Opiniões
DEF CON: Navegando o caos
Head of Research
Atualizado
15 de jan. de 2026
12 min
"Drink all the booze, hack all the things", proclama Dual Core em seu hino não oficial da DEF CON, capturando perfeitamente aquela linha tênue entre obsessão técnica e festa que define o evento. É assim que rola a maior conferência de hackers do mundo: intensidade ininterrupta onde 26 mil hackers se reúnem em Las Vegas com uma única mentalidade de explorar, quebrar e reconstruir.
Origem e história do DEF CON
A DEF CON nasceu em 1993 como uma festa de despedida organizada por Jeff Moss, também conhecido como The Dark Tangent, para o operador da Platinum Net, uma rede BBS para hackers canadenses. A ideia original era fazer uma festa para todos os membros da rede, já que o operador ia desativá-la, mas devido a uma mudança repentina no trabalho do pai, o operador teve que sair mais cedo e desapareceu, deixando Jeff com tudo em suspenso.
Jeff decidiu seguir em frente com a organização e convidou todo mundo que conseguiu, ironicamente incluindo os federais, com a premissa de que eles iam aparecer de qualquer jeito. Foi assim que o jovem Moss de 18 anos realizou a DEF CON 1 sem cronograma, sem sinalização, só com cadeiras dobráveis, um gravador de fita, 100 participantes e 12 palestrantes.
O nome DEF CON homenageia os phone phreakers que vieram antes do hacking de computadores: no teclado telefônico,DEF corresponde ao número 3, uma referência às técnicas de manipulação de tons DTMF. CON refere-se a conferência. Por outro lado, o nome também remete à palavra DEFCON, que por sua vez faz referência ao filme WarGames (1983), onde o protagonista decide bombardear Las Vegas.
Essa festa tem bombardeado Las Vegas por 33 anos, e passou por muita coisa: começando com aquela primeira edição, DC1, com 100 participantes em 1993, até a fundação do icônico DEF CON CTF na DC4 (1996), a expansão do evento pela primeira vez fora dos EUA em 2018 em Pequim, China, e a celebração de uma edição virtual (DEF CON Safe Mode) em 2020 durante a pandemia, além da mudança de local em 2024 com a chegada da DC32. Em 2025, a DC33 adicionou mais um capítulo a essa história, e você pode conferir os melhores momentos no meu post sobre o melhor do DEF CON em 2025.
Uma cultura de anonimato e privacidade
Mesmo com mais de três décadas de história, a conferência continua mantendo sua essência: anonimato e privacidade são sagrados. Isso é apenas um reflexo do respeito pela comunidade, conseguido mantendo o mínimo de informação possível sobre os participantes. Não há registro de participantes, o pagamento do ingresso pode ser feito em dinheiro, predomina a cultura de handles em vez de nomes reais, você não deve revelar seu empregador, seus sites têm apenas logs estritamente técnicos e necessários, e há toda uma política de fotos.
Falando dessa última, por exemplo, você não pode tirar fotos de multidão ou das pessoas sem antes ter o consentimento delas, e essa é uma regra que é respeitada por todos, incluindo os Goons e demais membros da organização do evento.
O papel dos Goons
Os Goons são todas as pessoas que fazem o evento possível. São voluntários de camiseta vermelha com um tag ou handle que cumprem o papel de Staff, SOC, NOC, Equipe de Foto e Vídeo e todas as outras atividades necessárias para manter o evento funcionando. Seu único pagamento é a entrada gratuita na DEF CON e camisetas, pois é um trabalho que fazem pela comunidade. Eles surgiram organicamente nas primeiras edições da conferência como resposta ao aparecimento de troublemakers, e são realmente toda uma rede de pessoas confiáveis que ajudam a organizar a DEF CON e contribuem com a comunidade. A forma de fazer parte deles geralmente é através da recomendação de outro Goon, depois de ter sido avaliado por ele mesmo.
Outras tradições que definem a conferência
Assim como os Goons, há muitas tradições ou partes da DEF CON que se imortalizaram ao longo dos anos:
Wall of Sheep, onde são projetadas as credenciais das pessoas que usam as redes não seguras da conferência ou usam as redes seguras com configuração incorreta.
Spot the Fed, onde você tenta identificar os federais que participam da conferência, e se a identificação estiver correta, tanto quem identifica quanto o federal ganham respectivamente uma camiseta de "I spotted the fed!" [Eu identifiquei o federal!] ou "I am the fed!" [Eu sou o federal!].
Toxic BBQ, uma tradição desde 2004 (DC12) conhecida como a festa de abertura não oficial da DEF CON, onde hambúrgueres e comida são distribuídos gratuitamente e representa a calmaria antes da tempestade.
DCGs (DEF CON Groups), também conhecidos como a forma de levar a DEF CON para fora do DEF CON, que são encontros de comunidades locais ao redor do mundo.
Hacker Summer Camp
Hoje em dia, a DEF CON é uma conferência de hacking disruptiva e diversa, e faz parte do lendário Hacker Summer Camp: uma semana completa em Las Vegas onde acontecem algumas das conferências de cibersegurança mais importantes. O Hacker Summer Camp consiste em 3 conferências: Black Hat (2 a 7 de agosto), o gigante corporativo caracterizado por seus treinamentos e conteúdo altamente técnico ou comercial; BSides Las Vegas (4 a 6 de agosto), que abre as palestras do camp e é uma conferência mais voltada para a comunidade e acessível; e DEF CON (7 a 10 de agosto), como o final épico e a cultura hacker em sua expressão máxima.
Badges: Mais que um ingresso
A forma de o público geral participar da conferência é comprando o badge de Human. Um badge é seu ingresso para tudo dentro da DEF CON. Inicialmente eram feitos de papel/plástico laminado da DC1 até a DC13, depois, em 2006 (DC14), foi apresentado o primeiro badge eletrônico e, a partir de 2011 (DC19 em diante), iniciou-se o ciclo Tick/Tock, que se refere a uma rotação de um ano oferecendo um badge eletrônico e no seguinte um badge analógico.
Os badges se caracterizam por serem, geralmente, hackeáveis, ou terem seu próprio desafio relacionado dentro da conferência. Quem consegue resolver o desafio primeiro pode, às vezes, receber o famoso Black Badge. Este é o maior prêmio e reconhecimento concedido na conferência, dado aos vencedores de algumas das principais competições, permitindo-lhes acesso gratuito à DEF CON vitalício. Semelhante a este, o Gold Badge também permite acesso gratuito vitalício à DEF CON, mas é dado aos Goons com mais de 10 anos de serviço, para que possam aproveitar a conferência pelo resto de seus dias.
Competições lendárias
Entrando agora no território dos desafios, há muitas competições na DEF CON. A DC33, em 2025, teve incontáveis competições não oficiais, 75 competições oficiais e 12 competições que premiaram com Black Badge. Algumas das mais importantes são as seguintes.
Hacker Jeopardy
O Hacker Jeopardy, tradição desde a DC3 (1995), é a competição mais antiga da DEF CON. Trata-se de uma paródia irreverente do programa de televisão Jeopardy!, mas com foco na cultura hacker. Aqui, três equipes de três pessoas competem para responder perguntas que vão desde criptografia pré-quântica e RFCs até os memes mais obscuros; e isso enquanto o álcool se torna o combustível obrigatório da competição: um Beer Score oficial é mantido junto aos pontos do jogo.
O mantra do show é "Don't f*ck it up", e eles o repetem constantemente, especialmente quando ocorrem dificuldades técnicas (acontece com frequência), com o caos literalmente se tornando parte da experiência: microfones que morrem, telas que apagam e o apresentador perdendo a voz durante o show.
Mesmo assim, no meio desse caos, a atmosfera muda para um leilão beneficente em favor da EFF (Electronic Frontier Foundation), onde tudo, desde moedas comemorativas raras até tacos que sobraram, é vendido por centenas de dólares. No final, os vencedores (que em 2025 venceram apostando estrategicamente $0) levam a glória e, tradicionalmente, o cobiçado Black Badge.
DEF CON CTF
A DEF CON CTF é um dos CTFs mais reconhecidos do mundo, onde as 20 melhores equipes classificadas competem presencialmente em Las Vegas. No ano passado, este CTF alcançou a classificação ou peso de 100/100 no CTFtime.org, uma plataforma onde a grande maioria dos CTFs é anunciada e ranqueada.
A DEF CON CTF também é um dos CTFs mais antigos que ainda está ativo. Começou em 1996 (DC4) organizado pelos próprios Goons, e em 2025 comemorou sua 30ª edição (DC33) organizada pelo Nautilus Institute pela quarta e última vez consecutiva. Os vencedores do ano passado, que detêm o recorde com nove vitórias como o time mais bem-sucedido da história da DEF CON, são os MMM (Maple Mallard Magistrates), a união de três grandes times: PPP (Plaid Parliament of Pwning) da Carnegie Mellon University, The Duck da empresa Theori.io, e Maple Bacon da UBC (The University of British Columbia).
A CTF tem formato de Ataque & Defesa, onde as equipes competem simultaneamente para atacar os sistemas dos oponentes e capturar suas flags e defender seus próprios sistemas corrigindo suas vulnerabilidades. Conseguir vaga nesta competição requer terminar entre os melhores times da CTF classificatória da DEF CON (estilo Jeopardy), ou vencer um dos CTFs mundiais designados, como por exemplo a HITCON CTF de Taiwan ou a PlaidCTF dos EUA.
Scavenger Hunt
A Scavenger Hunt, a terceira competição mais antiga, nasceu como tradição no DC5 (1997) quando sua fundadora, Pinguino, queria fazer IDs falsas com um amigo, mas ninguém quis emprestar uma câmera digital, então em seu desespero e tentando não ficar entediada, ela inventou um "jogo rápido". Para isso fez uma lista de coisas estranhas que exigiam vasculhar o lixo ou fazer engenharia social, atribuiu um número de pontos a cada item, permitiu jogar em times de até 5 pessoas, e quem chegasse a 100 primeiro ganhava. O vencedor dessa primeira vez foi um hacker chamado ToiletDuck, que se considerou como o item "A live duck".
Isso destaca a dinâmica da competição: a lista é hackeável e aberta a interpretação, pois parte do jogo é convencer o juiz de que seu item está correto. Para te dar uma ideia do nível de loucura da lista, alguns itens no DC33 foram: #28 packet collision, #60 anti-social engineering e #86 give a flight safety brief at the Aerospace Village.
DARPA's AI Cyber Challenge
Outra das grandes competições da DEF CON, e uma das mais recentes, é a DARPA's AI Cyber Challenge, também conhecido como AIxCC, que faz parte da villa que leva seu nome. Esta competição começou na DC32 e durou dois anos.
Diferente de outras competições, aqui os hackers não encontram ou remediam vulnerabilidades – em vez disso, seu objetivo é construir sistemas autônomos que, de forma independente, encontrem e remedeiem vulnerabilidades. Esses sistemas conseguiram remediar vulnerabilidades em uma média de 45 minutos cada e com um custo estimado por remediação de $152, chegando até a encontrar zero-days nos sistemas que estavam revisando.
Seus números são impressionantes:
Detectaram 54/70 vulnerabilidades sintéticas (77%)
Remediaram 43/70 vulnerabilidades sintéticas (61%)
Encontraram 18 zero-days
Remediaram 11 zero-days
Analisaram mais de 54 milhões de linhas de código
Além de tudo, os modelos vencedores se tornaram de código aberto para a comunidade usar. Os vencedores específicos foram: Team Atlanta em primeiro lugar, levando $4 milhões de dólares; Trail of Bits em segundo, levando $3 milhões, e Theori em terceiro, levando $1,5 milhão.
Villas e comunidades no DEF CON
Como disse The Dark Tangent na DC33:
"I want 50% of the time you guys to have a fantastic social experience and 50% of the time doing something crazy hands-on or learning or breaking something. That is the spirit of the hacker con."
["Quero que 50% do tempo vocês tenham uma experiência social fantástica e os outros 50% do tempo façam algo louco e prático, aprendam ou quebrem algo. Esse é o espírito da hacker con."]
As atividades para fazer na DEF CON variam e misturam aprendizado e diversão. Existem muitos espaços para aprender e se entreter: villas, comunidades, festas, workshops, treinamentos e as palestras propriamente ditas.
Villas: Onde cada nicho tem seu espaço
As villas (villages) são espaços de aprendizado organizados por área de conhecimento ou especialidade em hacking e, embora também tenham palestras, têm um foco mais prático dentro da conferência. O número de villas chegou a 35 na edição da DC33, atualmente incluindo as seguintes:
Villa | Temática |
|---|---|
Adversary Village | Simulação de adversários, purple teaming e a CTF Adversary Wars |
Aerospace Village | Segurança em aviação e espaço e Drone Flying Experience |
AI Village | IA e segurança, deepfakes e red teaming de modelos |
AIxCC (Challenge) | Final da DARPA's AI Cyber Challenge |
AppSec Village | Segurança de aplicações: hacking web, mobile e de API |
Biohacking Village | Segurança em saúde e infraestrutura hospitalar |
Blacks In Cyber Village | Experiência da comunidade negra no hacking |
Blue Team Village (BTV) | Defesa, resposta a incidentes, inteligência e caça de ameaças |
Bug Bounty Village | Bug bounty, segurança de aplicações e pesquisa |
Car Hacking Village | Segurança automotiva e veículos elétricos |
Cloud Village | Hacking na nuvem (AWS, Azure, GCP, Alibaba), demos e CTFs |
Crypto Privacy Village | Criptografia, privacidade, vigilância e o Gold Bug Challenge |
Data Duplication Village | Cópia gratuita de terabytes de dados, armazenamento e duplicação de dados |
Embedded Systems Village | Hacking de hardware, firmware e sistemas embarcados |
GameHacking.GG | Segurança em videogames, modding, cheats e anti-cheat |
Ham Radio Village | Radioamadorismo, controle de satélites e comunicações sem fio |
Hardware Hacking (HHV/SSV) | Habilidades de solda e modificação de eletrônicos |
ICS Village | Sistemas de controle industrial e infraestrutura crítica |
IOT Village | Internet das Coisas, Meshtastic e dispositivos inteligentes |
Lock Pick Village | Técnicas de lock-picking para cadeados e fechaduras |
Malware Village | Análise de malware, engenharia reversa e evasão de sandbox |
Maritime Hacking Village | Hacking de sistemas marítimos: navios, GPS e drones marítimos |
Packet Hacking Village | Análise de pacotes, Wall of Sheep e Capture The Packet |
Payment Village | Hacking de caixas eletrônicos, cartões de crédito e sistemas de pagamento |
Physical Security Village | Sistemas de acesso, portas, alarmes e sistemas de vigilância |
Policy @ DEF CON | Políticas, regulamentações e relação entre hackers e governo |
Quantum Village | Computação quântica, segurança e criptografia pós-quântica |
Radio Frequency Village | Segurança de RF e análise de sinais |
Recon Village | OSINT, reconhecimento e espionagem digital |
Red Team Village | Segurança ofensiva, Active Directory e Red Team CTF |
Social Engineering Village | Engenharia social, vishing e phishing |
Tamper-Evident Village | Manipulação de evidências sem deixar rastros |
Telecom Village | Telecomunicações, redes 5G e análise de protocolos |
Voting Village | Segurança eleitoral e hacking de máquinas de votação |
Comunidades: Um lugar para cada um
Diferente das villas, que focam em uma disciplina específica (como hackear carros ou satélites), a comunidades (communities) conectam pessoas e se centram em sua identidade (veteranos, mulheres, LGBTQ+, falantes de espanhol), situação de vida (sobriedade, deficiências) ou interesses (retro tech, hard hats). As comunidades surgiram na DC32, inicialmente com 8, e este ano na DC33 chegaram a 31, especificamente as seguintes:
Comunidade (Community) | Temática |
|---|---|
.edu Community | Tecnologia educacional, universidades/K12 e aprendizado remoto |
Badgelife | Museu, troca, venda e criação de badges eletrônicos |
BBWIC Foundation | Apoio, mentoria e liderança para mulheres em cibersegurança |
Code Breaker | Criptoanálise e puzzles |
Cryptocurrency Community | Blockchain, DeFi e Web3 |
DC Maker's Community | Interseção de design, eletrônica, arte e makers, 3D e DIY |
DC NextGen | Track juvenil oficial (8-18 anos) |
DDoS Community | Defesa contra ataques DDoS, histórias e mitigação |
DEF CON Academy | Mentorias, introdução ao hacking e CTFs (por pwn.college) |
DEF CON Groups (DCG) | Ponto de encontro para grupos locais de hackers de todo o mundo |
DEF CON Groups VR | DCGs através de experiência de realidade virtual |
Friends of Bill W | Apoio para sobriedade e recuperação de vícios |
Hackers With Disabilities | Espaço de apoio para deficiências e animais de serviço |
Hackers.town | Redes distribuídas, Mastodon, LoRa e rádios Meshtastic |
Hard Hat Brigade | A combinação de chapéus, arte e funcionalidades |
Illumicon | Tudo sobre luzes: lasers, LEDs e shows de luz |
La Villa | Comunidade latina, hispanofalante e de língua portuguesa |
Lonely Hackers Club | Grupo de apoio para quem participa sozinho ou pela primeira vez |
Loong Community | Comunidade asiática de InfoSec |
Memorial Chamber | Espaço para homenagear e lembrar hackers falecidos |
Mobile Hacking Community | Segurança e hardening de aplicações mobile |
Nix Vegas Community | NixOS e o gerenciador de pacotes Nix |
NMDP (Be The Match) | Doadores de medula óssea e salvar vidas |
Noob Community | Espaço para iniciantes absolutos; aprendizado e orientação |
Operating Systems Community | Desenvolvimento, otimização e hacking de sistemas operacionais |
OWASP | Comunidade global e open source de segurança de aplicações web |
Queercon Community Lounge | Espaço seguro e inclusão da comunidade LGBTQIA+ |
Retro Tech Community | Computadores e jogos retrô |
The Diana Initiative | Promover diversidade e mulheres em InfoSec |
The Diana Initiative Quiet Room | Sala silenciosa para relaxar, recarregar energia ou evitar sobrecarga sensorial |
VETCON | Ponto de encontro e networking para veteranos militares |
Women in Security & Privacy | Desenvolvimento profissional e treinamento para mulheres |
Workshops, treinamentos e... festa!
Além das villas e comunidades, alguns espaços focados puramente no aprendizado são os workshops e os treinamentos. Os workshops são sessões gratuitas de 4 horas (incluídas no badge) que requerem registro prévio e têm capacidade limitada. Estes acontecem nos 3 dias da conferência (de sexta a domingo), em horários das 9h às 14h. Por outro lado, os treinamentos custam entre $1.500 e $4.200 dólares, com duração entre dois e quatro dias, durante ou após o evento.
Além de ser um espaço de aprendizado e comunidade, a DEF CON nasceu como uma festa, e claro que continua sendo. Quando a noite chega, a atmosfera muda e as festas dominam a conferência. O techno é a música predominante, mas há DJs de vários gêneros e estilos. Na verdade, na DC33 houve 12 festas oficiais, mais de 40 não oficiais e um total de 241 eventos, festas e encontros organizados pela DEF CON.
Guia prático para aproveitar a DEF CON
Para quem está lendo isso e está interessado ou prestes a viajar para o DEF CON, primeiro vem a logística da viagem:
Há dois tipos de ingressos disponíveis: os ingressos comprados como pré-venda online custaram $540, $560 e/ou $580 dólares em 2025, dependendo do momento da compra (quanto mais próximo da data do evento, maior o preço). Os ingressos comprados na fila do caixa custaram $500 dólares. Essas informações podem ser úteis assumindo que os preços da DC34 podem ser similares.
Já em Las Vegas, é importante considerar o transporte. O evento acontece no LVCC (Las Vegas Convention Center), que é atravessado pelo Vegas Loop, uma rede de túneis subterrâneos que pode ser percorrida gratuitamente em Teslas que atravessam as diferentes partes do centro de convenções. Além deste, existe o Las Vegas Monorail, um transporte que atravessa a cidade, e em 2025 ofereceu descontos exclusivos para a DEF CON. O passe recomendado do monorail é o de 4 dias, que pode ser útil para se locomover pela cidade todos os dias da conferência, com horários de fechamento às segundas à meia-noite, de terça a quinta às 2h e de sexta a domingo até às 3h da manhã.
Quanto à hospedagem, todo ano a DEF CON negocia com vários hotéis e define os DC Room Blocks, ou seja, aqueles hotéis que têm descontos exclusivos naquela semana ou dias de evento. Em 2025 os hotéis participantes foram o Sahara, conectado directamente ao Monorail, o Venetian, a 7 minutos de carro, e o Fontainebleau, um dos hotéis mais próximos do LVCC (10-15 minutos a pé). Alguns hotéis imediatamente próximos ao LVCC, embora não tenham feito parte dos room blocks da DC33, são o Las Vegas Marriott e o SpringHill Suites by Marriott Las Vegas Convention Center.
Já estando no evento, o melhor a fazer no primeiro dia é chegar cedo (algumas horas antes) na Linecon – essa é a fila para comprar ou pegar seu badge – imediatamente depois, entrar na fila para o merch, aproveitando o tempo antes da conferência começar e se adiantando ao esgotamento das mercadorias, e finalmente explorar o local com o mapa, para se familiarizar com a distribuçao de tudo e a localização do que você quer visitar.
Como dicas focadas na conferência em si, a melhor forma de navegar o caos, além de saber o que você está enfrentando, é a seguinte:
Primeiro, internalizar a realidade: É impossível ver tudo! Como você deve ter notado, na DEF CON há inúmeras histórias e atividades acontecendo no mesmo momento, então é comum sentir FOMO (Fear Of Missing Out) e se sentir sobrecarregado pela imensidão do evento. Para lidar com isso, a melhor abordagem é escolher algumas villas, palestras e atividades imperdíveis para você, e focar só nisso, também reservando espaço na agenda para o caos – ou seja, todos aqueles eventos imprevisíveis ou atividades que podem surgir de repente.
Segundo, usar Hacker Tracker, um aplicativo móvel e site com todas as informações desta e várias outras conferências de hacking e cibersegurança, para planejar com antecedência essas atividades prioritárias.
Terceiro, seguir pelo menos a regra 3-2-1: três horas de sono, duas refeições, um banho. Requisitos mínimos para sobreviver à intensidade da DEF CON. Também pode ser muito oportuno tomar café da manhã antes de ir ao evento, levar snacks, usar roupa confortável e fresca (Las Vegas é um deserto) e beber água constantemente para se manter hidratado.
Com tudo isso, você já tem as ferramentas para planejar sua viagem e se arriscar a viver a experiência.
A próxima edição, DEF CON 34, acontecerá no LVCC de 6 a 9 de agosto de 2026.
Embora seja meio irônico dizer isso depois de tanta informação: a DEF CON não se explica, se vive. Este artigo tenta preparar você para o que vem, mas a verdade é que nada realmente prepara você para a intensidade desses quatro dias. Você vai ter que ir, se perder no caos e descobrir por que milhares de hackers voltam ano após ano.
Nos vemos lá...
Comece agora com o PTaaS da Fluid Attacks
Assine nossa newsletter
Mantenha-se atualizado sobre nossos próximos eventos e os últimos posts do blog, advisories e outros recursos interessantes.
Outros posts
