single origin · lote 0x28

maycon.café

origem: Vitória / ES, Brasil · colheita 1986

torrado em casa, na madrugada

Torra

Escura · 40 anos

Processo

Fermentação lenta

Terroir

offensive security

Notas

asm · shellcode · espresso

nota 01

primeira extração · ~2000

O grão verde:
VB6 e um quarto.

Aos 14, copiei o material do curso técnico da minha irmã e escrevi o primeiro código em Visual Basic 6. Foi com ele que vieram os primeiros cracks: achar o JNE no W32Dasm, trocar por JMP, reescrever o .exe em binário.

75 43 → EB 43. O programa passa a achar que você pagou. Foi assim que aprendi que software é argila, não pedra.

Aos 16, já era segurança da informação pra valer — assembly via debug do MS-DOS, sockets, HTTP, e a sensação de que dava pra abrir qualquer coisa.

nota 02

corpo encorpado · acidez alta

"Hack N Roll"

Site, zines, tutoriais de shellcode. Exploits de phpBB e Ikonboard, HashMaker, NoWGA, shellcodes em Linux/x86. A cena era IRC, #whct na BrasNet, e o handle chuck_newbie.

E o DNS poisoning (semi-autorizado) na UVV — minha própria faculdade — assinado Chucky. Old-school no sentido literal.

scanner phpBB Chuck_NewBie — Chuck_NewBie · #whct

nota 03

o lado com diploma · origem certificada

Não foi só na marra.

·· cupping score ··

UVV · Ciência da Computação

2004–2009 · TCC: IDS com módulo Fuzzy p/ Snort (SQLi)

9.7 / banca

UFES · Mestrado em Informática

2010–2012 · 6LoWPAN, redes de sensores · bolsista CAPES

M.Sc.

Professor · Faculdade Novo Milênio

2010–2015 · ICE, Engenharia Elétrica

5 anos

Campeão · TopCom

2010 · 8º Torneio de Programação de Computadores

1º lugar

lousa Pac-Man Prova de ICE — a homenagem dos meus calouros de ICE

nota 04

notas que persistem no paladar · 2006–2025

Quase 20 anos
de palco.

Dos buffers overflow às race conditions, do reversing de Android aos smart contracts. A degustação completa:

EOF // 21 talks registradas _

nota 05

blend · não dá pra torrar sozinho

O que ficou no coador.

Hack N Roll

grupo / comunidade fundado em 2008

est. 2008

DC5527

DEF CON Group oficial de Vitória

cofundador

BSides Vitória

conferência de segurança capixaba

cofundador · sócio

NullByte Security Conference

Salvador/BA · comitê de CFP desde a 1ª edição

cofundador

Hackaflag

2014–2015 · organização do CTF

organizador

Bug Bounty · Ubiquiti EdgeOS

CVE-2017-0932 · 0933 · 0935 — priv-esc, CSRF, session hijacking

~US$ 20k / 30d

Trustwave SpiderLabs · Pride Security

ATM (Trustwave) · POS (Pride)

2015–2024

·· moagem fina · os 3 CVEs da Ubiquiti ··

CVE-2017-0932

Privilege Escalation via API → Feature

priv-esc

CVE-2017-0933

CSRF: troca do backup de config com user 'operator', burlando o whitelist de Referer

CSRF

CVE-2017-0935

Privilege Escalation com session hijacking a partir de um usuário válido não-privilegiado

session

nota 06

fermentação lenta · 2020–2023

A pausa que
desenvolveu o sabor.

Entre 2020 e 2023 sumi do palco. Não foi desistência — foi cabeça baixa: instrumentação de mobile, evasão de RASP, Frida, bypass de anti-root, gravando a série "Eng. Reversa de Apps Android" no canal Hack N Roll Academy.

aula de Smali no canal Hack N Roll Academy — às vezes a parte mais importante é a que ninguém vê

nota 07

aroma · atitude

Hack the planet.

Em algum momento achei boa ideia escrever "HACK THE PLANET" no próprio braço, com caneta, boné pra trás, posando com um calhamaço de 1200 páginas sobre análise de vulnerabilidade. Sejamos honestos: a estética old-school não era o ponto forte.

nota 08

última gota · hoje

Mesma pessoa,
xícara mais cheia.

Hoje sou Security Manager, mas a pergunta não mudou desde o moleque do VB6: "e se eu mexer aqui?"

Registrei maycon.café porque café não é hobby, é infraestrutura: toda boa sessão de engenharia reversa começa com um espresso.

degustação encerrada

"Mais cicatriz, mais café, e a mesma vontade de quebrar coisa pra entender como funciona."

— maycon, 40

O grão verde:VB6 e um quarto.