Ele não consegue ajudar o amigo dele, o amigo dele vai ficar paraplégico.
No Guerra Civil, aliás, no Guerra Infinita, o Vingadores 3 praticamente, a nave invade aterra lá e tal, pega lá, sequestra o Dr.
(48:29):
Estranho e está indo embora.
E ele está perseguindo a nave e a nave começa a mais rápida que ele.
E ele fala para a Friday, pede turbo ali e tal, e aí armadura dele ganha um turbo, eleconsegue super velocidade e eventualmente vai chegar até a nave.
Então a ideia de melhorar sempre, de ter sempre ali, eu tive problema, tive uma liçãoaprendida, preciso melhorar, preciso evoluir, estar constantemente com o Tony Stark e
(48:52):
conosco também, desenvolvedor de software de segurança.
E aí, modelagem de ameaça a gente faz com diversas formas.
Eu sempre gosto de falar das talvez as mais práticas, o OASP...
ThreatDragon, uma ferramenta que implementa, se não me engano, o Stride, o Pasta e umoutro framework que eu não lembro agora.
E o Microsoft Threat Modeling Tool que implementa o Stride por trás.
(49:13):
Mas a gente está falando de implementação disso de frameworks.
Então, Stride, o Pasta, Lindum, Attack Trees, PNG, Security Cards, HTML, o QTMM, é oQuantitative Threat Modeling Method, o Trike, o VAST, Octave.
Todos os frameworks e modelos de você fazer modelado de ameaça.
Minha sugestão, pega um e faz Hello World.
(49:35):
Você vê como as coisas funcionam.
Mas todos eles vão trazer basicamente...
Todos não, alguns deles vão trazer categorias de ataques ou ameaças e você dentro do teucontexto, dentro do teu requisito funcional, você vai aplicar aquelas categorias.
Então no Stride, exemplo, lá, spoofing, tampering.
Onde nessa tela de login eu posso ter spoofing?
Onde nessa tela de login eu posso ter tampering?
Onde nessa tela de login eu posso ter repudiation?
(49:56):
Um information disclosure, denial of service, elevation of privilege.
e assim por diante.
baseado nisso, você vai definir as ameaças com base naquelas categorias e as mitigações.
O output do modelo de ameaça é, tá bom, achei os problemas, ou os possíveis problemas, aspossíveis situações de ataque.
O que eu faço agora para proteger delas?
Ou para reduzir o impacto e assim por diante.
Então a conclusão aqui, é a seguinte.
(50:19):
Imaginar o inimaginável é o que Tony Stark faz.
Ele tá...
Cada filme mostra que a evolução dele...
No filme 1 já, tive a primeira armadura, saiu da caverna, mas a segunda versão tinha queser muito mais foda, porque ele queria voltar lá e pegar os terroristas, ver que estava
tudo errado.
Então a segunda armadura já é foda.
(50:40):
A terceira então, já é absurdo, já é a colorida.
Então esse mindset de evolução e melhoria constante, isso tem que estar no sangue devocês, principalmente se você é desenvolvedor.
Eu não estou falando melhoria gente, desculpa tá, mas não estou falando melhoria deperformance, de código, de...
Sim, também, isso já é natural.
Mas a melhoria é de segurança.
(51:01):
A empresa que não pensa segurança hoje está fadada ao fracasso, porque eventualmente vocêvai ser atacado.
Eventualmente não, né?
Você já está sendo atacado, você só não sabe disso.
Então, esse mindset é o que eu queria passar pra vocês hoje, de modelagem e ameaças, comofazer modelagem e ameaças, com o meu novo design.
Eu não estou com uma barba estilo Tony Stark, mas estou...
com novo visual que eu gostaria muito que vocês fossem lá no YouTube e comentassem nessevídeo aqui nesse episódio, tá bom?
(51:27):
Pessoal, a gente se vê na semana que vem, final de ano acabando, então vamos dar fériaspros meninos, né?
Daqui a pouco a gente volta aí a todo vapor na nossa sexta ou sétima temporada da VistaCouch Podcast.
Nem me perdi agora.
Temporada da Vista Couch Podcast, muito episódio pra vocês, eu espero que vocês fiquembem.
Leiam o livro enquanto isso, porque aí os próximos episódios aqui do Podcast vão ser aindamelhores.
(51:49):
você vai conseguir acompanhar ainda muito mais.
Compartilha esse episódio com quem você ama ou com quem você odeia, mas compartilhe,porque o importante é fazer software com segurança.
Leia o livro, veja a apresentação do AppSec Iron Man.
E acho que era isso, A gente se vê no próximo episódio.
Valeu.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.