novembro 06, 2017

[Segurança] A paternidade da H2HC

Esqueça tudo que você conhece ou já viu sobre tretas na área de segurança. Nesses últimos dias presenciamos a "mãe de todas as tretas", em uma discussão sobre quem foram os fundadores da conferência Hackers to Hackers Conference (H2HC).


Tudo começou por causa de um simples post no Linkedin (nota: desde 07/11 o post não está mais disponível) (nota: para quem não viu a mensagem original, já rolou um leak do post), aonde o Domingo Montanaro divulgou a sua participação em um painel do congresso Security Leaders, evento que vai acontecer aqui em São Paulo nos dias 13 e 14 de novembro.



Tudo bem, exceto que lá constava como parte de sua biografia que ele foi “fundador da H2HC“.

Pouco depois o Ygor "DMR" publicou um comentário questionando que ele não tinha participado da fundação do evento, e como resposta, o Montanaro escreveu um artigo no Medium contando a sua versão dessa história.


O que se seguiu foi uma discussão interminável entre o Montanaro e os demais criadores e organizadores da H2HC (incluindo o Ygor "DMR", o Wendel "Dum_Dum", o Alex "Sefer Zohar", o Rubira e o Filipe Balestra), além de alguns dinossauros como o O Gustavo "csh" e uma ex-namorada, aonde também trocaram farpas pessoais e citaram até treta com fatos relacionados a outros empregos e investimentos dele.

Ficou fácil perceber que haviam algumas pessoas com desafetos com o Montanaro, e aproveitaram o post para botar isso tudo para fora. Mas o grosso da discussão mesmo foi se o Montanaro participou ou não da fundação do evento, com ele defendendo seu ponto de vista que sim, e todos os demais discordando e acusando-o de querer tomar aproveito do sucesso do evento.

O post chamou a atenção de muita gente, com comentários em vários grupos no Telegram e WhatsApp, devido a quantidade de roupa suja lavada em público, no Linkedin. Eu conheço o Montanaro há vários anos e eu, particularmente, nunca trabalhei com ele nem tive algum tipo de problema, mas tenho alguns amigos que já trabalharam com ele e tem alguma experiência negativa para relatar (que fiquei sabendo no decorrer dos anos, em diversas conversas com cada um).

Mas nesse post eu vou focar no tópico inicial da treta, que é a fundação da H2HC.


Resumidamente, o Montanaro alega que participou da organização das 4 primeiras edições do evento e foi responsável pela realização da primeira edição. Segundo ele, "coloquei grana, trabalho e risco em potencial para o evento sair do papel", e repetiu esse argumento várias vezes, como por exemplo no trecho abaixo:


Em troca, seguiram diversas manifestações de vários dinossauros da área de segurança, inclusive dos organizadores atuais da H2HC e daqueles que, mesmo segundo as diferentes versões dos fatos,  participaram da  criação do evento. Todos contra-argumentaram que o Montanaro não participou da criação do evento, e apenas ajudava (e algumas vezes atrapalhava).

O que eu entendi disso tudo, na minha opinião, é que apesar dos argumentos em contrário do Montanaro, todos que participaram do surgimento da H2HC foram unânimes em dizer que, embora ele tenha colaborado com a organização nas primeras edições, ele não participou da criação do evento, e inclusive em alguns momentos o pessoal relatou que ele as vezes mais atrapalhava do que ajudava.


Não tem nenhum comentário nessa discussão de alguém que confirme a versão do Montanaro ou que concorde com ele. Pelo contrário. Para exemplificar como o Montanaro era discordante dos demais que criaram a H2HC, o Alex "Sefer Zohar" mostrou um email do Montanaro sugerindo tirar a palavra “hacker” do nome do evento:


Essa discussão no Linkedin se extendeu por alguns dias, envolveu algumas centenas de comentários de várias pessoas e gerou memes.

No final das contas, é fácil perceber que existem várias versões sobre quem e como surgiu H2HC. Inclusive tem diferenças se compararmos os depoimentos publicados no post do Montanaro no Linkedin, a versão dele no Medium, a versão do Rubira que consta na revista comemorativa de 10 anos da H2HC (que foi contestada discretamente pelo Waldemar Nehgme) e em diversos comentários de colegas em alguns grupos do WhatsApp  aonde acompanhamos a evolução da treta  quase que ao vivo.

Então, vestindo o meu chapéu de blogueiro investigativo, eu quero construir a minha versão de como, aparentemente, deve ter sido a criação da H2HC, juntando estes depoimentos que mais fizeram sentido, e juntando inclusive a minha experiência acompanhando a evolução do evento nesses anos todos.

A primeira H2HC  aconteceu mesmo em Brasília, em 2004. O evento estava previsto para acontecer em São Paulo, na SUCESU-SP (vide abaixo o screenshot do site na época, cerca de um mês antes da data prevista, que era 24 e 25 de Julho).


Mas a Sucesu deu para trás e, para não cancelar o evento, eles adiaram para Novembro e o Waldemar Nehgme viabilizou que a H2HC acontecesse em Brasília.

Nesses primeiros anos o evento "meio que intercalou" entre Brasília e São Paulo: a segunda edição (2005) foi na capital paulista, na FIAP, a terceira também foi em São Paulo, na FMU, e em 2007 voltou para Brasília na quarta edição. Em 2008 voltou para a FIAP, em São Paulo, e de aí em diante o evento sempre aconteceu em São Paulo (além de que, em 2010 teve também uma edição extra “H2HC Cancún”).

A primeira vez que eu fui na H2HC foi em 2005 (a primeira edição em São Paulo), no último andar da FIAP da Lins de Vasconcelos. Lembro de ficar espantado quando, na entrada, havia uma ficha de inscrição que perguntava qual era o meu nickname. Nunca tinha visto isso em um evento de segurança! Mesmo já trabalhando há cerca de 7 anos na área de segurança, neste dia só vi uma pessoa conhecida: o Willian Caprino. Eu lembro também de ter assistido palestras de caras que se tornaram lendários (e desaparecidos desde então) como o Musgo e o Sefer Zohar (ele sempre teve um jeito muito engraçado de palestrar - no bom sentido, talentoso mesmo!) Em 2006 fui novamente no evento, e lembro que aproveitei para fazer um curso da SANS no domingo, aonde o Rubira foi o instrutor. Já o conhecia de fama, e neste curso tive a oportunidade de conhecê-lo pessoalmente. O Balestra estava lá também, ajudanado o Rubira no curso.

Naquela época a H2HC em São Paulo era realizada em faculdade (na FIAP e na FMU), o coffee break tinha bolacha com litrão de refrigerante, e o pessoal ficava sentado no fundo da sala disputando o CTF (essa foi a primeira vez que vi um CTF aqui no Brasil). A partir de 2009 (6a edição) o evento começou a ser realizado no Novotel Morumbi.

Pelos diversos relatos, é unânime que a ideia da H2HC surgiu do Ygor "DMR", que na época morava em Goiânia, do Wendel "Dum_Dum" e do Alex "Sefer Zohar". Eles se conheceram alguns anos antes em um evento em São Paulo, como me contou o DMR, tiveram a idéia, bolaram como funcionaria o evento, e chamaram outros participantes da comunidade hacker (underground) para participar. Eles envolveram a comunidade underground através do IRC com a proposta de ter um evento técnico, hands-on, aonde as pessoas pudessem se encontrar presencialmente pela primeira vez. Segundo a revista H2HC:
"A idéia da conferência surgiu do Ygor (*), que viu na mesma uma forma de conseguir reunir os amigos da internet em um único local, sendo a mesma apenas uma desculpa para que todos pudessem faltar aos trabalhos (e talvez até tivessem a vinda patrocinada pelas empresas). Por isso o nome tão sugestivo: De hackers para hackers (Hackers to Hackers).
Outro motivador foi o fato de que as conferências até então eram muito teóricas (leia-se apenas slides), onde o palestrante quando questionado respondia algo do tipo “me manda um e-mail que te respondo”. Ai queríamos fazer algo com o verdadeiro espírito hacking, onde todas as palestras tinham que ter uma demonstração prática como prova do conceito apresentado, onde quem estivesse assistindo poderia fazer questionamentos que seriam respondidos na hora, com demonstração prática."
(*) Aqui a revista da H2HC falha em não citar o Dum_Dum e o Sefer Zohar como co-responsáveis pelo surgimento da idéia.

O site da primeira edição já descrevia o objetivo do evento:


Coube ao Wendel entrar para a história como a pessoa que sugeriu o nome para o evento.

Em seguida algumas pessoas se juntaram na organização, como o próprio Montanaro e o Waldemar Nehgme, mas o Sefer Zohar diz que saiu da organização por conta das discussões que o Montanaro criava no grupo.

Mas a primeira edição só saiu do papel por causa do Waldemar Nehgme, de Brasília, que usou a empresa dele para viabilizar a contratação do hotel e os pagamentos, uma vez que não deu certo uma parceria que eles estavam negociando para viabilizar o evento em São Paulo.


Na primeira edição, em 2004, o site mais antigo que consta no Archive.org é de Fevereiro de 2004. Lá diz que os organizadores eram, na época, o Wendel Guglielmetti Henrique (dum_dum), o Ygor da Rocha Parreira (dmr), o Alex Márcio (Sefer_Zoar) e o Ralf Braga (m0rpheuz):


Notem que o nome e o nickname (y0z) do Domingo Montanaro não constam no site da H2HC.

A partir de Maio de 2004 até Setembro constava no site que os organizadores eram apenas os grupos Front The Scene e o Clube dos Mercenários. O Montanaro já aparecia como palestrante. Nas versões dos sites da H2HC de dezembro de 20042005 e 2006 já mudou a página sobre os organizadores! Lá constam que os organizadores eram os grupos Front The Scene, Clube dos Mercenários e Security OpenSource e que os "Coordenadores Técnicos" eram: Wendel G. Henrique (o Dum_Dum), o Waldemar Nehgme, o Ygor R. Parreira (DMR) e o Domingo Montanaro.


Pelo artigo na revista H2HC, na quinta edição (em 2008) já eram 8 pessoas organizando o evento.

E assim este grupo continuou organizando a H2HC até a quinta edição, quando então o Rubira e o Filipe Balestra se dispuseram a organizar o evento sozinhos, e começaram a dar mais profissionalismo ao evento.
"Na quinta edição tudo estava atrasado e parecia que não conseguiríamos fazer o evento, eu estava fora do país e a coisa não movia, então propus ao comitê que eu topava voltar e fazer tudo acontecer, mas que dali para diante eu tomaria as decisões, me reunindo com a galera (que eu chamo de os Originais) de tempos em tempos para coletar feedbacks. Chamei então o Balestra pra me ajudar e conseguimos fazer a conferência acontecer!"
No site dessa 5a edição do evento, constam como organizadores: Filipe Alcarde Balestra, Rodrigo Rubira Branco, Waldemar Nehgme, Wendel G. Henrique, Wladímero Fernandes, e o Ygor R. Parreira. Também constam como colaboradores o Ricardo Giorgi (na época ele já era professor da FIAP) e o Julio Cesar Fort. O Montanaro já não constava no site, nem como organizador nem palestrante.


Neste ano, 2008, já começaram a ter empresas patrocinando a H2HC. Eu lembro que teve  pessoas da comunidade underground que começaram a questionar o evento, e algumas até mesmo a boicotar, dizendo que a H2HC tinha ficado comercial e se vendido para as empresas. Esse evento, que nasceu da comunidade hacker, em determinados momentos recebeu o patrocínio até mesmo da Microsoft, empresa várias vezes hostilizada por essa mesma comunidade.


Para mostrar para a comunidade que o evento não tinha se vendido para as empresas patrocinadoras, algumas palestras incluíram falar sobre ataques a Microsoft e soltaram alguns zero-days. Um funcionário da Microsoft que foi no evento, o Andrew Crushman (gente finíssima, sensacional!) ficava nas primeiras fileiras anotando tudo! O pessoal da Immunity também!
:)

Desde então, o Rubira e o Balestra tem sido os principais responsáveis por organizar a H2HC, além de um enorme time de voluntários que ajudam muito durante o evento. Eles tem feito um trabalho sensacional e mantiveram a H2HC como o principal evento de pesquisa em segurança no Brasil, com uma qualidade tecnica indiscutível.

Independente de qual seja a versão correta da história, infelizmente existem algumas pessoas que gostam de ganhar fama em cima do trabalho dos outros. Por isso, eu respeito muito a preocupação do DMR e do Dum_Dum em preservar a versão da história que eles consideram ser a verdadeira.

Alguém se entitular "fundador" de algo é muito forte. Este é um termo que traz consigo muita responsabilidade e importância, pois dá o sentido de que a pessoa teve papel importante e decisivo na criação e execução de uma idéia. No caso de um evento, espera-se que fundador seja a pessoa que criou a idéia do evento, viabilizou as primeiras edições, trouxe os palestrantes e participantes, e no dia executou o evento. Em um evento criado por uma coletividade, assumir para si o papel de "o fundador" é um desrespeito a todos os demais que efetivamente participaram da criação do evento.
  • Do ponto de vista do Montanaro, ele defende que, embora não tenha participado da criação da idéia, ele teve papel fundamental para conseguirem executar o evento, junto com o Waldemar;
  • Do ponto de vista das demais pessoas que participaram da discussão, o Montanaro não pode ser considerado fundador pois não participou da criação do evento e só começou a ajudar na fase final da organização da 1a edição, além de não ter tido um papel tão importante quanto o Waldemar (quem bancou os principais custos para realizar o evento).
Nós, na BSidesSP, já tivemos um caso triste em que uma pessoa se ofereceu para ajudar no evento, nós concordamos que ela fosse voluntária, mas ela nem apareceu no dia do evento e nunca ajudou em nada. E ouvimos, através de uma pessoa confiável, que ele estava se apresentando como "um dos organizadores" do noso evento :(

Para minimizar o risco de passar por esse tipo de situação, nós colocamos em nossa página quem são os organizadores e eu já publiquei aqui no blog a história de como trouxemos a BSidesSP para o Brasil. Eu, particularmente, sempre me apresento como "um dos organizadores da BSidesSP", pois independente da importância ou não do meu papel no evento, ele jamais aconteceria se não fosse o grupo formado por 5 pessoas do que consideramos o "core team" nem sem as 10 pessoas que batizamos de "hands of king". Um evento dessa magnitude não acontece fruto do trabalho de uma única pessoa.

Para saber mais:
OBS:
  • Post atualizado em 06/11 (23h) para corrigir os locais das 4 primeiras edições (de BSB+SP+BSB+SP para BSB+SP+SP+BSB) e, principalmente, para incluir mais informações, detalhes e screenshots baseados nas cópias dos sites armazenadas no Archive.org. Atualizado também as 23:30 com feedback do Rubira e as 23:50 com feedback do DMR. Pequena atualização as 0:20.
  • Post atualizado em 07/11 (1:45am) com feedbacks do DMR e do Dum_dum. Obrigado :)
  • Atualização em 07/11 (19:55): Fiz alguns pequenos ajustes em alguns pontos do texto e, principalmente, incrementei a conclusão do artigo. Além disso, o post do Montanaro já não está mais dicponível no Linkedin desde hoje (07/11) de manhã. Para vocês terem uma idéia do tamanho da treta, eu tentei tirar um screenshot do post, mas meu browser só permite um zoom de 10% da página (não consegui fazer menor) e ainda assim sobraram 5 páginas de comentários abaixo disso. Ou seja, os comentários no Linkedin dariam a página abaixo mais 5 páginas de igual tamanho:

  • Atualizado em 07/11 (21h) para incluir mais detalhes sobre a organização da 1a edição da H2HC, baseados em informações retiradas no mirror da H2HC site Archive.org. Fiz uma pequena revisão na madrugada de 09/11.
  • Atualizado em 16/11: No dia 14/11 foi publicada uma mensagem no Pastebin com um link para um leak do post do Montanaro no Linkedin. Não sei informar se essa é a última versão antes do post ter sido apagado. Para quem não viu  o post original com a treta, e para ter uma idéia melhor do "tamanho dela", a versão em PDF do leak tem 27 páginas. E podemos estimar que tiveram quase 200 mensagens (para saber isso, contei a quantidade de vezes que consta a palavra "Reply", pois normalmente tem uma para cada comentário, e cheguei no nímero 195).

9 comentários:

Anônimo disse...

eu que fundei esse blog aqui...

R. disse...

Anchises, foi mais ou menos o q eu imaginei qdo li todos os posts da baixaria. O cara pode ser um mala, pode ter feito M no passado, sei la, nao vi. Mas q ele estava lá no início, é inegável. Os caras estão putos com ele e resolveram fazer essa baixaria em público. A outra disse q "nunca se casaria" com alguém como ele, mas ficou morando junto DOIS ANOS. Enfim, cada um no seu quadrado.

Anônimo disse...

Bixo gastei 50 centavos de internet com esse post, logo ele é meu.

Anônimo disse...

Quando o filho é catarrento, cabelo esgranhado e pé sujo ninguém quer. Daí um pouco a criança começa a ficar bonitinha, engraçadinha, o cabelo fica loiro, liso, sedoso, olhos azúis e começa a aparecer nego querendo ser pai, tio, avô

Anônimo disse...

So defende o cara quem nao conhece ele kkk. Não apareceu um amigo para defender lá. Li a treta toda, parece que todo mundo foi passado para trás por este maluco!

Anchises disse...

R., eu não recrimino a ex que disse que ficou 2 anos com ele. Há muitos fatores psicológicos e emocionais que sustentam ou destroem um relacionamento a 2, e esse não é o foco da discussão aqui, pois não sabemos os detalhes do relacionamento entre eles (e eu nem quero saber) e esse tipo de coisa é muito difícil opinar mesmo quando conhecemos muito proximamente o casal.
Afinal, que atire a primeira pedra quem não tem um amigo próximo e/ou um parente divorciado. Na maioria dos casos que eu conheço, quando o divórcio foi anunciado isso foi uma surpresa para todos! Nessa hora a gente descobre que aquele casal aparentemente feliz estava em crise há anos!
Mesmo supondo hipoteticamente que o relacionamento dos dois fosse nocivo a uma das duas partes, eu também já vi vários amigos próximos que viveram um relacionamento "tóxico" e a parte subjugada demorou anos para tomar consciência do que sofria e mais alguns anos para tomar uma atitude para terminar o relacionamento. Eu tenho uma amiga qu eviveu uns 10 anos com um rapaz que a humilhava, brigava e chingava diariamente. Até a filha dela, de tanto ouvir as brigas, era acostumada a chingar e desmerecer a mãe. e ela demorou muitos anos para conseguir sair disso. E conheço muitos outros exemplos.
Se o relacionamento da ex do Montanaro com ele estava sendo ruim para algum dos dois, eu na verdade fico feliz que eles terminaram em APENAS 2 anos, e que esse relacionamento tóxico não durou mais tempo.

Anônimo disse...

s/chingar/xingar/g

Anônimo disse...

"Para quem não viu o post original com a treta, e para ter uma idéia melhor do 'tamanho dela', a versão em PDF do leak tem 27 páginas."

O URL de download (https://files.fm/u/8yuvvscc#/view/IAmYourFounder.pdf) está indisponível, Anchises. Você poderia fazer o upload do file novamente e atualizar o post?...

Anônimo disse...

Kkkk, passou anos e isso ficou por aqui perdido.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.