LUCIJAN Carić, stručnjak za informacijsku sigurnost, i Leon Juranić, vodeći “bijeli haker” u Hrvatskoj, a i šire, posljednje četiri godine suvlasnici su DefenseCodea, firme koja se bavi, kako sami kažu, izradom cyber-oružja za borbu protiv hakera. Radi se o vrlo specifičnim softverima. Na primjer, njihov ThunderScan, softver za statičko sigurnosno testiranje, jedno je od svega desetak takvih rješenja u svijetu. Radi lakšeg proboja na globalno tržište, osim u Hrvatskoj, osnovali su firme u Irskoj i SAD-u.
U razgovoru za Index otkrivaju kako su se upoznali i odlučili zajedno raditi te objašnjavaju, za laike, čime se zapravo bave.
"Ponekad se stvari poslože same od sebe"
Leon: Prvi put sam se susreo s Lucijanom negdje 2007. godine kad sam držao predavanje na konferenciji o računalnoj sigurnosti koju je on organizirao. U to vrijeme bio sam još u svojem prvom security startupu, koji sam napustio kako bih se fokusirao na razvoj vlastitih softvera i na svoju firmu DefenseCode. Kasnije smo se Lucijan i ja, stjecajem okolnosti, upoznali kao sugovornici na temu računalne sigurnosti u TV emisiji i ostali u kontaktu. Ja sam već u to vrijeme imao do neke mjere razvijen proizvod i ponešto klijenata koji su koristili naš softver u komercijalne svrhe, no trebao mi je investitor da softver podignem na jednu višu razinu. Nakon vrlo kratkog perioda pregovora brzo smo se usuglasili oko biznis modela i započeli suradnju.
Lucijan: Leona sam zapravo upoznao kada smo s kolegom Ivicom Ostojićem gostovali u TV emisiji Ljetna slagalica kod voditelja Domagoja Novokmeta, u kolovozu 2011. godine. Poslije smo otišli na kavu, razmijenili podatke i ostali u kontaktu. Nakon toga znali smo se vidjeti jednom, dvaput, godišnje i pričati o tome što radimo. Leon mi je, naravno, govorio o svom softveru koji razvija, o projektima te o nekim potencijalnim investitorima. Kako sam bio svjestan Leonovog iznimnog znanja i talenta, kao i mogućnosti njegovog originalnog softvera, predložio sam mu da ja investiram u dovršenje razvoja. Nakon toga, da, relativno smo se brzo dogovorili i sve proveli u travnju 2015.
Leon: Ima jedna zanimljiva anegdota davno prije nego što smo Lucijan i ja postali poznanici, a kasnije i poslovni partneri i prijatelji. Naime, još dok sam bio buntovni haker, klinac od nekih 17 godina, napisao sam jedan benigni računalni virus onako iz zezancije. Čitao sam neki Lucijanov tekst gdje je on odrješito rekao da nikad neće zaposliti u svojoj firmi nikoga tko je napisao ikakav računalni virus, ma koliko god ta osoba bila talentirana ili sposobna. Baš zato, u programski kod svog virusa ubacio sam (u prijevodu s engleskog, citiram): “Računalni stručnjak za sigurnost Lucijan Carić rekao je da nikad neće zaposliti nikoga tko je napisao neki računalni virus, ma koliko god on sposoban i talentiran bio. Heh, očito da nikad neću raditi za Lucijana Carića.” To je bilo prije 17 godina. Sad bismo mogli, u prenesenom značenju, zaključiti da sam na kraju ja zapravo zaposlio Lucijana u svojoj firmi. Još je uvijek na internetu, a ako se malo potrudite, možete pronaći izvorni kod tog virusa s mojim komentarom.
Lucijan: Dosta je interesantno kako se, ponekad, stvari poslože same od sebe. Ne samo da smo se obojica dugo vremena bavili računalnom sigurnošću i imamo izražen afinitet prema tehnologiji i tehnološkim rješenjima nego je na kraju ispalo da imamo sličan sustav vrijednosti, viziju vođenja poslovanja, do toga da dijelimo ljubav prema pojedinim muzičkim žanrovima, autorima i izvođačima.
Lucijan Carić
Dugo ste u poduzetništvu. Čime ste se prije bavili i kako ste se uopće odlučili za privatni biznis?
Lucijan: Informatikom sam se počeo baviti sedamdesetih godina u legendarnom Multimedijskom centru, rasadniku iz kojeg je potekao velik broj naših informatičkih stručnjaka. Prije poduzetništva radio sam u sveučilišnom Institutu za društvena istraživanja, Okružnom privrednom sudu (danas Trgovački sud), Perpetuumu, Spanu, UNPROFOR-u... Dugo sam bio autor i kolumnist u časopisu Bug. U jednom trenutku sam zaključio da za mene neće biti neke sreće dok god budem radio za druge. Još iz Multimedijskog centra poznavao sam Jana Hrušku, jednog od naših najuspješnijih informatičara, suvlasnika britanskog proizvođača antivirusnih programa Sophos, te sam sredinom devedesetih dogovorio distribuciju za Hrvatsku i bio sam njihov, dosta uspješan, distributer sve do 2015. godine.
Leon: Računalnom sigurnošću i hackingom počeo sam se baviti vrlo rano, s nekih petnaest godina. Nikad maliciozno. Već s 19 godina komercijalizirao sam svoje znanje i talent te počeo od računalne sigurnosti i živjeti. Radio sam kao vanjski suradnik Fakulteta elektrotehnike i računalstva (FER) prije nego što je nas troje dalo otkaz i osnovalo svoju firmu/startup za računalnu sigurnost. Bio sam najmlađi suvlasnik u firmi i jedini stručnjak za računalnu sigurnost, odnosno bijeli haker. Za vrijeme rada u svom prvom security startupu inicirao sam suradnju i surađivao na sigurnosnim projektima s velikim svjetskim tvrtkama i organizacijama, od kojih bih izdvojio Američku agenciju za svemirska istraživanja – NASA-u. U softveru koji je NASA proizvela i koji dan-danas koristi otkrio sam nekoliko kritičnih sigurnosnih ranjivosti. Oni su te ranjivosti vrlo brzo pokrpali i javno mi zahvalili. Zahvala na mom angažmanu u otkrivanju sigurnosnih ranjivosti u njihovom softveru i danas, 10 godina kasnije, stoji na njihovim službenim web stranicama. Nakon nekoliko godina odlučio sam napustiti prethodnu firmu i pokrenuti nešto kompletno svoje. Tako je nastao DefenseCode. Jednostavno, uvijek sam imao afinitet raditi vlastita rješenja. Godinama sam radio kao etički haker i provaljivao sam, doslovno, u sve i svašta, ali – nažalost – ne smijem o tome pričati. U svojim aktivnostima uvijek sam za otkrivanje ranjivosti i provaljivanje u sustave koristio programe koje sam izradio sam. Na tim temeljima počivaju i softverska rješenja koja DefenseCode danas prodaje širom svijeta.
SOFTVERI KOJI TRAŽE GREŠKE I SIMULIRAJU NAPADE NA WEB STRANICE
Koje sve proizvode razvija DefenseCode i čemu oni, onako za laike, služe?
DefenseCode je specijaliziran na području sigurnosnog testiranja aplikacija (Application Security Testing). Danas su svi naši privatni i poslovni podaci pohranjeni u bazama podataka koje kontroliraju razne aplikacije, poput web, mobilnih ili desktop aplikacija. Koliko su aplikacije koje koristimo i na koje se oslanjamo sigurne, toliko su sigurni i naši podaci.
Naši proizvodi razvijeni su kako bi pronašli sigurnosne ranjivosti u aplikacijama. Sigurno ste čuli za postojanje pogrešaka u aplikacijama, tzv. bugova. Zbog tih pogrešaka aplikacija ne funkcionira ispravno, recimo izračuna ili pokaže pogrešan rezultat, pukne i prestane raditi. Ove pogreške posljedica su pogrešaka u programiranju i mogu biti manje ili više očite.
No sigurnosne ranjivosti – koje su također jedan oblik pogrešaka nastalih tijekom programiranja – puno su opasnije jer su u pravilu nevidljive i ne pokazuju se tijekom uobičajenog korištenja aplikacije. Međutim, vješti hakeri, među njima informatički kriminalci, mogu korištenjem posebnih znanja, tehnika, trikova ili alata otkriti postojanje tih skrivenih sigurnosnih ranjivosti. Kada jednom otkriju sigurnosne ranjivosti, mogu ih iskoristiti za krađu podataka, novca, sabotažu ili ucjenu. U nekim situacijama mogu steći potpunu vlast nad informacijskim sustavom na kojem se nalazi ranjiva aplikacija i nakon toga raditi praktično što god požele pa čak taj sustav iskoristiti za daljnje napade na druge sustave na istoj mreži ili internetu.
Naša rješenja pronalaze sigurnosne ranjivosti u aplikacijama i njihovom izvornom kodu. Ona su razvijena ne temelju više desetljeća praktičnog iskustva na području informacijske sigurnosti, posebno istraživanja sigurnosnih ranjivosti i ispitivanja sigurnosti aplikacija. Najčešća kolokvijalna terminologija za ova znanja i vještine je bijeli ili etički hacking, odnosno legalno provaljivanje u aplikacije i informacijske sustave.
Razvijamo dvije vrste rješenja. Prvo služi za analizu aktivnih aplikacija (npr. web stranica), što se naziva dinamično sigurnosno testiranje (Dynamic Application Security Testing, DAST). Drugo naše rješenje služi za analizu izvornog koda aplikacija, a to se naziva statično sigurnosno testiranje (Static Applicaton Security Testing, SAST).
Dinamično testiranje web stranica i web aplikacija možda je najjednostavnije opisati kao automatizirano hakiranje. Naš program za dinamičnu sigurnosnu analizu, Web Security Scanner, simulira napad na web stranice na način kako bi to učinio vješt haker te potom prijavi otkrivene sigurnosne ranjivosti i podatke potrebne za njihovo uklanjanje.
Analiza izvornog koda aplikacije je složen proces u kojem naš program ThunderScan pregleda cijeli izvorni kod aplikacije, u njoj prepozna sve varijable i funkcije, njihove međuzavisnosti te potom simulira izvršavanje aplikacije prateći korisnički unos kroz varijable i kroz funkcije kako bi pronašao sigurnosne ranjivosti. Rezultat je izvještaj na temelju kojega svaki kompetentan programer može popraviti svoju aplikaciju i učiniti je sigurnijom.
Ukratko, radimo cyber-oružje kojim se mogu služiti sigurnosni stručnjaci kako bi otkrili ranjivosti u aplikacijama, popravili ih i spriječili zloupotrebe. Maliciozni hakeri ne miruju, vrlo su inovativni, uporni i povezani. I oni izrađuju i koriste alate kako bi olakšali i automatizirali napade na informacijske sustave na internetu. Zato moramo biti bolji i sigurnosnim stručnjacima dati prednost u ovoj utrci. Mogli bismo tu povući analogiju s pravim oružjem. Neki ga imaju legalno, neki ilegalno. Neki ga koriste za samoobranu, neki za napad i počinjenje kaznenih djela. Tako je i u cyber-security svijetu, postoje dobri i loši momci.
Leon Juranić
Zašto mislite da je vaše rješenje za otkrivanje sigurnosnih ranjivosti važno i što ga izdvaja od drugih sličnih rješenja?
Otkrivanje sigurnosnih ranjivosti je iznimno važno jer se one nalaze iza većine sigurnosnih problema s kojima smo danas suočeni na internetu. Ako pogledate najveće sigurnosne incidente koji su se ikada desili, svi su oni redom posljedica skrivenih sigurnosnih ranjivosti koje su postojale u aplikacijama, a nastale su tijekom njihove izrade. Te je ranjivosti netko pronašao i zatim zloupotrijebio, a ti su incidenti u konačnici koštali desetke, čak i stotine milijuna dolara u direktnim i indirektnim štetama i u njima su ukradene stotine milijuna korisničkih podataka, uključujući osobne i financijske podatke.
Zakonodavstvo danas sve više smatra organizacije odgovornima za slučajan ili sigurnosnim incidentom uzrokovan gubitak podataka. Tu su uključene i zloupotrebe koje su nastale zbog neprimjenjivanja ili nedovoljne primjene sigurnosnih mjera, a među njima i zbog izostanka testiranja sigurnosti aplikacija.
Odgovorne organizacije koje koriste aplikacije, a pogotovo one koje aplikacije izrađuju i razvijaju, trebale bi svakako poduzeti sve kako ne bi koristile ili isporučivale aplikacije u kojima se nalaze sigurnosne ranjivosti koje vješti hakeri mogu zloupotrijebiti. Poštivanje pravila sigurnog programiranja tu je posebno važno i predstavlja ispravan put izrade aplikacija. Nakon toga dolazi nezamjenjivo sigurnosno testiranje aplikacija. Naime, sve aplikacije će prije ili kasnije proći sigurnosno testiranje. Pitanje je samo hoće li ih testirati odgovorne organizacije ili maliciozni hakeri. Ovaj drugi scenarij možda ipak ne želite.
Ako govorimo o bitnim odlikama našeg rješenja i razlikama od drugih rješenja, jako smo se trudili proizvesti rješenje koje točno detektira probleme i proizvodi minimalan broj neželjenih pogrešnih detekcija (false positive). Pored toga, program je dizajniran tako da isporučuje relevantne rezultate iz kojih je jasno vidljivo o kojoj se sigurnosnoj ranjivosti radi, koliko je rizična, gdje se nalazi i što treba poduzeti za njeno uklanjanje. Posebno smo se trudili kako bismo izbjegli repetitivno zatrpavanje korisnika i njihovih programera nerelevantnim i nisko relevantnim sigurnosnim problemima.
Danas na svijetu postoji možda desetak rješenja za statično sigurnosno testiranje kakav je naš ThunderScan. Prošle godine u komparativnoj analizi vodećeg autoriteta na području sigurnosti aplikacija OWASPa (Open Web Application Security Project) ThunderScan je postigao najbolji rezultat od svih drugih komercijalnih rješenja. Važno je napomenuti da su neka od tih drugih komercijalnih rješenja producirale firme s investicijama od stotina milijuna dolara i više stotina programera, dok smo mi radili s ipak nešto skromnijim budžetom i manjim ali iznimno stručnim timom.
IMAMO VELIKA OČEKIVANJA OD NAŠE FIRME U SAD-U
DefenseCode, osim u Hrvatskoj, ima podružnice u Irskoj i SAD-u. Nedavno ste angažirali i osobu u SAD-u koja će razvijati prodaju. Kako to tamo funkcionira? Jeste li postali prepoznatljivi na tržištu?
Ako ste hrvatska informatička firma koja namjerava raditi na stranim tržištima, a mi dvije trećine svog prihoda ostvarujemo u inozemstvu, osnivanje podružnice u inozemstvu logičan je korak. Razlozi su čisto poslovne prirode, nije tajna da je u većini zemalja bitno lakše poslovati nego u Hrvatskoj. Osim toga, potencijalnim korisnicima često puno bolje izgledate kao irska ili američka nego kao hrvatska firma. Mi smo se u prvom koraku odlučili za Irsku, a koliko će nam to koristiti, tek trebamo vidjeti.
Što se Sjedinjenih Država tiče, do našeg američkog direktora došli smo spletom sretnih okolnosti. Javio nam se, razgovarali smo, kliknuli, postigli dogovor i sada imamo prilično velika očekivanja.
Angažman čovjeka u Americi zahtijevao je otvaranje američke firme, a to nam je napravio profesionalac. Američka firma je registrirana 7. siječnja, a do 11. siječnja dobili smo sve potrebne dokumente i otvorili bankovni račun. Jedno od iznenađenja bila je prva plaća, kada smo vidjeli da naš čovjek u Americi od ukupnog novca koji za njega treba izdvojiti firma (ekvivalent našem bruto 2) dobije 70% na ruke, dok bi kod nas za taj iznos plaće dobio samo 46%.
O prepoznatljivosti je nezahvalno govoriti. Imamo dobru vidljivost, javljaju nam se korisnici sa svih strana svijeta, na primjer dosta njih iz Amerike i Dalekog istoka, trenutno imamo korisnike na četiri kontinenta, ali ta vidljivost ni izdaleka nije onakva kakva se nazire s obzirom na trenutni razvoj situacije. Zato smo investirali u američkog direktora koji ima karijeru i iskustvo business developmenta baš u onome segmentu kojim se bavimo – aplikativnoj sigurnosti.
IT sektor se žali na nedostatak (kvalitetnih) stručnjaka. Tko je radio na razvoju vaših proizvoda i jeste li imali problema s pronalaskom ljudi?
Nedostatak IT stručnjaka nije samo hrvatski problem jer informatičara manjka na cijelom svijetu. Dodatni problemi Hrvatske su relativno niske, a visoko opterećene plaće, slaba produktivnost, egzistiranje na razlici u cijeni te činjenica da se za kvalitetne informatičare natječemo s razvijenim zemljama EU-a i ostatka svijeta.
Na našem području stvar je još složenija, budući da sigurnosnih stručnjaka ima vrlo malo i vrlo se lako zapošljavaju, dok su plaće u tom segmentu prilično iznad prosjeka. Zato nije lako naći stručnjake kakvi su nam potrebni, ali usprkos tome, nismo imali nekih posebnih problema. Naša je politika da nastojimo zaposliti stručne ljude točno kada su nam potrebni i u onom broju koji nam je potreban te ih nastojimo adekvatno nagraditi. Želimo imati relativno mali, ali visoko stručan i visoko produktivan tim, želimo da za nas rade vrhunski i stručni ljudi koji vide smisao u onome što radimo, s kojima dijelimo isti sustav vrijednosti i s kojima ćemo, postignemo li izniman uspjeh, taj uspjeh i podijeliti.
NISMO HTJELI INVESTICIJE POD SVAKU CIJENU
Kakvi su planovi? Planirate li tražiti investitore radi širenja firme?
Završili smo dosta dugačak i uspješan razvojni ciklus u kojem smo u programe dodali brojne funkcionalnosti i bitno ih unaprijedili. U svoj ThunderScan dodali smo podršku za deset dodatnih programskih jezika, tako da ih sada ukupno podržavamo 18. Napravljene su pretpostavke za izradu SaaS (Software as a Service) rješenja, a rješenja su prilagođena potrebama i zahtjevima korporativnih korisnika. Počeli smo razvoj verzije softvera za Linux, što je jako važno jer je on danas popularna poslužiteljska platforma i sustavi zasnovani na Linuxu praktično drže većinu interneta. Posebno smo ponosni na naš API (Application Programming Interface) koji korporativnim i velikim korisnicima omogućuje potpunu integraciju našeg rješenja u njihov razvojni proces. Sada ćemo se usredotočiti na prodaju, pronalaženje korisnika i partnera.
Što se investitora tiče, dosadašnja su iskustva interesantna. Nakon što je Lucijan kao investitor pristupio firmi, zainteresirali smo nekoliko lokalnih investitora, ali nismo pronašli zajednički jezik, prvenstveno zato što je naš proizvod duboko tehnološki i nije ga jednostavno shvatiti prosječnom investitoru. Trenutno nas prati jedan američki investicijski fond specijaliziran za industriju IT sigurnosti. Dokle će to doći, rano je predviđati. Naravno, svjesni smo da je razvoj poslovanja dugotrajan i skup proces te da nećemo, ako dođemo do toga da nam investitori u tome mogu pomoći, od njih bježati.
Naš prvenstveni poslovni cilj bio je da sredstva potrebna za rad firme osiguramo poslovnim aktivnostima, a ne investicijama, pogotovo ne investicijama pod svaku cijenu, i u tome smo uspjeli. Jednom kada imate svoj novac i kada vam poslovanje ne ovisi o milosti ili dobroj volji drugih, u puno ste povoljnijoj situaciji te nećete doći u priliku da vas ponižavaju, maltretiraju ili ucjenjuju. Mi smatramo da smo u tome uspjeli.