Etikus hekkerekként indultak, most a háztartásunkat védené meg fejlesztésével az okoseszközök biztonsági réseit kihasználó támadóktól a BugProve. Az információbiztonsággal foglalkozó magyar startup pre-seed köre 750 ezer eurónyi (297,5 millió forint) tőke bevonásával zárult.
Hűtőszekrény, mosógép, sütő: mind régóta az otthonok része, de a társadalom többsége nem feltétlenül gondol úgy ezekre a tárgyakra, mint informatikai eszközökre. Azzal, hogy a használati cikkek az elmúlt években okostulajdonságokkal bővültek, valamint wifin keresztül lehet a háztartási gépeket irányítani, gyártói részről megjelent egy kiskapu: a termékek külső támadásnak lettek kitéve. Rossz esetben úgy értesül a fogyasztó a hibáról, hogy megjelenik a sajtóban a termékvisszahívás vagy a támadás híre. Létezik azonban pozitív végkimenetel is. Azért, hogy minél több ilyen eset végződjön happy enddel, összeállt egy magyar etikus hekkercsapat. Ők a BugProve.
750 ezer euróval zárult a BugProve korai magvető köre, amibe a cseh Credo Ventures és a magyar Fiedler Capital szállt be. Hosszú Gergő, Szász Attila és a nemrég csatlakozott harmadik alapítótag, Jánvári Bálint a Search-Labes (a BME spin-off projektje, többek között informatikai biztonsági ellenőrzéssel és teszteléssel foglalkoznak – a szerk.) időkből ismerik egymást, ott indultak meg a startup-alapításról szóló beszélgetések. Eredeti szakmájuk információbiztonsági kutató, „csúnya szóval” – vagy ismertebb néven – etikus hekker. Először Attila hagyta ott a Search-Labet, egy washingtoni startupnál folytatta, Bálint a Tresoritnál dolgozott tovább, Gergő pedig egy orvostechnikai cégnél, a Variannál találta magát, ahol Attilával – aki időközben visszatért Amerikából– újból kollégák lettek.
„Információbiztonsági mérnökként jobban lehet érvényesülni egy startupnál, a kinti összegyűjtött tudást pedig a saját projektemben, itthon szerettem volna kamatoztatni. Ez mostanra jött össze.” –jegyzi meg nevetve Attila, aki először Gergővel vágott bele a Bugprove-ba. Bálint a beszélgetésünk előtt négy hónappal csatlakozott, miután egy, az újbudai Bélában töltött, átbeszélgetett este után az induló startup ötlete felkeltette érdeklődését.
Az okoshűtődön keresztül egészen az adataidig
Az idén alapított BugProve szoftvere okoseszközök biztonsági tesztelését automatizálja.
Ami eddig 4-5 hétig tartott, azt most lecsökkentjük egy-két napra”
– foglalja össze röviden Bálint a termékük erősségét. Attila megtakarításaiból indultak idén. Gergő a szabadidejében dolgozott a fejlesztésükön: amint befejezte a napi céges teendőit, lecsapta a laptopot és átült a saját számítógépéhez, hogy megalapozza a BugProve indulását. Az indulás után ketten, egy frontendes és egy backendes fejlesztő segítségével állították össze magát a szoftvert, ekkoriban még mindent saját zsebből finanszíroztak. A szoftveriparban népszerű Saas-modellt választották, havi és éves előfizetést kínálnak, vállalati ügyfeleket megcélozva. A most befektetett összegből élesedik a projekt, a termékük habár elkészült, folyamatos fejlesztést igényel. A korai eredményeik azonban ígéretesek.
Fogadjunk, te se gondoltál eddig arra, hogy valaki az okoshűtődet feltörve pillanatok alatt betör a belső hálózatodra”
– magyarázza Bálint. Igaza van, tényleg nem. „A tipikusan hardvergyártásra szakosodott cégek eddig nem foglalkoztak azzal, hogy vajon mennyire biztonságos a termékükbe beépített szoftver. Sőt, sok esetben még a szükséges szaktudással sem rendelkeznek. Van több millió termékük, amik közül csak egyben kell megtalálni az apró sérülékenységet, ami után pofonegyszerű terheléses támadást indítani vagy hozzáférni a hálózaton található eszközökhöz.” Ahhoz, hogy ezeket a támadásokat kivédhessék, a gyártóknak is tudatosabban kell hozzáállnia jelenséghez: pénz, energia és idő befektetésével, valamint a humánerőforrás szakmai továbbképzésével.
És hogy hol kapcsolódik be a BugProve? A magyar csapat a folyamat végső stádiumába szeretne beépülni, tehát miután az eszköz szoftverének végleges verziója már elkészült. Ha a BugProve termékét lefuttatják a gyártó szoftverének pre-release verzióján, az megtalálja a biztonsági réseket és sérülékenységeket, majd az eredményt összegzi egy kivonatban. Így a csapat gyors visszacsatolást tud adni az ügyfélnek a termék riportja által.
Nem tudja a vásárló, hogy pontosan milyen terméket vesz le a polcról. Ez az igazi kockázat.”
– foglalja össze Attila az igényt, amire létrejöttek. Sokszor azt látni, egy gyors papírkitöltésnél több felelősséget nem vállal a gyártó. A biztonsági rés pedig ugyanúgy ott marad.
Sziasztok, találtunk egy apró problémát az eszközötökben. Van kedvetek beszélgetni?
A responsible disclosure kifejezés (magyarul felelős közzététel) biztosítja az etikus hekkerek tevékenységének jogszerűségét. A bevett szokás szerint, amint megtalálja valaki sebezhetőséget, minél hamarabb megkeresi a gyártót az erre hivatott csatornán és jelzi neki, mit talált. Ezáltal mire nyilvánossá válik a probléma megléte, addigra ki is lesz javítva, valamint hozzáférhetővé válnak a szükséges frissítések.
A BugProve alapítói. Fotó: Sebestyén László
A BugProve tagjai etikus hekkerekként indultak, így ők is először ők is az említett módon tesztelték a terméküket. A gyártó oldaláról letöltötték a termékek mellett feltüntetett csatolt szoftvert, majd lefuttatták rajta terméküket. Volt, hogy tizennégy kritikus sérülékenységet találtak, amit egyből riportáltak a gyártónak. Ők is, a gyártó is jól járt.
Bálint elmondása alapján azonban nem mindig megy ilyen könnyen az egyeztetés. Sokszor a gyártó nem nyitott az együttműködésre, nem válaszol a megkeresésre, illetve van, ahol egyáltalán nincs protokoll a hibabejelentésre. Ilyen esetben a probléma megtalálójának teljesen az alapoktól kell elmagyaráznia a megoldás lehetőségeit. Ezzel szemben az Egyesült Államokban korszerűbb jogszabályi környezet vonatkozik az etikus hekkerek tevékenységére, ha nem válaszol az adott cég, a biztonsági rés egy bizonyos idő után nyilvánosan megjeleníthető.
A magyar csapatnak leginkább a Magyarországtól keletre fekvő cégek hozzáállásával volt rossz tapasztalata, hiszen sok esetben a forgalmazó és a gyártó cég teljesen eltér egymástól. „Míg az USA-ban vagy az Európai Unióban, ha megveszel egy terméket, arra van garancia, illetve azt is tudod, hogy hova lehet visszavinni, ha problémád adódik vele.
A távol-keleti termékek esetében gyakran a gyártónak semmi köze nincs ahhoz a vállalathoz, aki eladta neked a cuccot, valószínűleg soha többet nem fog hozzá egyetlen frissítés sem érkezni.”
Nem csak egy-kettő, az összes no-go szerepelt a term sheetekben
Eddigi működésük során a fundraising jelentette a legnagyobb kihívást. Rengeteg külföldi, magyar és állami befektetővel beszélgettek, mire találkoztak Biás Csongorral, a Startup Hungary vezetőjével, akivel korábban mi is készítettünk interjút. „Kaptunk amerikai barátoktól tanácsokat és hallottunk nyugat-európai példákat, hogyha bizonyos feltételeket látsz a term sheetben, akkor menekülj.
Az egyeztetések során azt tapasztaltuk, hogy nem csak egy-két kizáró ok, hanem az összes no-go szerepelt mindegyik term sheetben.
Nem akartuk elfogadni, hogy csak ez a lehetőség létezik. Aztán jött Csongor, aki bemutatott minket a megfelelő befektetőknek.”
Csongor által találkoztak mindkét befektetőjükkel, a cseh Credoval és a magyar Fiedler Capitallel. Három telefonbeszélgetés után, egy csütörtöki napon megkapták a Credotól a term sheetet, vasárnapra aláírták, hétfőn pedig megindult az együttműködés. A Fiedlerrel is hasonló gyorsasággal sikerült megállapodniuk, ők társ-, a Credo vezető befektetőként, összesen 750 ezer euróval szálltak be a projektbe. A BugProve értékét közel 6 millió dollárra becsülik. A jelenlegi helyzet értékelve azt gondolják, jól döntöttek azzal, hogy nem hígultak és kitartottak az elképzeléseik mellett. A startupnak egyébként egy angel poolja is van, ahol a SEON-os Jendruszák Bence és a LogMeIntől Pálfy Sándor segíti őket.
Hiába van konkrét elképzelésünk, ha nem az a helyes
Úgy számolnak, hogy a pre-seed körben összegyűjtött összeg körülbelül másfél évre lesz elegendő. A befektetésnek köszönhetően szeptemberre hét fősre duzzadt a csapat, főleg fejlesztőkkel dolgoznak, de a sales kompetenciáik bővítésére is jutni fog a magvető körben összegyűjtött összegből. Attila a kutatás-fejlesztésért, Bálint a szoftver fejlesztésének koordinálásáért, Gergő pedig a startup menedzseléséért felel, ő tartja a kapcsolatot a befektetőikkel is. „Akarva, akaratlanul, de mindenesetre hármunk által áll össze a vízió, hisz ugyanabból a szakmából jövünk. Mindenkinek van beleszólása” – mondja Attila. Magyar, illetve külföldi leadek és prospect ügyfelek érdeklődnek náluk, köztük egy, a NASDAQ-on jegyzett, globális IoT (Internet of Things) infrastruktúragyártói ügyfélbázissal rendelkező, félvezető gyártó cégóriás is. Októberben kezdik az értékesítést.
Jelenleg a BugProve csapatának első számú célja az, hogy gyakorlatilag rögtön oda tudják adni a szoftvert minden érdeklődő ügyélnek, ehhez jelenleg is gyúrják, tökéletesítik a terméküket. Év végén szeretnék kiadni a termékük közösségi verzióját, azért, hogy az információbiztonsággal foglalkozó szakemberek is használják, hitelesítsék, valamint visszajelzést adjanak a szoftverükről. „Hiába van egy konkrét elképzelésünk arról, hogy mire van igény, és bár reméljük, hogy ez egy helyes elképzelés, ez akkor válik igazzá, ha külsősök, valós célokra kezdik el használni a szoftvert. Szükségünk van a visszacsatolásukra.” – és ebben egyetért mindhárom alapító.
A szakmát nem lehet színes weboldallal meggyőzni
Úgy ítélik meg, technológiailag magasabb szintet hoznak a versenytársaiknál, amihez az információbiztonságban eltöltött éveik és a mély szakértelmük nagyban hozzájárul. Ezt a befektetőik is megerősítették. A közösségépítéssel kapcsolatos törekvéseik a szektorban mindenképp egyedinek számítanak, a csapat a Bitrise példáján felbuzdulva az hekkerközösségnek is adni szeretne. „Mivel mi is ebből a világból jövünk, határozott elképzelésünk van arról, hogyan lehetne hatékonyan összekovácsolni az embereket” – mondja Attila, majd Bálint folytatja: „Ahhoz, hogy ezt a közösséget meggyőzzük, nem elég a színes, szagos, dizájnos weblap, amit a legtöbb IoT startupnál láthatsz.
Persze, nem leszek álszent, mi is szeretnénk egy szép weboldalt, de a közösség nagyon is szkeptikus ezekkel a projektekkel. Mi meg akarjuk nekik mutatni, hogy pontosan mi az, amivel előálltunk. Egy értékes termékről van szó, nem csak jól csengő frázisokról.”
A lakosság számára készített termékek után ipari vonalon terjeszkednének. Ott is sok hiányosságot látnak, de az a piac jóval nehezebben elérhető. Az ipari kontrollrendszerekben is megtalálhatóak az okoseszközökhöz hasonló hibák, viszont ott más a támadói profil. A háború kapcsán hallhattunk arról, hogy ipari rendszereket törnek fel hekkerek, bár abban az esetben nem a pénzügyi haszonszerzés a kiváltó ok, hanem inkább az információszerzés, magyarázza Attila. Hoz egy másik, jóval abszurdabb példát is. Egy amerikai víztisztító telep rendszerét feltörve a hekker átállította, hogy milyen arányban keverjenek nátrium-hidroxidot a tisztítandó vízbe. A támadást még időben észrevette a telephely egyik alkalmazottja, így a lakossághoz nem ért már el a víz.
A BugProve alapítói: Jánvári Bálint, Szász Attila, Hosszú Gergő. Fotó: Sebestyén László
„Azt gondolnánk, hogy a kritikus infrastruktúrák jóval védettebbek, mert teljesen zárt lánccal működnek. Elméletben irtó nehéz lenne egy hekkernek hozzáférnie. Pár évvel ezelőtt csak arra kellett odafigyelnie a gyártónak, hogy a termékében ne legyen rákkeltő anyag vagy a munkavállalót ne rázza meg a munkahelyén az áram. Ezek kézzelfogható problémák.
Viszont amikor ezek a rendszerek interneten keresztül hozzáférhetővé válnak, nincsen egyértelmű tudományos leírásunk arra, hogy ezt meg azt tartsd be, és akkor minden oké lesz.”
Biztonsági rések névvel, indulóval, zászlóval
A világos irodában, az óriási faasztalnál ülve feltűnik, mennyire szenvedélyesen és közvetlenül mesélnek a víziójukról. Mivel minden hekkerekkel kapcsolatos sztereotípiámat megcáfolták az interjú során – meglepnek, hiszen a tudásmegosztás és a közösségépítés szembe megy a közkeletűen kialakult képpel, miszerint a sötét szobában, egyedül dolgoznak – félve rákérdezek: mi igaz a róluk kialakított, hollywoodi képből? Csak legyintenek, kicsit el is szégyellem magamat. A tudásmegosztás abszolút jelen van közöttük, a közösségen belül – egy-két kivételt leszámítva – mindenki nagyon segítőkész.
„Lassan minden felfedezett biztonsági résnek weblapja, neve, lassan indulója és zászlója is van” – teszi hozzá nevetve Bálint. Azzal egyetértenek, hogy a szakmán kívüli kommunikáción és a közösség megítélésén fejleszteniük kell, ezt a többségi társadalom edukációjával lehet elérni. A javuló tendencia megindult, Gergő szerint az ún. „bug bounty hunterek” (magasan képzett hekkerek, akik biztonsági réseket fedeznek fel – a szerk.) közül rengeteg Youtuber és Tiktoker kerül ki, akik rengeteg segíthetnek a kezdőknek a szakmai fejlődésben.
Olyan metódusokat adnak ki egymásnak a szereplők, amiket egyébként, ha megtartanának maguknak, jelentős mennyiségű pénzt kereshetnének vele. Ezekben a helyzetekben teljesen háttérbe szorul az egyén egója, segítjük egymást.”
