HIRAPIUS MOCELIN context ↗

Perfil

Hirapius Jupiter Tolkien Mocelin

Arquiteto de Software & Cloud · Segurança Cibernética · IA

Problemas complexos de segurança e arquitetura, resolvidos de forma simples.

Brasil · Remoto · UTC−3 | PT nativo · EN profissional · ES working

Arquiteto de software, sistemas, cloud e redes e profissional de segurança cibernética — ofensiva e defensiva —, com segurança e privacidade desde a concepção. Trabalho de forma integrada em três domínios — segurança ofensiva, sistemas de IA/agênticos e arquitetura de software, cloud e redes — e entrego nos três, em produção. Desenho os sistemas e orquestro frotas de agentes de IA governados por constituição (revisão dupla evaluator-optimizer, hooks e guardrails) para construí-los, testá-los e defendê-los.

Construo as plataformas de que o próprio trabalho depende — planos de identidade (authorizer em Rust, de baixa latência), automação de acesso sobre sistemas de corretora sem API moderna, estates AWS greenfield como código (um aprovado em auditoria Well-Architected independente), malhas WireGuard e frotas IoT de borda zero-touch. Minha aresta ofensiva é a exploração de lógica de negócio — race conditions em fluxos financeiros, takeover via IAM, SQLi via GraphQL —, sempre como PoC de disclosure responsável e dos dois lados da mesa. Também lidero resposta a incidentes e escrevo o padrão de segurança (comissão ABNT, espelho do ISO/IEC SC27) — não apenas o sigo.

Offense × AI × Cloud · os 3 domínios, em produção ~1.345 itens · corretora regulada (seg., dev, governança, liderança) ~1.100+ tickets de eng. · foodtech full-stack 4 estates AWS greenfield · Well-Architected ✓ Resposta a ransomware · parado em execução, dados recuperados Exploração de lógica de negócio · disclosure responsável
01

Competências

Engenharia & Arquitetura

Arquitetura de Software & Sistemas

Desenho e implementação de sistemas e APIs; clean architecture, modelagem de domínio, multi-tenancy.

Rust · actixPython · FastAPITypeScriptPostgreSQLProtobufClean ArchDDDMulti-tenancy

Cloud & Infraestrutura (AWS)

Arquitetura como código, multi-conta, Well-Architected, secure-by-default.

OpenTofuTerragruntECS FargateRDSKMSWAFOIDCVPC/PrivateLinkCloudflare

Redes & Sistemas Distribuídos

Malha VPN, split-tunnel por DNS, convergência declarativa, self-heal, fleet.

WireGuardPritunlSplit-tunnel DNSAnsibleZero-touchTransit GatewayEAP-TLS

Desenvolvimento Full-stack

Backend Python/FastAPI, frontend React/Vite/TypeScript e serviços em Rust (agentes de borda, instalador Tauri, print-bridge) — da API ao device.

FastAPIReact · ViteRustsqlx · AlembicREST · ProtobufCI/CD

IA & Sistemas Multi-Agente

Orquestração governada de agentes e skills; automação de engenharia e segurança com IA.

LLM agentsSkillsEvaluator-optimizerOWASP AgenticModel routingRAG

DevSecOps & Automação

Secure SDLC, IaC, pipelines seguros e automação serverless.

GitHub Actions · OIDCIaCcargo audit/denySecrets MgmtLambda automationRetool

Segurança Cibernética

Segurança Ofensiva & Red Team

Testes de invasão, exploração de lógica de negócio e simulação de adversário.

PentestRed Team OpsBug BountyRCE chainsSQLiPayment tamperingBusiness-logicRace conditionsIDOR/BOLAAuth/MFA bypassAccount takeoverLateral movementAdversary emulationSocial engPTES · OWASPExploit chaining

Defensiva & Hardening

Hardening, baselines, EDR/EPP e prevenção de incidentes.

HardeningBaselinesXDR/EDRIPS/IDSAntimalwareFilelesspfSense · Snort

Detecção, SIEM & SOAR

Engenharia de detecção, logging, alerting e automação de resposta.

SIEMSOARInsightIDR/ConnectMISPDetection tuningThreat intel

DFIR & Análise de Malware

Resposta a incidentes, forense e engenharia reversa de malware.

Incident ResponseForensicsMalware RERecoveryMITRE ATT&CKNIST 800-61

IAM & Gestão de Identidade

AuthN/AuthZ centralizado, ciclo de vida de acesso, SSO/MFA.

Lambda AuthorizerRBACSSO/MFAJML lifecycleAccess reviewsProvisioning

Governança, Risco & Compliance

ISO 27001, PCI DSS, LGPD, gestão de risco e auditoria regulatória.

ISO 27001PCI DSSLGPDRisk mgmtAuditBACEN/ANBIMAPKI · DLP
02

Portfólio de Soluções

Resultados de engenharia entregues a empregadores/clientes, anonimizados — problema → solução.

Identity

Problema — autenticação e autorização fragmentadas entre chamadas de clientes e de serviços, sem auditoria central.

Solução — plano de identidade central em Rust (ForwardAuth → Lambda Authorizer atrás de API Gateway): tokens escopados com audience, trilha de auditoria completa e latência otimizada.

Rust · ForwardAuthLambda AuthorizerOAuth2 · JWTaudience-bound tokens~1.57ms · 3.304 rps
Access · JML

Problema — provisionamento e revogação de acessos feitos à mão em dezenas de sistemas, gerando toil e risco nas revisões.

Solução — motor serverless (Lambda + API Gateway + Secrets Manager) disparado por ticket que lista, cria e revoga acessos em dezenas de SaaS — joiner-mover-leaver automatizado e auditável.

Lambda · API GatewaySecrets ManagerRetoolJira AutomationSCIM-less adapters
Network

Problema — firewalling estático e manual; IPs de escritório mudam e os acessos ficam amplos demais.

Solução — allowlisting de IP dinâmico e dirigido por identidade: Lambdas que programam IP-sets do WAF e ingress de Security Group, resolvem DDNS e limpam entradas obsoletas diariamente.

WAF IP-setsSecurity GroupsDDNSLambdaidentity-driven
IaC · Cloud

Problema — infraestrutura criada em click-ops, sem isolamento de contas, com drift e sem posture de segurança repetível entre clientes.

Solução — múltiplos estates AWS greenfield como código (OpenTofu/Terragrunt), prod/staging em contas isoladas, KMS-from-birth, WAFv2 count→block, CI/CD OIDC sem credencial estática e gates de contract-test offline — um deles aprovado em auditoria Well-Architected independente.

OpenTofuTerragruntMulti-accountKMS CMKsWAFv2OIDCmock_providerWell-Architected
DFIR

Problema — hypervisors ESXi criptografados por ransomware, com os backups destruídos na mesma rede.

Solução — resposta liderada em war-room: paramos o ransomware ainda em execução, contendo o alastramento e recuperando os dados sem pagar o resgate.

Incident commandContained in-executionChain-of-custodyMITRE ATT&CKNo ransom paid
Edge · IoT

Problema — frota de dispositivos on-prem em LANs de cliente atrás de NAT precisava ser provisionada, endereçada e operada 100% da nuvem, com impressão confiável e zero trabalho de rede do cliente.

Solução — malha WireGuard dirigida por banco (reconciliação `wg syncconf` via LISTEN/NOTIFY, self-heal por boot+timer), provisionamento zero-touch (a chave nasce no device, pré-bind aloca um /32, o device imprime o próprio QR), invariante one-device-one-binding em 3 camadas e impressão nuvem → relay nginx → CUPS/IPP sobre a malha — "IP nunca é input do usuário".

WireGuardpg LISTEN/NOTIFYwg syncconfRust/actixCUPS/IPPZPLRaspberry PiTauriDeny-by-default SGsWAFSSM-onlyPeer isolation (iptables)SSRF-safe
Offensive research

Problema — sistemas financeiros em produção com falhas de lógica de negócio que scanners não pegam (movimentação de dinheiro, autorização, injeção via GraphQL).

Solução — pesquisa ofensiva interna com PoC responsável: race conditions no fluxo de dinheiro, SQLi via variável GraphQL (leitura de 19 bancos), takeover de sessão via XSS e bypass automatizado de reCAPTCHA — cada uma levada ao fix arquitetural (ex.: settlement síncrono com lock antes do PIX). Disclosure responsável.

Business-logicRace conditionsGraphQL SQLiSession takeoverResponsible disclosure
03

Experiência

Jupiter — Segurança Cibernética e Tecnologia

2022 — presente
Diretor de Segurança Cibernética e Tecnologia
  • Arquitetura de sistemas e de nuvem, segurança ofensiva e defensiva, DFIR e plataformas de identidade para clientes financeiros, industriais e governamentais.
  • Orquestração de múltiplos agentes de IA (agents e skills) em frentes de engenharia e segurança; autor de um orquestrador multi-agente de LLM governado por constituição.
  • Liderança de resposta a incidente de ransomware de dupla extorsão: forense, contenção (ransomware parado em execução) e recuperação.
  • Autor de uma plataforma ofensiva multi-agente orquestrada por IA (red team, pentest, DFIR, com cadeia de autorização criptográfica) e de um guardião de rotas VPN (split-tunnel por DNS).

Foodtech — SaaS de gestão de cozinha (confidencial)

concomitante
CTO · Arquiteto Principal · Desenvolvedor Principal
  • Arquitetei a plataforma de ponta a ponta: arquitetura de software (backend Python/FastAPI, frontend TypeScript/React) e serviços em Rust.
  • Arquitetei o parque de nuvem AWS como código (OpenTofu/Terragrunt, ~26 módulos, prod/staging em contas isoladas, ECS Fargate + RDS), com CI/CD por OIDC sem credenciais estáticas e hardening Well-Architected (KMS, WAF, SSM-only) — parque aprovado em auditoria Well-Architected independente.
  • Projetei a malha WireGuard e o provisionamento zero-touch da frota de borda (Raspberry Pi/Windows), com convergência declarativa, self-heal e o princípio "IP nunca é input do usuário".
  • Liderei migração de conta/região AWS sem downtime, um review de segurança full-stack (8 críticos + 11 altos) e governança de migração-safety (snapshots + guards anti-drop) — ~1.100 tickets em 12 meses, do backend ao device.

Instituição de pagamentos (confidencial)

mandato
CISO Interino · Arquiteto de Segurança

Postura de risco, controles e conformidade. Identifiquei falhas de race condition e de lógica de negócio em fluxos de transferência, e exposição de credenciais admin de IdP (Keycloak realm-admin) que permitia takeover de conta com reset de MFA — reportadas via disclosure responsável.

Corretora de investimentos regulada

2020 — 2024 · 4 anos
Segurança da Informação — Pleno · Sênior · Especialista
  • Elevação contínua da segurança em todas as frentes — ofensiva, defensiva, IAM, detecção, resposta a incidentes e GRC (~1.345 itens) — construindo as plataformas por trás disso, incluindo a operação de um programa de bug bounty (~184 reports triados).
  • Projetei e construí a plataforma central de autenticação/autorização e identidade (Rust/actix → Lambda Authorizer atrás de API Gateway; tokens escopados, IaC, otimização de latência) para clientes e serviços.
  • Construí automação serverless de provisionamento/revogação de acessos dirigida por tickets, integrando dezenas de SaaS — eliminando o toil de joiner-mover-leaver.
  • Endurecimento em escala (baselines de SO, EDR/SIEM/SOAR, rotação de segredos/PKI, DLP, least-privilege), rede identity-driven (allowlisting dinâmico de IP, Wi-Fi corporativo EAP-TLS com ciclo de vida de certificado) e mitigação de incidentes críticos (Log4Shell, força-bruta, account takeover).

ABNT — Associação Brasileira de Normas Técnicas

2019 — 2020
Membro · Comissão de Estudo de Técnicas de Segurança

Normalização em segurança no Comitê de Computadores e Processamento de Dados (CB-21): técnicas criptográficas, controle de acesso, gerenciamento OSI e segurança em instalações de informática. Espelho nacional do ISO/IEC JTC1/SC27.

Farmacêutica latino-americana

2018 — 2020
Técnico de Segurança da Informação

Primeira atuação full-time em SI, com escopo amplo: testes de invasão e engenharia social interna, resposta a incidentes, análise de firewall e IPS/IDS, engenharia reversa básica de malware, gestão de antimalware e patches, controle de acessos (rede, sistemas e SAP), análise de riscos e ameaças, baselines e planos de contingência, apoio ao desenvolvimento seguro e conformidade com ISO 27000 e PCI-DSS.

Jupiter Cybersecurity

2017 — 2020
Consultor de Cibersegurança Ofensiva (autônomo)

Testes de invasão sob contrato e acordos de confidencialidade, guiados por PTES e OWASP.

04

Projetos & Pesquisa

Produtos e ferramentas autorais — IP que eu desenho e mantenho.

IA · Multi-Agente

Multi-agent dev orchestrator

Orquestrador de agentes de desenvolvimento governado por constituição: estratificação de modelos por custo/tarefa, revisão dupla evaluator-optimizer, hooks de detecção de segredo e anti-padrão, e mapeamento OWASP Agentic Top 10.

Multi-agentModel stratificationEvaluator-optimizerGovernance hooksSpec Kit / SDDOWASP Agentic
Segurança Ofensiva · IA

AI offensive platform

Plataforma multi-agente de segurança ofensiva — red team, pentest e exploração — com uma capacidade que a maioria das ferramentas não tem: cadeia de autorização criptográfica por engajamento (prova DNS-TXT + 2FA + CPF + assinatura + trilha AES-256-GCM), tornando cada ação escopada e juridicamente atribuível. Pipeline recon→scan→enum→exploit→report, model routing/fallback e gates de zero falso-positivo.

Red teamPentestCrypto authz chainOPSECPTES/OWASPModel routing
Segurança Multi-Domínio · IA

Multi-agent cybersecurity platform

Contraparte de segurança do orquestrador de desenvolvimento: agentes especializados por domínio — DFIR, RE de malware, threat-intel, OSINT, defesa/blue-team, GRC, arquitetura de segurança, virtualização segura e edge/Cloudflare — cada um ancorado em frameworks oficiais (MITRE ATT&CK/D3FEND, NIST CSF/800-61/86/53/207, STIX/YARA/SIGMA) com output citation-required (anti-alucinação). Foi a plataforma que rodei na resposta ao ransomware NightSpire.

DFIRMalware REThreat-intelOSINTBlue teamMITRE ATT&CK/D3FENDSTIX/YARA/SIGMA
Cloud · Rede · Zero-Trust

VPN route guardian

Guardião de rotas VPN sobre Pritunl / Pritunl Zero: split-tunnel por nome DNS mantendo rotas /32 em lockstep com a resolução DNS (reconcilia em <60s quando o IP do ALB/NLB muda), com device authentication e firewall dinâmico. Adiciona gestão de acessos drag-and-drop (users, groups, collections, resources) sobre a API do Pritunl, SSO Microsoft Entra (device-auth + MFA), migração de DNS privado → Route 53 e observabilidade completa.

Pritunl · ZeroSplit-tunnel DNSDevice authDynamic firewallDrag-n-drop accessEntra SSO · MFA<60s reconcile
Sistemas · Rust

Rust payments core

Núcleo de pagamentos em Rust/actix (Protobuf nativo, sqlx/PostgreSQL) com a fronteira PCI imposta no sistema de tipos, tenancy derivada só do servidor e comparação em tempo constante.

Rust/actixProtobuf/prostsqlx · PostgreSQLPCI-in-typesConstant-time
OPSEC · Anonimização

Multi-gateway anonymization toolset

Infra de egress multi-gateway (ProtonVPN + TOR + anti-correlação) curada e mantida para OSINT e red-team autorizados — parte do arsenal operacional com OPSEC.

ProtonVPNTORAnti-correlaçãoWireGuardOPSEC
05

Stack & Ferramentas

Cloud
AWSECS FargateRDS/AuroraLambdaCognitoGuardDutySecurity HubMacieOrganizations/SCPGCPCloudflare
IaC & CI/CD
OpenTofuTerragruntAnsibleGitHub Actions · OIDCDockerminisign
Languages
RustPythonTypeScriptCJavaGoBashSQL
Security tooling
Rapid7 InsightIDRInsightConnectKasperskyBitdefenderSnortpfSenseMISPVelociraptorProofpointEndpoint ProtectorAxurBugHuntOneTrust · Vanta
Networking & Edge
WireGuardPritunl · ZeroFreeRADIUS EAP-TLSUniFiSquidmTLSRaspberry PiZebra / ZPLCUPS / IPP
Data & Observability
PostgreSQLRedisDynamoDBELKOpenSearchGrafanaDatadogPrometheus / OTel
AI-native
Claude CodeMulti-agent orchestrationSpec Kit / SDDAgent skillsMCPCloudflare WorkersOWASP Agentic
06

Evolução

De generalista em segurança a arquiteto de sistemas de IA — cada camada somando na anterior.

2017 — 2020

Fundamentos ofensivos

Pentest sob contrato (PTES/OWASP) e primeira atuação full-time em SI — invasão, resposta a incidentes, firewall/IDS, RE de malware, controle de acesso, ISO/PCI. Aprendi a pensar como atacante em todo o stack.

PentestIRIDS/IPSMalware REISO/PCI
2019 — 2020

Normas & governança

Membro da comissão ABNT CE-021 (técnicas de segurança), espelho do ISO/IEC SC27 — governança direto de quem escreve o padrão.

ABNT CE-021ISO/IEC 27001GRC
2020 — 2024

Engenharia de segurança em escala

Numa corretora regulada: plano de identidade em Rust, automação de acesso serverless, engenharia de detecção, segurança em nuvem, bug bounty e GRC regulatório — ~1.345 itens no total (IAM a maior frente, ~500). Construir plataformas, não só operar ferramentas.

IAM em RustSIEM/SOARCloud secBug bounty opsGRC
2022 — presente

DFIR, ofensiva com IA & arquitetura de nuvem

DFIR e resposta a ransomware, plataforma ofensiva orquestrada por IA e arquiteturas de nuvem para clientes financeiros, industriais e governamentais. Ofensiva × arquitetura na mesma pessoa.

DFIRRansomware IRRed teamCloud architecture
concomitante

Arquiteto full-stack de plataforma

CTO/arquiteto de uma foodtech: full-stack (Python/React/Rust), AWS como código, frota WireGuard/Raspberry Pi e pagamentos — propriedade vertical, do backend ao device, cada frente até produção.

Python/React/RustAWS IaCWireGuard fleetPaymentsEdge/SBC
agora

Engenharia de IA & sistemas agênticos

Orquestrador multi-agente de desenvolvimento sob constituição — estratificação de modelos por custo/tarefa, revisão dupla evaluator-optimizer com anti-sycophancy, hooks de segredo/anti-padrão, execução Docker-first. Faço threat-model do próprio sistema agêntico (OWASP Agentic, prompt-injection, abuso de ferramenta) e mantenho um irmão ofensivo do mesmo desenho (DFIR/red team, autorização criptográfica por engajamento).

Governed orchestrationMulti-agentSpec Kit / SDDClaude CodeAgent skillsOWASP Agentic
07

Formação

ABNT / CB-21 · CE-021

Membro de comissão

Comissão de Técnicas de Segurança — espelho nacional do ISO/IEC JTC1/SC27.

MIT OpenCourseWare

Autodidata · 6.033

Computer System Engineering (autoestudo) — fundamentos de sistemas, redes e segurança.

Formação contínua

autodidata

Atualização constante em arquitetura de software, cloud, IA e segurança ofensiva e defensiva.