Publicamos o texto a seguir no grupo de inscritos em nossos treinamentos na semana passada e resolvemos compartilhar essa reflexão aqui para que outros também possam lê-lo.
Conversando com um amigo ontem sobre o blog post [1] que publicamos esta semana e ao qual vocês tiveram acesso prévio, ele me lembrou do artigo de Nelson Elhage, intitulado: Computers can be understood [2] (em português: “Computadores podem ser compreendidos”).
Nelson Elhage é atualmente engenheiro de sistemas na Anthropic e trabalhou anteriormente na Ksplice, Stripe e, provavelmente, em outras empresas de destaque. Para quem não conhece, a Ksplice era uma startup americana que resolveu um problema que muitos consideravam impossível na época: atualizar o kernel sem reiniciar o sistema! Em 2011, a Ksplice foi adquirida pela Oracle e hoje faz parte das soluções oferecidas pela empresa. Seu envolvimento na Ksplice, em um projeto notoriamente desafiador, por si só já demonstra as diversas habilidades de Nelson.
Mas, caso isso ainda não os convença, menciono outro blog post escrito por Elhage, na página da Ksplice, que me marcou profundamente: ele foi capaz de diagnosticar um bit flip (inversão de bit) provavelmente causado por raios cósmicos em seu computador [3]. Além disso, ele contribuiu significativamente para a pesquisa de vulnerabilidades, encontrando e explorando falhas no kernel do Linux, em mecanismos de escape de VMs e muito mais. Existem dois exploits populares para o kernel do Linux que levam seu nome, half-nelson [4] e full-nelson [5]. Ele também foi um dos primeiros a desenvolver exploits de “escapes” do KVM [6], o subsistema de virtualização do kernel do Linux, em 2011.
No artigo que publicamos, ao mencionar um profissional capaz, trabalhando na vanguarda da tecnologia, Nelson Elhage é uma dessas pessoas que imediatamente me vem à mente. Ele mantém um blog chamado Made of Bugs [7], onde escreve sobre diversos assuntos, sempre com muito embasamento técnico e teórico.
O blog post Computers can be understood é uma ótima referência complementar ao artigo que publicamos. Nele, Elhage expõe o mindset que ele e muitos engenheiros experientes que ele conhece sustentam: o de que, embora os computadores sejam complexos e não haja uma única pessoa no mundo capaz de entender tudo, vários componentes da stack (pilha de tecnologias) podem ser compreendidos. Esse é um paralelo que também faço no artigo ao mencionar o termo stack.
Para finalizar, Elhage é um exemplo claro de que conhecimentos em exploração de vulnerabilidades não são interessantes apenas para esse propósito. Essa área fornece conhecimentos sólidos e fundamentais que podem ser aplicados e re-aplicados em praticamente todas as áreas da tecnologia moderna. E isso não é algo que nós estamos dizendo: como podem ver no blog post de Elhage, ele também acredita nisso. Nas palavras do próprio Nelson Elhage:
“Security
Understanding security issues very often requires working at multiple levels of abstraction. An attacker attacking a system isn’t bound by the documented or intended behavior of any layer; she cares about how the system actually behaves in practice, potentially including when one layer or input is “out-of-spec.” The C specification says only that a buffer overflow is “undefined behavior”; understanding how to turn one into remote-code-execution, or reasoning about countermeasures like ASLR or DEP requires a deep understanding of the actual implementation of the abstract C specification by the compiler, libc, underlying hardware, and more.
I started my career substantially in security, while working at Ksplice, which sold zero-downtime software updates for the Linux kernel, primarily as a security feature. I learned a lot of my current skill and comfort with digging deeper into the stack and understanding all the layers of abstraction while spending time around a lot of security bugs there.”
Apesar de o blog post que publicamos estar focado principalmente em pesquisa de vulnerabilidades, também deixo clara no texto a minha crença de que, quanto mais você souber da stack, melhor profissional se tornará. Outro paralelo com o que Nelson Elhage também escreve em seu blog post:
“Start with curiosity
Learning more about software systems is a compounding skill. The more systems you’ve seen, the more patterns you have available to match future systems against, and the more skills and tricks and techniques you develop to apply to future problems. Understanding immensely complex systems may seem out of grasp at first, but the more you try the easier it becomes.”
Infelizmente, tenho a impressão de que o interesse por computadores em geral está esmorecendo – pelo menos ao meu redor, onde muitas pessoas aparentam visar apenas a aparência de ter conhecimento, esbanjando conhecimentos rasos e superficiais. Por estarem matriculados em nossos treinamentos, vocês demonstram que estão remando contra a maré, buscando conhecimentos sólidos e fundamentais.
Nossos treinamentos são ministrados por profissionais experientes que realizam exploração de vulnerabilidades há décadas. Oferecemos diversas vantagens para garantir o seu sucesso:
- Instrutores de nível internacional: Profissionais com experiência comprovada em exploração de vulnerabilidades.
- Comunidade exclusiva: Acesso antecipado aos nossos artigos e discussões avançadas.
- Recursos flexíveis: Videoaulas gravadas para revisão a qualquer momento.
- Suporte estendido: Suporte ao aluno por até 6 meses após o treinamento.
Aproveite esta oportunidade e garanta sua vaga. As vagas são limitadas para manter a qualidade do ensino.
Próximos Treinamentos
- Treinamento de Exploração de Vulnerabilidades no Espaço do Usuário (Linux Binary Exploitation) – Maio 2026
- Treinamento de Exploração de Vulnerabilidades no Espaço do Kernel (Linux Kernel Exploitation) – Agosto 2026
Referências
[1] – A importância de conhecimentos diversos em pesquisa de vulnerabilidades – A transferibilidade de conhecimento
https://allelesecurity.com.br/transferibilidade-conhecimento/
[2] – Computers can be understood
https://blog.nelhage.com/post/computers-can-be-understood/
[3] – Attack of the Cosmic Rays!
https://web.archive.org/web/20170228122445/https://blogs.oracle.com/ksplice/entry/attack_of_the_cosmic_rays1
[4] – half-nelson
https://www.exploit-db.com/exploits/17787
[5] – full-nelson
https://www.exploit-db.com/exploits/15704
[6] – virtunoid
https://github.com/nelhage/virtunoid
[7] – Made of Bugs – Archive
https://blog.nelhage.com/post/