Sumários
1 Junho 2026, 20:30
•
Tiago Gomes da Silva Mendo
Mudança de perspectiva: do atacante ao defensor. Shift left — o custo de corrigir cresce com o tempo. Contexto do momento: citações de Jason Clinton (Anthropic)
e David Lindner (Contrast Security) sobre o bottleneck da remediação; 48.185 CVEs em 2025, tempo de exploit a colapsar de 771 dias para menos de 4 horas.
Project Glasswing — coligação de ~50 empresas com acesso ao Claude Mythos Preview, 10.000+ vulnerabilidades High/Critical em 1 mês, taxa de verdadeiros
positivos de 90,6%, menos de 1% corrigidas. Capacidades emergentes do Mythos: bug de 27 anos no OpenBSD, 181 exploits no Firefox JS engine vs. 2 com o Opus 4.6,
duplo uso como propriedade estrutural. Padrões de remediação before/after para cada classe de vulnerabilidade: SQLi (prepared statements), XSS (textContent vs.
innerHTML com screenshots ao vivo), CSP como segunda camada, IDOR (verificação de ownership), JWT (fixar algoritmo no servidor), SSRF (allowlist + bloqueio de
IPs internos + desactivar redirects). Vulnerabilidades de IA — prompt injection como o SQLi dos LLMs, insecure output handling, OWASP Top 10 para LLMs. Least
privilege em agentes autónomos (OpenHands, Cursor) — sandboxing e auditoria. Security headers: HSTS, CSP com frame-ancestors, CORS (nunca wildcard com
autenticação), SRI (caso polyfill.io). Ciclo de vida de uma vulnerabilidade e SLAs de patching. IoT — dispositivos que nunca actualizam, Mirai (600K
dispositivos, 1,2 Tbps, 61 passwords), Secure by Design (ETSI EN 303 645, UK PSTI Act, EU Cyber Resilience Act), defesa prática com VLAN dedicada. BOMs — SBOM
(caso Log4Shell), HBOM, CBOM, AIBOM e shadow AI, ferramentas (CycloneDX, Dependency-Track, snyk aibom). Gestão de dependências — typosquatting, dependency
confusion, pin versions, lock files. DevSecOps no pipeline — pre-commit (gitleaks), SAST/SCA no CI, DAST no staging, IaC e container scanning no deploy,
security gate. Encerramento com gestão de risco: "accept the risk" como decisão legítima e documentada.
18 Maio 2026, 20:30
•
Tiago Gomes da Silva Mendo
Ciclo do pentest após a entrega do relatório: como as organizações priorizam findings, negoceiam severidades e fazem retest. Modelos de divulgação responsável —
coordenada, full disclosure, Project Zero (90 dias), e o caso Kaminsky (como um bug de DNS quase partiu a internet e redefiniu a divulgação coordenada). Papel
dos CIRTs e pontos de contacto nacionais. Bug bounties como ecossistema profissional: plataformas (HackerOne, Bugcrowd), o lado negro (triage lenta, duplicados,
exclusões abusivas — com a lista de exclusões da HubSpot como caso de estudo), e como escrever um report que funciona. Resposta a incidentes: os dois estados
de uma organização (antes e depois do incidente), o ideal vs. a realidade, a importância dos logs, o framework NIST SP 800-61, e o caso SolarWinds como exemplo
de supply chain attack com implicações geopolíticas. Enquadramento legal do hacking ético em Portugal e na UE.
4 Maio 2026, 20:30
•
Tiago Gomes da Silva Mendo
Reconhecimento passivo (OSINT, Shodan, Google dorks, certificate transparency) e activo (Nmap, directory brute-force, enumeração de endpoints) — com demos ao
vivo. Exploração da OWASP Juice Shop usando Burp Suite: intercepção de pedidos, manipulação de parâmetros, identificação de vulnerabilidades em tempo real.
Cheat sheet de reconhecimento e metodologia de pentest em 5 fases. Lançamento do projecto LateHarvest com guias passo-a-passo para o ZAP — scan rápido sem
autenticação e scan autenticado com JWT.
13 Abril 2026, 20:30
•
Tiago Gomes da Silva Mendo
Nesta sessão foram abordados os principais desafios de segurança em ambientes cloud, incluindo o modelo de responsabilidade partilhada e as suas implicações para a segurança
aplicacional. Analisaram-se as superfícies de ataque específicas de infraestruturas cloud — configurações incorretas de armazenamento, exposição de serviços e gestão de segredos.
Discutiram-se os riscos de segurança em contentores e ambientes Kubernetes, bem como os vetores de ataque em arquiteturas serverless. Por fim, foram apresentadas estratégias de
hardening e boas práticas para proteger aplicações cloud-native.
16 Março 2026, 20:30
•
Tiago Gomes da Silva Mendo
Conceitos Base e Risco: Definição de vulnerabilidade, ameaça e ataque, culminando no cálculo do Risco (Ameaça x Vulnerabilidade x Impacto).
Avaliação e Classificação: A utilização do CVSS para pontuar e priorizar vulnerabilidades , e a diferença entre CWE (categoria do erro/fraqueza) e CVE (instância específica reportada).
Defesa em Profundidade: A estratégia de usar múltiplas camadas de segurança, assumindo que algumas podem falhar (ilustrado com a analogia do castelo).
Evolução do SDLC: A transição dos modelos tradicionais (Waterfall) para ciclos rápidos (Agile/DevOps) e as novas tendências de IA (Vibe Coding).
A Segurança como "After-thought": O conflito entre objetivos de negócio (como o time-to-market) e a segurança, que frequentemente é tratada como a barreira final ("Final Boss") e omitida nas fases iniciais.
Custo da Correção Tardia: A constatação de que detetar e corrigir vulnerabilidades em fases tardias ou em produção é muito mais dispendioso e arriscado, exigindo a integração da segurança desde o início.
