Bellacosa Mainframe e as certificacoes ibm skillsbuid e ibm ai

☕🔥 IBM SkillsBuild e Certificações IBM AI — A Nova Porta de Entrada para o Futuro da Tecnologia

Nos últimos anos, a IBM percebeu uma realidade inevitável:

o mercado precisava formar profissionais de tecnologia numa velocidade muito maior.

Cloud, IA, automação, dados, segurança, mainframe moderno, integração, APIs…

Tudo evoluindo rápido demais.

E foi exatamente aí que nasceu uma das iniciativas mais interessantes da IBM:

🚀 IBM SkillsBuild

Uma plataforma global de capacitação gratuita focada em:

✅ Inteligência Artificial
✅ Cloud Computing
✅ Cybersecurity
✅ Data Science
✅ Mainframe
✅ Desenvolvimento
✅ Soft Skills
✅ Carreira em tecnologia

---

Bellacosa Mainframe evolua sua carreira com ibm skillsbuild e certificacoes ibm ai

📌 O QUE É O IBM SKILLSBUILD?

O IBM SkillsBuild é uma plataforma educacional da IBM criada para:

• estudantes

• iniciantes

• profissionais em transição

• especialistas buscando atualização

A proposta é simples:

democratizar acesso a treinamento de alto nível.

E o mais impressionante:

🔥 grande parte do conteúdo é GRATUITA.

---

🧠 O QUE EXISTE NA PLATAFORMA?

O ecossistema inclui:

Área	Conteúdo
AI	Machine Learning, GenAI
Cloud	IBM Cloud
Dados	SQL, Analytics
Segurança	Cybersecurity
Mainframe	z/OS e Enterprise Computing
Desenvolvimento	APIs, integração
Soft Skills	liderança, comunicação

---

🤖 O FOCO ATUAL: INTELIGÊNCIA ARTIFICIAL

Com a explosão da IA generativa, a IBM acelerou fortemente os treinamentos ligados a:

• IA corporativa

• Watsonx

• automação

• engenharia de prompts

• ética em IA

• IA aplicada a negócios

---

🔥 O QUE É O “AI ACCELERATOR”?

O AI Accelerator é um programa intensivo da IBM SkillsBuild voltado para:

✅ fundamentos de IA
✅ IA generativa
✅ aplicações práticas
✅ produtividade
✅ credenciais rápidas
✅ empregabilidade

Muitas campanhas prometem:

“Get the credentials to stand out in 10 mins”

Ou seja:

• mini certificações

• badges rápidos

• trilhas aceleradas

---

🏅 O QUE SÃO OS IBM DIGITAL BADGES?

Ao concluir cursos, a IBM entrega:

🎖️ Digital Badges

São credenciais digitais verificáveis.

Funcionam como:

• microcertificações

• comprovantes oficiais

• evidências de habilidade

Você pode usar em:

✅ LinkedIn
✅ currículo
✅ portfólio
✅ GitHub
✅ assinatura de email

---

📜 COMO FUNCIONAM AS CERTIFICAÇÕES?

Existem dois grandes modelos:

---

🟢 1️⃣ BADGES GRATUITOS

Cursos rápidos:

• 1h

• 3h

• 10h

Ao concluir:

• prova simples

• avaliação prática

• badge liberado

Ideal para:

• iniciantes

• networking

• LinkedIn

---

🔵 2️⃣ CERTIFICAÇÕES PROFISSIONAIS IBM

Mais robustas.

Exemplo:

• IBM AI Engineering

• IBM Cloud Professional

• IBM Data Engineer

• IBM Automation

• IBM Security

Normalmente exigem:

• estudo aprofundado

• exame técnico

• experiência prática

---

🚀 O DIFERENCIAL DA IBM

A IBM não ensina IA “genérica”.

Ela ensina IA corporativa.

Ou seja:

🔥 IA aplicada a ambientes enterprise reais.

Isso inclui:

• bancos

• seguradoras

• governo

• telecom

• mainframe

• integração corporativa

---

☕ IA + MAINFRAME = NOVA ERA

Muita gente acha que:

“mainframe não combina com IA”

Na prática…

A IBM está integrando IA diretamente ao ecossistema Z.

Hoje já existem iniciativas envolvendo:

✅ Watsonx
✅ automação operacional
✅ análise de logs
✅ observabilidade
✅ modernização COBOL
✅ geração assistida de código
✅ análise de performance z/OS
✅ integração com APIs AI

---

🔥 O MERCADO ESTÁ MUDANDO

Antigamente:

• diploma bastava

Hoje:

• badges

• certificações

• labs

• portfólio

pesam MUITO.

Empresas querem profissionais que:

• aprendem rápido

• se atualizam continuamente

• dominam ferramentas modernas

---

🧠 O GRANDE SEGREDO DOS BADGES

O valor não está apenas no certificado.

Está em:

✅ mostrar iniciativa
✅ construir reputação técnica
✅ criar presença digital
✅ alimentar LinkedIn
✅ comprovar aprendizado contínuo

---

📌 EXEMPLOS DE TRILHAS POPULARES

IA Generativa

• Prompt Engineering

• AI Fundamentals

• Generative AI

---

Cloud

• IBM Cloud Essentials

• Containers

• Kubernetes

---

Segurança

• Cybersecurity Fundamentals

• SOC

• Threat Intelligence

---

Mainframe

• Enterprise Computing

• z/OS Concepts

• COBOL Basics

• JCL

• CICS

---

🔥 POR QUE ISSO IMPORTA?

Porque existe um problema global:

falta de profissionais qualificados

Especialmente em:

• IA

• segurança

• cloud

• integração

• mainframe moderno

A IBM está tentando acelerar formação técnica mundial.

---

🏦 O IMPACTO NO MUNDO CORPORATIVO

Empresas observam badges porque eles indicam:

✅ atualização constante
✅ interesse técnico
✅ aprendizado contínuo
✅ alinhamento com tecnologias enterprise

Em muitos casos:

• recrutadores pesquisam badges no LinkedIn

• programas de estágio valorizam muito isso

---

⚠️ MAS EXISTE UMA VERDADE IMPORTANTE

Badge sozinho NÃO faz milagre.

O diferencial real é:

Badge + prática + laboratório + projetos reais

Quem apenas “coleciona certificados” sem prática técnica acaba travando em entrevistas.

---

🚀 COMO EXTRAIR VALOR REAL DO SKILLSBUILD

O ideal é:

🔹 Fazer o curso

🔹 Criar laboratório prático

🔹 Publicar projeto

🔹 Compartilhar aprendizado

🔹 Aplicar em cenário real

---

☕ EXEMPLO PARA MAINFRAME

Você aprende:

• integração MQ

• APIs

• COBOL

• ACE

• z/OS

Depois publica:

• laboratório

• GitHub

• artigo técnico

• fluxo ACE

• automação

🔥 isso gera MUITO mais impacto que apenas o badge.

---

📌 O FUTURO DA IBM ESTÁ AQUI

A IBM está posicionando:

• IA

• automação

• hybrid cloud

• integração

• mainframe moderno

como pilares estratégicos.

E o SkillsBuild virou a porta de entrada para esse ecossistema.

---

🏆 CONCLUSÃO

O IBM SkillsBuild representa uma mudança importante no ensino de tecnologia:

aprendizado rápido, contínuo e conectado ao mercado real.

Mais do que certificados…

Ele incentiva:

✅ cultura de evolução constante
✅ aprendizado prático
✅ modernização profissional
✅ integração entre legado e inovação

E no mundo atual…

🔥 quem aprende continuamente simplesmente dispara na frente.

 

Bellacosa Mainframe em um pequeno bate papo sobre segurança racf saf

🔥 SEU MAINFRAME ESTÁ SEGURO… OU SÓ PARECE?

A Verdade Crua da Segurança no z/OS (Do RACF ao Crypto Express)

---

☕ Introdução — Um Café com a Realidade

Se você acha que segurança no mainframe é “coisa do passado”, deixa eu te dar um choque de realidade:

O z/OS é um dos ambientes mais seguros do planeta — mas só quando bem configurado.

Porque na prática?

👉 O problema nunca foi a tecnologia
👉 O problema sempre foi quem configura

E é exatamente aqui que começa nossa jornada.

---

🕰️ Um pouco de história (e por que isso importa)

Nos anos 70, quando surgiram os primeiros sistemas corporativos massivos, a IBM percebeu algo:

“Se todo mundo acessa tudo… uma hora dá ruim.”

Nasce então o conceito de controle centralizado de acesso, que evolui para:

• RACF
• SAF
• E todo o ecossistema de segurança do z/OS

Enquanto o mundo distribuído ainda estava descobrindo autenticação…

👉 O mainframe já tinha segurança granular por recurso

---

🧠 O Coração da Segurança: SAF + RACF

Pensa nisso como um fluxo batch:

Usuário → SAF → RACF → decisão (ALLOW / DENY)

🧩 Quem faz o quê?

• SAF → interface (o “porteiro”)
• RACF → decisão (o “juiz”)

💡 Easter egg Bellacosa:

SAF nunca decide nada… ele só “encaminha o problema” 😄

---

🔐 O Mandamento Supremo: Least Privilege

Se você tiver que lembrar de UMA coisa:

“Dê o mínimo necessário — nunca o máximo possível.”

Exemplo clássico:

• Admin RACF → gerencia segurança
• Storage admin → só mexe em dataset

👉 Separação + privilégio mínimo = sistema saudável

---

💣 O ERRO QUE MAIS DERRUBA AMBIENTE

❌ PROTECTALL desligado

Sem isso:

Dataset sem perfil → acesso liberado 😱

👉 Simples assim.
👉 Sem perfil = sem segurança

💡 Curiosidade:
Muitos incidentes em mainframe não são ataques…
São configuração mal feita.

---

🔥 Criptografia no z/OS: Outro nível

Enquanto muita gente ainda “liga TLS”, o z/OS já faz:

🔐 Pervasive Encryption

• Dados em disco
• Dados em trânsito
• Dados protegidos sem mudar aplicação

---

🧬 A Hierarquia das Chaves (isso cai MUITO!)

Master Key → protege → Operational Key → protege → Data

Tipos importantes:

• Master Keys → topo da cadeia
• Symmetric → performance
• Asymmetric → troca segura
• Operational → uso diário

💡 Easter egg:

Se perder a master key… acabou o jogo.

---

⚙️ ICSF — O Tradutor da Criptografia

Aplicação nunca fala direto com hardware.

Ela fala com:

👉 ICSF

Que fala com:

👉 CPACF / Crypto Express

---

🛡️ Níveis de proteção (isso é ouro de prova)

Nível	Segurança
Clear Key	😬
Protected Key	👍
Secure Key	🔥🔥🔥

👉 Secure Key = dentro do hardware (Crypto Express)

---

💻 APF — Quem pode ser “superpoderoso”

Nem todo programa pode rodar com privilégio.

👉 Só quem está no APF

Programa fora do APF → sem privilégio
Programa no APF → modo supervisor

💡 Isso evita:

• código malicioso
• erro catastrófico

---

🌐 Rede no z/OS — Não é só TCP/IP

z/OS Communications Server

• TCP/IP (moderno)
• SNA (legado que ainda vive 😄)

Segurança:

• TLS → camada transporte
• IPSec → VPN (nível rede)

---

📊 SMF — O “log que conta tudo”

Se algo aconteceu:

👉 O SMF sabe

Mas atenção:

Nada é logado automaticamente se você não configurar

---

🧪 Caso real (estilo Bellacosa)

Empresa com:

• RACF instalado
• Criptografia ativa
• Auditoria configurada

Mas…

❌ PROTECTALL desligado
❌ UACC READ em datasets críticos

Resultado?

👉 Vazamento interno
👉 Sem ataque externo

💡 Moral:

Segurança não é tecnologia — é configuração.

---

🧠 Mentalidade Mainframe

Enquanto no mundo distribuído se fala:

“vamos adicionar segurança”

No mainframe é:

“vamos NÃO remover a segurança”

---

🔥 Frases pra tatuar no cérebro

• “SAF conecta, RACF decide”
• “Sem PROTECTALL, está exposto”
• “Sem chave, não há segurança”
• “ALL = mostra tudo”
• “SPECIAL = poder total (cuidado!)”

---

🏁 Conclusão — A Verdade Final

O z/OS não é seguro por acaso.

Ele é seguro porque:

• Foi projetado assim
• Evoluiu assim
• Exige disciplina

Mas…

Um mainframe mal configurado é tão vulnerável quanto qualquer outro sistema.

---

☕ Fechamento estilo Bellacosa

Segurança no mainframe não é só técnica.

É filosofia.

É controle.

É respeito ao sistema.

E principalmente:

É saber que o perigo não está fora… está dentro da configuração.

 

Bellacosa Mainframe teste seu sistema sob ataque

🔥💀 VOCÊ APRENDEU SEGURANÇA… MAS JÁ TESTOU SEU SISTEMA SOB ATAQUE?

10 atividades práticas para sair da teoria e começar a proteger sistemas de verdade

---

☕ INTRODUÇÃO — A VERDADE QUE DÓI

Segurança não se aprende lendo.
👉 Se aprende quebrando sistema… e depois corrigindo.

Se você não praticar:

💣 você só vai descobrir o problema… quando o atacante descobrir primeiro.

---

🧪 ATIVIDADE 1 — ENCONTRE UM SQL INJECTION NO SEU PRÓPRIO SISTEMA

🎯 Objetivo

Pensar como atacante

---

💻 Faça isso

• Pegue um input (API, tela, CICS, batch input)
• Teste:

' OR 1=1 --

---

💥 Resultado esperado

👉 Se algo estranho acontecer… você tem vulnerabilidade

---

🧠 Versão COBOL

• validar WS-FIELD
• nunca confiar em input externo

---

💬 Comentário

“Se você não testar… alguém vai testar por você.”

---

🧪 ATIVIDADE 2 — REMOVA TODOS OS HARDCODED SECRETS

🎯 Objetivo

Eliminar o erro mais comum do mundo

---

💻 Procure no seu código

password
token
key
secret

---

💥 Se encontrar:

👉 você tem risco crítico

---

✅ Solução

• usar Vault / RACF
• variáveis externas

---

💬 Easter egg

👉 80% dos vazamentos começam assim

---

🧪 ATIVIDADE 3 — RODE UM SCAN DE SEGURANÇA

🎯 Objetivo

Ver o que você não vê

---

💻 Ferramentas

• Snyk
• SonarQube

---

💥 Resultado

👉 lista de vulnerabilidades reais

---

💬 Comentário

“Scanner não cria problema… só revela.”

---

🧪 ATIVIDADE 4 — EXPLORE UM XSS NA PRÁTICA

🎯 Objetivo

Ver o ataque funcionando

---

💻 Teste

<script>alert('XSS')</script>

---

💥 Resultado

👉 se executar → vulnerável

---

🧠 Versão real

• portais corporativos
• front-end conectado ao mainframe

---

🧪 ATIVIDADE 5 — ATUALIZE UMA DEPENDÊNCIA VULNERÁVEL

🎯 Objetivo

Entender SCA na prática

---

💻 Faça

• rode scan
• escolha uma lib vulnerável
• atualize

---

💥 Resultado

👉 CVE desaparece

---

💬 Comentário

“Seu código pode estar perfeito… sua lib não.”

---

🧪 ATIVIDADE 6 — QUEBRE SEU PRÓPRIO LOGIN

🎯 Objetivo

Pensar como invasor

---

💻 Teste

• inputs inválidos
• SQL injection
• brute force simples

---

💥 Resultado

👉 encontrar bypass

---

💬 Comentário

“Se login falha… todo sistema falha.”

---

🧪 ATIVIDADE 7 — IMPLEMENTE HEADERS DE SEGURANÇA

🎯 Objetivo

Blindar camada web

---

💻 Adicionar

• Content-Security-Policy
• HSTS
• X-Frame-Options

---

💥 Resultado

👉 reduz ataque XSS e clickjacking

---

🧪 ATIVIDADE 8 — CRIPTOGRAFE UM ARQUIVO SENSÍVEL

🎯 Objetivo

Proteger dados em repouso

---

💻 Use OpenSSL

openssl enc -aes-256-cbc -salt -pbkdf2 -iter 2500

---

💥 Resultado

👉 arquivo ilegível sem senha

---

💬 Comentário

“Dado sem criptografia é dado público.”

---

🧪 ATIVIDADE 9 — CRIE UM MINI PIPELINE DE SEGURANÇA

🎯 Objetivo

Automação

---

💻 Simule

commit → scan → resultado → bloqueio

---

💥 Resultado

👉 segurança contínua

---

🧠 Versão mainframe

• Jenkins + JCL + scan

---

🧪 ATIVIDADE 10 — FAÇA UM “ATAQUE CONTROLADO”

🎯 Objetivo

Pensar como hacker

---

💻 Faça

• use OWASP ZAP
• ataque sua própria aplicação

---

💥 Resultado

👉 visão real de risco

---

💬 Comentário

“Sistema seguro é sistema testado sob ataque.”

---

🧠 CONCLUSÃO — O DIFERENCIAL REAL

Depois dessas 10 atividades, você não é mais:

👉 um dev que escreve código

Você é:

👉 alguém que entende como o sistema quebra… e como evitar isso

---

💬 FRASE FINAL

“Segurança não é o que você implementa…
é o que sobrevive quando alguém tenta quebrar.”

 

 

Bellacosa Mainframe fala sobre RACF e Zero Trust sobrevivendo na cloud

🔐🏛️ Do RACF ao Zero Trust: o Manual Secreto do Padawan para Sobreviver na Selva Cloud

“Na dúvida, negue o acesso.” — provavelmente um sábio administrador de RACF em 1987

Se você vem do mundo mainframe… parabéns.
Você já foi treinado na ordem Jedi da segurança corporativa.

Se você é novo… prepare-se.
A cloud é menos “datacenter climatizado” e mais Mad Max com APIs.

Este guia é um mapa completo — estilo Bellacosa — para entender Cloud Security de verdade, conectando:

🏛️ Mainframe
☁️ Cloud
🔐 Zero Trust
👤 IAM
🛡️ Criptografia
🚧 CASB, CSPM, RBAC e companhia

Tudo com exemplos práticos, curiosidades e alguns easter eggs 😄

---

🧠 Capítulo 1 — O maior mito da segurança antiga

Antigamente:

“Se está dentro da rede, pode confiar.”

Modelo 🏰 Castle & Moat

• Firewall na borda
• Rede interna confiável
• Usuários conhecidos
• Sistemas centralizados

Funcionava… até aparecer:

💣 Internet
💣 Mobilidade
💣 SaaS
💣 Trabalho remoto
💣 Phishing

---

💥 Problema fatal

Se o invasor entrasse…

➡️ Tinha acesso lateral quase ilimitado
➡️ Movimentação interna fácil
➡️ Detecção tardia

---

🧠 Capítulo 2 — Zero Trust: paranoia como arquitetura

🔐 “Never trust. Always verify.”

Zero Trust assume:

👉 O atacante pode já estar dentro
👉 Nenhum dispositivo é confiável
👉 Nenhum usuário é confiável
👉 Nem a rede interna é confiável

---

🧩 O que o Zero Trust protege

• 👤 Usuários
• 💻 Dispositivos
• 📦 Workloads
• 🌐 Tráfego
• 💾 Dados

---

💡 Easter egg mainframe

Se você conhece RACF:

👉 Zero Trust não é tão novo assim…

Mainframe já fazia:

✔ Least privilege
✔ Auditoria rigorosa
✔ Controle centralizado
✔ Autorização explícita

---

👤 Capítulo 3 — IAM: o novo perímetro

Na cloud:

🔑 Identidade = Firewall humano

IAM decide:

✔ Quem pode acessar
✔ O quê
✔ Como
✔ Quando
✔ Em quais condições

---

🔐 Trio sagrado da identidade

👤 IdP — armazena identidades

🚀 SSO — login único

🛡️ MFA — prova reforçada

---

💣 Exemplo real

Senha vazada:

❌ Sem MFA → invasão
✅ Com MFA → bloqueado

---

🎭 Capítulo 4 — RBAC: o acesso segue o cargo

RBAC = Role-Based Access Control

Permissões baseadas na função, não na pessoa.

---

🏢 Exemplo clássico

👩‍💼 RH → Folha de pagamento
🧑‍💻 Help Desk → Contas de login
👩‍💻 Dev → Código

---

⚠️ O erro mortal

Dar acesso demais.

Muitos incidentes começam com:

“Esse usuário não deveria ter acesso a isso…”

---

☁️ Capítulo 5 — Shared Responsibility: a armadilha da cloud

Muita gente acha:

“Está na cloud, então está seguro.”

❌ Errado.

Modelo correto:

🤝 Responsabilidade Compartilhada

---

☁️ Provedor protege

🏢 Datacenter
🧱 Hardware
🌐 Infraestrutura física

---

🧑‍💼 Cliente protege

👤 Usuários
💾 Dados
⚙️ Configurações
🔐 Permissões

---

💣 A maioria dos vazamentos ocorre por erro do cliente.

---

🔐 Capítulo 6 — Criptografia: dados que se protegem sozinhos

Cloud é distribuída.
Dados viajam.

Sem criptografia:

👉 Dados legíveis para qualquer interceptador.

---

🔒 Estados do dado

💾 At rest — armazenado
🚚 In transit — em movimento
🧠 In use — em processamento

---

🔑 Dois métodos fundamentais

🔒 Simétrica (AES)

• Rápida
• Grandes volumes
• Discos, bancos, storage

---

🔐 Assimétrica (RSA, ECC)

• Troca segura de chaves
• Certificados
• Identidade

---

🌐 TLS na prática

Quando você vê 🔒 no navegador:

1️⃣ Servidor apresenta certificado
2️⃣ Cliente verifica CA
3️⃣ Negociam chave
4️⃣ Comunicação segura

---

🏛️ Curiosidade poderosa — Mainframe novamente

IBM Z possui:

👉 Pervasive Encryption

Criptografa praticamente tudo por padrão:

• Disco
• Banco
• Rede
• Backup
• Dados exportados

Mainframe sendo futurista desde o século passado 😎

---

🚀 Capítulo 7 — FHE: criptografia nível ficção científica

Fully Homomorphic Encryption permite:

🧠 Processar dados SEM descriptografar

Imagine:

🏥 Hospital analisando dados médicos na cloud
🏦 Banco processando dados financeiros confidenciais

Sem revelar os dados.

Ainda emergente — mas revolucionário.

---

🌐 Capítulo 8 — CASB: o guarda da nuvem

Cloud Access Security Broker

Fica entre usuários e serviços cloud.

---

🔎 Detecta

✔ Uploads suspeitos
✔ Compartilhamento indevido
✔ Uso de apps não autorizados
✔ Vazamento de dados

---

💣 Combate Shadow IT

Funcionário usando ferramentas pessoais com dados corporativos.

Sem CASB → invisível
Com CASB → monitorado ou bloqueado

---

🔧 Capítulo 9 — CSPM: detector de erros humanos

Maior risco da cloud:

❌ Configuração incorreta

CSPM monitora:

• Storage público
• Permissões excessivas
• Falta de criptografia
• Serviços expostos

---

💥 Caso clássico

Bucket público com dados sensíveis.

Acontece mais do que você imagina.

---

📦 Capítulo 10 — CWPP e CNAPP: proteção total

📦 CWPP

Protege workloads:

• VMs
• Containers
• Apps

---

🚀 CNAPP

Combina:

✔ CSPM
✔ CWPP
✔ Segurança de apps
✔ Proteção em runtime

---

🧠 Capítulo 11 — Framework NIST: ciclo completo

Identify → Protect → Detect → Respond → Recover

Segurança não é um estado.

É um processo contínuo.

---

🏁 Conclusão — O verdadeiro segredo

🔐 Segurança moderna não protege apenas sistemas.
👤 Protege identidades.
💾 Protege dados.
🌐 Protege o negócio digital inteiro.

---

🏆 Mensagem final ao Padawan

Se você domina:

✔ Identidade
✔ Privilégio mínimo
✔ Criptografia
✔ Visibilidade
✔ Configuração correta

👉 Você domina a segurança na cloud.

---

☕ Easter Egg final (nível Bellacosa)

Se um administrador mainframe viajasse no tempo para hoje, ele provavelmente diria:

“Vocês reinventaram o RACF… só que distribuído e com marketing.”

 

Bellacosa Mainframe lab seu cics sob ataque

🔥💀 COBOL SECURITY LAB — “SEU CICS SOB ATAQUE”

Hands-on prático com CICS + DB2 para aprender segurança na marra

---

☕ INTRODUÇÃO

Você não vai só aprender…

👉 você vai:

• explorar vulnerabilidade
• corrigir
• validar

💣 exatamente como um atacante faria

---

🧪 LAB 1 — SQL INJECTION NO DB2

🎯 Objetivo

Mostrar como um COBOL pode ser vulnerável

---

💻 Código vulnerável

IDENTIFICATION DIVISION.
PROGRAM-ID. LOGIN.

DATA DIVISION.
WORKING-STORAGE SECTION.
01 WS-USER     PIC X(20).
01 WS-PASS     PIC X(20).

PROCEDURE DIVISION.

EXEC SQL
  SELECT NAME INTO :WS-USER
  FROM USERS
  WHERE NAME = :WS-USER
  AND PASSWORD = :WS-PASS
END-EXEC.

---

💣 Ataque

Input:

' OR '1'='1

---

💥 Resultado

👉 bypass de autenticação

---

✅ Correção

IF WS-USER NOT ALPHABETIC
   DISPLAY "INVALID INPUT"
   STOP RUN
END-IF.

---

💬 Insight

👉 validação é a primeira defesa

---

🧪 LAB 2 — BUFFER / TAMANHO DE INPUT

🎯 Objetivo

Evitar overflow e dados inválidos

---

💻 Problema

01 WS-NAME PIC X(10).

Input:

AAAAAAAAAAAAAAAAAAAAAAAAAAAA

---

💥 Resultado

👉 truncamento / corrupção

---

✅ Correção

IF LENGTH OF WS-NAME > 10
   DISPLAY "INPUT TOO LONG"
END-IF.

---

🧪 LAB 3 — HARDCODED PASSWORD

🎯 Objetivo

Eliminar segredo no código

---

❌ Código

MOVE "DB123456" TO WS-PASS.

---

💣 Problema

👉 vazamento garantido

---

✅ Correção

• usar RACF
• usar external security

👉 RACF

---

🧪 LAB 4 — VALIDAÇÃO DE COMMAREA (CICS)

🎯 Objetivo

Proteger entrada CICS

---

💻 Código vulnerável

MOVE DFHCOMMAREA TO WS-DATA.

---

💣 Problema

👉 dados maliciosos

---

✅ Correção

IF EIBCALEN = 0
   DISPLAY "NO DATA"
   RETURN
END-IF.

---

🧪 LAB 5 — LOGGING SEGURO

🎯 Objetivo

Evitar vazamento de dados

---

❌ Errado

DISPLAY "PASSWORD: " WS-PASS.

---

💣 Problema

👉 senha em log

---

✅ Correção

DISPLAY "LOGIN ATTEMPT".

---

🧪 LAB 6 — CONTROLE DE ACESSO (RACF)

🎯 Objetivo

Simular autorização

---

💻 Exemplo

CALL 'RACROUTE' USING ...

---

💬 Resultado

👉 só usuários autorizados acessam

---

🧪 LAB 7 — INTEGRAÇÃO COM API (RISCO REAL)

🎯 Objetivo

Simular API via CICS

---

💣 Problema

👉 input externo não confiável

---

✅ Solução

• validar JSON
• sanitizar campos

---

🧪 LAB 8 — TRATAMENTO DE ERRO

🎯 Objetivo

Não expor sistema

---

❌ Errado

DISPLAY SQLCODE.

---

💣 Problema

👉 revela estrutura interna

---

✅ Correto

DISPLAY "ERROR OCCURRED".

---

🧪 LAB 9 — CONTROLE DE TRANSAÇÃO

🎯 Objetivo

Evitar inconsistência

---

💻 Uso

EXEC CICS SYNCPOINT
END-EXEC.

---

💬 Importante

👉 protege integridade

---

🧪 LAB 10 — SIMULAR ATAQUE REAL

🎯 Objetivo

Mentalidade hacker

---

💻 Faça

• testar inputs inválidos
• tentar bypass
• observar comportamento

---

💥 Resultado

👉 descobrir falhas reais

---

🧠 VISÃO FINAL

Você fez:

• ataque
• defesa
• validação

👉 isso é segurança real

---

💬 FRASE FINAL

“Mainframe não é seguro por ser forte…
é seguro quando você fecha as portas certas.”

 

Bellacosa Mainframe apresenta segurança em codigo

🔥💀 “SEU CÓDIGO ESTÁ SEGURO… OU SÓ AINDA NÃO FOI HACKEADO?”

Do Cartão Perfurado ao DevSecOps: como as mesmas falhas continuam derrubando sistemas — inclusive o seu

---

☕ INTRODUÇÃO — O ERRO QUE ATRAVESSOU DÉCADAS

Se você acha que segurança de aplicação é algo “moderno”…

👉 você já começou errado.

Há mais de 20 anos, os mesmos problemas que aparecem hoje na lista da OWASP já existiam.

E o mais assustador:

💣 Eles continuam sendo explorados hoje.

---

🧠 UM POUCO DE HISTÓRIA (SIM, ISSO COMEÇA NO MAINFRAME)

Antes de:

• APIs REST
• microservices
• cloud

…existia:

🧱 Mainframe + COBOL + CICS + DB2

E adivinha?

👉 Os mesmos problemas já estavam lá:

• input sem validação
• acesso indevido
• dados sensíveis expostos

---

💀 EASTER EGG HISTÓRICO

Nos anos 70–80, segurança era baseada em:

👉 “ninguém tem acesso físico ao terminal”

Spoiler:

💣 isso não durou muito

---

🔐 O NASCIMENTO DA SEGURANÇA REAL

Ferramentas como o RACF surgiram para resolver:

• quem pode acessar
• o que pode acessar
• quando pode acessar

👉 primeiro passo para segurança moderna

---

💣 O PROBLEMA REAL: NÃO É TECNOLOGIA

👉 É comportamento

Hoje temos:

• scanners
• IA
• automação
• cloud

E mesmo assim…

💥 vazamentos continuam acontecendo

---

📊 DADO REAL (que assusta)

Tempo médio para detectar um breach:

👉 ~212 dias

Tempo suficiente para:

• invadir
• explorar
• exfiltrar dados
• desaparecer

---

🔥 OWASP TOP 10 — O MANUAL DO ATACANTE

A OWASP lista os erros mais explorados.

E aqui vai o choque:

👉 quase todos são básicos

---

💣 EXEMPLO 1 — SQL INJECTION (O DINOSSAURO QUE AINDA MATA)

' OR 1=1 --

👉 isso ainda quebra sistemas hoje

---

💣 EXEMPLO 2 — XSS (VOCÊ CONFIA NO USUÁRIO?)

<script>stealCookies()</script>

👉 o browser executa
👉 o atacante assume a sessão

---

💣 EXEMPLO 3 — DEPENDÊNCIAS VULNERÁVEIS

Você escreve:

👉 20% do código

O resto?

👉 bibliotecas externas 😬

---

🛠️ DEVSECOPS — A VIRADA DE JOGO

Antes:

👉 segurança era responsabilidade de outro time

Hoje:

👉 “You build it, you run it… and you secure it.”

---

🔄 PIPELINE MODERNO

code → scan → test → deploy → monitor

Ferramentas:

• SAST (ex: análise estática)
• DAST (ataque simulado)
• SCA (dependências)
• runtime protection

---

🧪 MÃO NA MASSA (O QUE VOCÊ PRATICOU)

Você fez:

🔍 SAST

• analisou código sem rodar

---

🌐 DAST

• atacou a aplicação com ferramentas

---

📦 SCA

• descobriu vulnerabilidade em libs

---

🔐 Secrets

• saiu do hardcode → Vault

---

🐳 Docker Security

• corrigiu imagem vulnerável

---

👉 isso é exatamente o que empresas fazem hoje

---

💀 ERRO CLÁSSICO (QUE DERRUBA EMPRESA)

password = "123456"

👉 parece inofensivo

👉 vira incidente milionário

---

🧠 A VERDADE QUE NINGUÉM TE CONTA

👉 Segurança não falha por falta de ferramenta

👉 Segurança falha por:

• pressa
• ignorância
• negligência

---

🔥 CURIOSIDADE (QUE MUDA SUA VISÃO)

O maior ataque da história recente (Log4j):

👉 veio de uma biblioteca

Não do código principal

---

🚀 DO DEV AO ENGENHEIRO DE SEGURANÇA

Depois desse conhecimento, você não é mais só dev:

👉 você entende:

• como atacar
• como defender
• onde estão os riscos

---

🧱 E O COBOL NISSO TUDO?

Tudo isso se aplica em:

• CICS
• DB2
• APIs via z/OS Connect

---

👉 Mainframe não é imune
👉 ele só é mais disciplinado

---

💬 FRASE PRA GRAVAR

“Você não precisa ser hackeado para estar vulnerável…
basta ignorar o básico.”

---

🔥 CONCLUSÃO (SEM FILTRO)

👉 Se você não:

• valida input
• protege secrets
• escaneia dependências
• monitora

💣 seu sistema já está em risco

---

🚀 CHAMADA FINAL

Agora você tem duas opções:

👉 continuar escrevendo código
ou
👉 começar a proteger sistemas