Pesquisa ofensiva e o encanamento defensivo que ninguém quer escrever.
Do lado ofensivo me interessa o que realmente mexe os ponteiros: cadeias BYOVD, manipulação de heap, ROP sob mitigações modernas, primitivos de kernel e hypervisor, UEFI, e os modos de falha criativos de software assinado-mas-quebrado. Do lado defensivo audito fluxos JWT/OAuth procurando bugs de lógica, reviso isolamento multi-tenant em webapps, e empurro pra divulgação responsável ao invés de expor e humilhar.
Trabalho de binário — RE, módulos de processador, unpacking de firmware, instrumentação dinâmica — tem casa própria na página de engenharia reversa. Mais writeups chegando aqui; até lá dá uma olhada no meu GitHub.
Cifragem em repouso e em trânsito. AES-256-GCM em coluna nas credenciais e dados sensíveis via libsodium com envelope encryption respaldado por AWS KMS ou HashiCorp Vault. TLS 1.3 fim-a-fim com HSTS preload, OCSP stapling e cipher suites modernas. Argon2id para hashing de senhas. Segredos em variáveis de ambiente ou stores com KMS, nunca no banco.
MFA + RBAC obrigatórios, menor privilégio em toda parte. TOTP (RFC 6238) e FIDO2 / WebAuthn (YubiKey) para owner, admin e developer. OAuth 2.1 + OIDC com PKCE, JWTs assinados (EdDSA / ES256), enforcement centralizado de política via OPA ou Casbin. Revisão interna de acessos em cadência trimestral.
Aderente a GDPR / LGPD / CPRA. Aviso de privacidade público, endpoints de acesso / exportação / exclusão de dados do titular, retenção mínima por tipo de dado, deauth provider em até 24h, DPIA para processamento de alto risco. Alinhado com NIST SP 800-53 e CIS benchmarks.
Varreduras contínuas & integridade de supply chain. OWASP ZAP + Nuclei (DAST), Semgrep + CodeQL (SAST), Trivy + Grype com SBOM CycloneDX / SPDX, gitleaks + TruffleHog para detecção de segredos — trimestrais e a cada release material. Dependabot + Renovate para SCA. Artefatos assinados via Sigstore / cosign com hardening de supply chain inspirado em SLSA. SLAs de vulnerabilidades — crítico 7 dias, alto 14 dias, médio 30 dias.