Perfil
Arquiteto de Software & Cloud · Segurança Cibernética · IA
Problemas complexos de segurança e arquitetura, resolvidos de forma simples.
Arquiteto de software, sistemas e cloud e profissional de segurança cibernética — ofensiva e defensiva, com segurança e privacidade desde a concepção. Nos últimos anos meu trabalho migrou do teclado para a arquitetura e a orquestração: desenho os sistemas e governo frotas de agentes de IA (agents, skills, revisão dupla e guardrails) que os constroem, testam e defendem — de APIs em Rust e Python a parques AWS por Well-Architected, de plataformas de identidade a frotas IoT de borda. Combinação rara, na mesma pessoa que entrega em produção: segurança ofensiva × sistemas de IA/agênticos × arquitetura de software e cloud.
Engenharia & Arquitetura
Desenho e implementação de sistemas e APIs; clean architecture, modelagem de domínio, multi-tenancy.
Arquitetura como código, multi-conta, Well-Architected, secure-by-default.
Malha VPN, split-tunnel por DNS, convergência declarativa, self-heal, fleet.
Backend Python/FastAPI, frontend React/Vite/TypeScript e serviços em Rust (agentes de borda, instalador Tauri, print-bridge) — da API ao device.
Orquestração governada de agentes e skills; automação de engenharia e segurança com IA.
Secure SDLC, IaC, pipelines seguros e automação serverless.
Segurança Cibernética
Testes de invasão, exploração de lógica de negócio e simulação de adversário.
Hardening, baselines, EDR/EPP e prevenção de incidentes.
Engenharia de detecção, logging, alerting e automação de resposta.
Resposta a incidentes, forense e engenharia reversa de malware.
AuthN/AuthZ centralizado, ciclo de vida de acesso, SSO/MFA.
ISO 27001, PCI DSS, LGPD, gestão de risco e auditoria regulatória.
Resultados de engenharia entregues a empregadores/clientes, anonimizados — problema → solução.
Problema — autenticação e autorização fragmentadas entre chamadas de clientes e de serviços, sem auditoria central.
Solução — plano de identidade central em Rust (ForwardAuth → Lambda Authorizer atrás de API Gateway): tokens escopados com audience, trilha de auditoria completa e latência otimizada.
Problema — provisionamento e revogação de acessos feitos à mão em dezenas de sistemas, gerando toil e risco nas revisões.
Solução — motor serverless (Lambda + API Gateway + Secrets Manager) disparado por ticket que lista, cria e revoga acessos em dezenas de SaaS — joiner-mover-leaver automatizado e auditável.
Problema — firewalling estático e manual; IPs de escritório mudam e os acessos ficam amplos demais.
Solução — allowlisting de IP dinâmico e dirigido por identidade: Lambdas que programam IP-sets do WAF e ingress de Security Group, resolvem DDNS e limpam entradas obsoletas diariamente.
Problema — infraestrutura criada em click-ops, sem isolamento de contas, com drift e sem posture de segurança repetível entre clientes.
Solução — múltiplos estates AWS greenfield como código (OpenTofu/Terragrunt), prod/staging em contas isoladas, KMS-from-birth, WAFv2 count→block, CI/CD OIDC sem credencial estática e gates de contract-test offline — um deles aprovado em auditoria Well-Architected independente.
Problema — hypervisors ESXi criptografados por ransomware, com os backups destruídos na mesma rede.
Solução — resposta liderada em war-room e engenharia reversa do encryptor, expondo falha de criptografia parcial: 93–95% dos dados recuperados sem pagar resgate.
Problema — frota de dispositivos on-prem em LANs de cliente atrás de NAT precisava ser provisionada, endereçada e operada 100% da nuvem, com impressão confiável e zero trabalho de rede do cliente.
Solução — malha WireGuard dirigida por banco (reconciliação `wg syncconf` via LISTEN/NOTIFY, self-heal por boot+timer), provisionamento zero-touch (a chave nasce no device, pré-bind aloca um /32, o device imprime o próprio QR), invariante one-device-one-binding em 3 camadas e impressão nuvem → relay nginx → CUPS/IPP sobre a malha — "IP nunca é input do usuário".
Problema — sistemas financeiros em produção com falhas de lógica de negócio que scanners não pegam (movimentação de dinheiro, autorização, injeção via GraphQL).
Solução — pesquisa ofensiva interna com PoC responsável: race conditions no fluxo de dinheiro, SQLi via variável GraphQL (leitura de 19 bancos), takeover de sessão via XSS e bypass automatizado de reCAPTCHA — cada uma levada ao fix arquitetural (ex.: settlement síncrono com lock antes do PIX). Disclosure responsável.
Postura de risco, controles e conformidade. Identifiquei falhas de race condition e de lógica de negócio em fluxos de transferência, e exposição de credenciais admin de IdP (Keycloak realm-admin) que permitia takeover de conta com reset de MFA — reportadas via disclosure responsável.
Normalização em segurança no Comitê de Computadores e Processamento de Dados (CB-21): técnicas criptográficas, controle de acesso, gerenciamento OSI e segurança em instalações de informática. Espelho nacional do ISO/IEC JTC1/SC27.
Primeira atuação full-time em SI, com escopo amplo: testes de invasão e engenharia social interna, resposta a incidentes, análise de firewall e IPS/IDS, engenharia reversa básica de malware, gestão de antimalware e patches, controle de acessos (rede, sistemas e SAP), análise de riscos e ameaças, baselines e planos de contingência, apoio ao desenvolvimento seguro e conformidade com ISO 27000 e PCI-DSS.
Testes de invasão sob contrato e acordos de confidencialidade, guiados por PTES e OWASP.
Produtos e ferramentas autorais — IP que eu desenho e mantenho.
Orquestrador de agentes de desenvolvimento governado por constituição: estratificação de modelos por custo/tarefa, revisão dupla evaluator-optimizer, hooks de detecção de segredo e anti-padrão, e mapeamento OWASP Agentic Top 10.
Plataforma multi-agente de segurança ofensiva — red team, pentest e exploração — com o diferencial que a maioria das ferramentas ignora: cadeia de autorização criptográfica por engajamento (prova DNS-TXT + 2FA + CPF + assinatura + trilha AES-256-GCM), tornando cada ação escopada e juridicamente atribuível. Pipeline recon→scan→enum→exploit→report, model routing/fallback e gates de zero falso-positivo.
Contraparte de segurança do orquestrador de desenvolvimento: agentes especializados por domínio — DFIR, RE de malware, threat-intel, OSINT, defesa/blue-team, GRC, arquitetura de segurança, virtualização segura e edge/Cloudflare — cada um ancorado em frameworks oficiais (MITRE ATT&CK/D3FEND, NIST CSF/800-61/86/53/207, STIX/YARA/SIGMA) com output citation-required (anti-alucinação). Foi a plataforma que rodei na resposta ao ransomware NightSpire.
Split-tunnel VPN por nome DNS para backends de IP dinâmico (ALB/NLB): mantém rotas /32 em lockstep com a resolução DNS, reconciliando em menos de 60s quando o IP do balanceador muda. Inclui SSO Microsoft Entra (device-auth + MFA), migração de DNS privado para Route 53 e observabilidade completa.
Núcleo de pagamentos em Rust/actix (Protobuf nativo, sqlx/PostgreSQL) com a fronteira PCI imposta no sistema de tipos, tenancy derivada só do servidor e comparação em tempo constante.
Infra de egress multi-gateway (ProtonVPN + TOR + anti-correlação) curada e mantida para OSINT e red-team autorizados — parte do arsenal operacional com OPSEC.
De generalista em segurança a arquiteto de sistemas de IA — cada camada somando na anterior.
Pentest sob contrato (PTES/OWASP) e primeira atuação full-time em SI — invasão, resposta a incidentes, firewall/IDS, RE de malware, controle de acesso, ISO/PCI. Aprendi a pensar como atacante em todo o stack.
Membro da comissão ABNT CE-021 (técnicas de segurança), espelho do ISO/IEC SC27 — governança direto de quem escreve o padrão.
Numa corretora regulada: plano de identidade em Rust, automação de acesso serverless, engenharia de detecção, segurança em nuvem, bug bounty e GRC regulatório — ~1.345 itens no total (IAM a maior frente, ~500). Construir plataformas, não só operar ferramentas.
DFIR e resposta a ransomware, plataforma ofensiva orquestrada por IA e arquiteturas de nuvem para clientes financeiros, industriais e governamentais. Ofensiva × arquitetura na mesma pessoa.
CTO/arquiteto de uma foodtech: full-stack (Python/React/Rust), AWS como código, frota WireGuard/Raspberry Pi e pagamentos — propriedade vertical, do backend ao device, cada frente até produção.
Orquestrador multi-agente de desenvolvimento sob constituição — estratificação de modelos por custo/tarefa, revisão dupla evaluator-optimizer com anti-sycophancy, hooks de segredo/anti-padrão, execução Docker-first. Faço threat-model do próprio sistema agêntico (OWASP Agentic, prompt-injection, abuso de ferramenta) e mantenho um irmão ofensivo do mesmo desenho (DFIR/red team, autorização criptográfica por engajamento).
Comissão de Técnicas de Segurança — espelho nacional do ISO/IEC JTC1/SC27.
Computer System Engineering (autoestudo) — fundamentos de sistemas, redes e segurança.
Atualização constante em arquitetura de software, cloud, IA e segurança ofensiva e defensiva.