Name: Bromure
Availability: InStock

Eu me diverti muito respondendo à entrevista de Mehul Revankar sobre Bromure, Nessus e muito mais. Mehul foi meu colega na Tenable e hoje é co-fundador da Quantro Security.

Sobre o que falamos

A entrevista dura cerca de uma hora. Alguns pontos altos:

Os primeiros anos do Nessus. Começar o projeto em 1998, escrever um scanner paralelo que tinha de caber em 56 MB de RAM, publicar atualizações diárias de plugins em 2003 (na prática, CI/CD antes de o acrônimo existir), e por que acabei abandonando Perl por uma linguagem feita sob medida, chamada NASL.
«A AppSec morreu.» Como a infraestrutura auto-reparável gerada por IA está deixando obsoleta, em silêncio, boa parte da segurança aplicativa tradicional — e por que fundadores profundamente técnicos têm hoje uma vantagem desleal, porque sabem dizer exatamente a um agente de IA o que fazer, em vez de torcer para que ele adivinhe.
Como o Bromure nasceu. A versão curta envolve um honeypot financeiro, muitos links de golpe que eu não queria abrir na minha máquina real, e a constatação de que ninguém estava entregando um navegador projetado assumindo que seria comprometido. A versão longa está no podcast.
Overbearer. Um proxy que mascara os tokens bearer e chaves de API reais usados pela automação interna, para que um runner de CI ou laptop de desenvolvedor comprometido não entregue imediatamente ao atacante as chaves da produção.
Captação e o cenário de VC. Rodadas seed de US$ 200 milhões, perder o controle da própria saída, e por que lançar duas ferramentas open-source em duas semanas pareceu bem mais saudável do que perseguir uma avaliação de unicórnio.

Terminamos com um rápido passeio pelo «salão da fama das vulnerabilidades» — WannaCry, Heartbleed, Log4Shell — e o que cada uma ensinou (ou não) à indústria.