CTF365 – poligonul virtual al hackerilor buni creat la Cluj

Marius Corîci nu e un antreprenor de manual. A trecut mai întâi prin joburi care nu au legătură cu tehnologie, vorbește deschis, uneori poate prea deschis, poate fi privit de unii oameni ca hater și nici nu își măsoară cuvintele. A creat CTF365, un produs pe care-l compară cu un poligon ultraperformant de antrenament pentru pușcașii marini, dar unde nimeni nu moare. CTF365 e poligonul de antrenament al experților în securitate, al hackerilor și săptămâna aceasta echipa este la acceleratorul hub:raum Cracovia, organizat de Deutsche Telekom.

Corici 3
Foto: hub:raum Cracovia

 

Ca să te antrenezi în cibersecuritate trebuie să folosești laboratoare de training, unde calculatoarele sunt făcute să fie vulnerabile. Asta înseamnă că au portițe pe unde pot intra hackerii, iar scopul specialiștilor în securitate informatică este să le identifice. Până la urmă, pentru cei care nu se pricep la securitate cibernetică, e o luptă continuă între găsirea portițelor vulnerabile dintr-un sistem și acoperirea acestora prin patch-uri.

Mi-am auzit vorbe la job că aș fi hacker. Dar eu trebuia să intru în sistemele altora să văd cum funcționează

CTF365 modifică abordarea tradițională, iar laboratorul lor virtual de antrenament, poligonul acesta pentru pușcașii marini ai internetului nu folosește mașinării vulnerabile, ci servere făcute de utilizatori, care sunt “curate”. Astfel, CTF365 are construite sisteme și rețele cum ar avea și internetul obișnuit, iar utilizatorii se pot hackui între ei pentru a se antrena. Marius Corîci compară produsul lui cu un internet în interiorul internetului, unde utilizatorii pot ataca, pot testa și experimenta noi tactici, fără a fi expuși în mod real.

Începuturile lui Marius

Marius Corîci locuiește azi la Cluj-Napoca. A avut mai multe încercări în lumea securității online, dar înainte de toate a fost șef de filială la Romstal, compania locală de instalații. În anii ’90 cocheta cu PC-ul și a descoperit nMap, unealta de scanare a sistemelor și rețelelor. “Mi-am auzit vorbe la job că aș fi hacker. Dar eu trebuia să intru în sistemele altora să văd cum funcționează. La vremea aceea mi-a plăcut titulatura”, spune Marius. Era șef la Romstal și hacker, o combinație interesantă la 27 de ani. După acea perioadă a decis să o ia pe calea antreprenoriatului.

În stilul său personal, nu se sfiește să vorbească despre lucrurile care i-au ieșit bine, lucrurile care ar fi făcut milioane de dolari “dacă” sau de greșelile altora. “Am avut succese și eșecuri. Când ești eșuezi în România ești văzut ca …”, spune și se oprește o secundă, după care pufnește pentru a exprima dezaprobarea celor din jur pentru antreprenorii care eșuează. “Dude, nu e nimic rău în asta!. Atât m-am tăvălit pe jos, că nici nu vreau să-ți mai spun. De asta acum le spun tinerilor opinia mea foarte direct și există oameni care nu mă agreează, pentru că ei cred că am ceva cu ei”, spune Marius.

I-am dat sistemul ăsta unui proprietar de servere. Mi-a zis că ar plăti 1.000 de euro pe serviciul ăsta. Mi-a picat fisa atunci!

Cariera l-a dus în domeniul cercetării și a studiat procesarea limbajului natural, o unealtă pe care o compară cu ZeList Monitor, dar într-un spațiu 3D. Practic, ceea ce gândise Marius și echipa sa de cercetători de la Academia Română și Universitatea Alexandru Ioan Cuza din Iași era un tool de analiză de sentimente pe limba română, care se numea Sentimatrix. Din trei click-uri ajungeai în locul unde se vorbea rău despre tine”, explică fondatorul CTF365.

Așa s-a cunoscut cu Marius Chiș, cofondatorul său. Era octombrie 2011 iar Marius Chiș l-a plăcut. Îi plăcea viziunea clujeanului și a vrut să se implice în Sentimatrix. “I-am zis: Marius, Sentimatrix moare. Nu te vreau partener aici. Hai să mă gândesc la două chestii și vin cu două propuneri”, își amintește Corîci

Foto: hub:raum Cracovia
Foto: hub:raum Cracovia

De la Hack a Server la CTF365

A trecut prin mai multe idei, pe care abia le pomenește, nu înainte de a spune cât de impresionante ar fi. “Dacă-ți explic și ce e aia rețea autogenerativă, cazi pe spate. Ar fi Facebook și Pinterest pe steroizi”.

Hack a Server e prima iterație a antrenamentului pentru securitatea cibernetică folosind gamificarea, adică un concurs între utilizatori. Practic, era o platformă unde administratorii de sisteme informatice își împărțeau sistemul, în mod anonim, iar hackerii puteau să găsească în ele probleme, fără să le spargă. “I-am dat sistemul ăsta unui proprietar de servere. Mi-a zis că ar plăti 1.000 de euro pe serviciul ăsta. Mi-a picat fisa atunci!”, spune Corîci despre momentul în care a descoperit că ar putea să aibă un model de business viabil.

Sunt ca Bear Grylls. Fac ce fac alții cu bani mulți fără să am finanțare. Mai jos decât sunt eu acum nu poți să mă duci. Când iei bani te lăfăi.

A dezvoltat ideea până în martie 2012, dar a intrat într-un conflict cu CTO-ul său de atunci, care aparținea organizației Ceata, iar aceștia din urmă ar fi vrut să ofere codul sursă în format open source. Marius a zis da, sigur, dar a vrut 35.000 de euro. Așa termenul de livrare a platformei s-a prelungit, tehnologiile s-au schimbat, iar după șase luni s-a trezit fără produs. Marius Corîci spune că fondatorul de la BugCrowd.com a avut cont pe Hack a Server, iar apoi a copiat toată platforma. “Era australian, era din Sidney, avea conexiuni în Palo Alto. Noi am eșuat, el a reușit”, spune azi.

CTF365, poligonul securității informatice

Povestea a mers mai departe, iar cei doi parteneri, Corîci și Chiș au folosit elemente de gamificare pe care le-au gândit pentru Hack a Server și au creat CTF365, unde utilizatorii obțin puncte pentru serverele sparte, pentru hackurile pe care le fac unor site-uri care le imită pe cele din realitate. Astfel, accesul la platforma actuală se plătește pentru planurile mai complexe și oferă cunoștințe practice pe care un programator le-ar obține în luni bune.

Abonamentul pentru specialiștii care vor să se antreneze costă 46 de dolari pe lună, 188 de dolari sau 322 de dolari pe lună. Astăzi, Marius spune că CTF365 are destui clienți cât să plătescă factura la curent și să mai rămână și câțiva bani în plus. “Sunt ca Bear Grylls. Fac ce fac alții cu bani mulți fără să am finanțare. Mai jos decât sunt eu acum nu poți să mă duci. Când iei bani te lăfăi. O experiență de bootstrapping (autofinanțare) te învață să ai grijă de bani și să-i cheltuiești cum trebuie”, spune Marius Corîci.

Orice stat care nu are o armată cibernetică este sortit pieirii. Nu am nicun dubiu.

Are cinci angajați, dar niciunul nu este plătit, iar acum la hub:raum Cracovia au fost invitați de către Deutsche Telekom, după ce au aplicat anul trecut și nu au fost acceptați. Strategiile de vânzare urmează a fi implementate din ianuarie/februarie 2016, când vor ieși din beta.

Marius caută o finanțare early stage, care i-ar ajuta să lucreze full time la produs, să angajeze noi programatori, să îmbunătățească infrastructura și consilidarea numărului de utilizatori și a interacțiunii acestora.

Statisticile CTF365

Produsul celor doi Marius are 24.000 de utilizatori înregistrați, dintre care 14.000 sunt confirmați, adică au accesat site-ul de cel puțin două ori. Pe lângă clienții obișnuiți, utilizatori și specialiști în securitate care vor să se antreneze, mai există și experți de la companii foarte mari din tehnologie care și-au făcut cont. În plus, entități guvernamentale din Europa și nu numai sunt în discuții cu Marius Corîci pentru programe destinate lor.

Consideră că nu mai există un produs asemănător pe piață, deși mai există laboratoare de training în securitate. Evident, vor mai apărea sisteme Capture the Flag virtuale. În perioada următoare echipa va diversifica scenariile din interiorul CTF365, pentru ca inginerii de securitate să se poată antrena și pentru mobile, dar și pentru rețele. Practic, acum antrenamentul este unul singur, dar e ca și cum ai antrena un lunetist la războiul de gherilă.

Epoca războaielor cibernetice

Marius Corîci face parte din categoria acelor oameni care spune că fără o armată cibernetică, un stat nu poate exista. “Orice stat care nu are o armată cibernetică este sortit pieirii. Nu am nicun dubiu. Despre gradul de pregătire al României, cei care îl știu cu adevărat, nu ar avea voie să vorbească despre asta. E problemă de securitate națională. Pot să-ți spun că știu oameni foarte capabili care au părăsit structuri guvernamentale pe considerentul că erau conduși de oameni fără viziune”, povestește CEO-ul CTF365.

Eu vreau să fac un business de sute de milioane de dolari, iar tu vrei să te duci la bere? Ok! Mă doare sufletul când un om nu-și lasă berea pentru o chestie care merită.

E dezamăgit de universitățile din România, dar și de ecosistemul local. “Facultățile nu au training de security. E un dezavantaj enorm care lovește direct în siguranța națională și viitorul României ca stat. Am impresia că factorii decizionali din universități trăiesc în altă lume, ruptă de realitate. Mă întreb ce-ar face dacă cineva ar hăckui întreaga conducere a unei universități doar ca semnal al acestui pericol? Ar introduce catedre de securitate cibernetică?”, se întreabă Marius.

De asemenea, experiența sa cu ecosismul românesc e una tristă, spune. “M-am orientat spre piața internațională. Avantajele sunt foarte mari”. A avut și experiențe negative cu oamenii pe care i-a luat în echipă. “Eu de 3 ani țin oamenii pe o promisiune. Am avut băieți care-mi spuneau că se duc la bere în loc să lucreze la produs. Eu vreau să fac un business de sute de milioane de dolari, iar tu vrei să te duci la bere? Ok! Mă doare sufletul când un om nu-și lasă berea pentru o chestie care merită sau se complace pe un salariu de 2-5.000 de euro și sunt sclavi pe banii ăia”, explică Marius Corîci.

Comentezi?

Urmărește startup-urile din România de peste patru ani și așteaptă unicorni locali. Redactor-șef al start-up.ro, Vlad tratează ecosistemul antreprenorial din România cu realism și nu crede că avem încă "Steve Jobs de România".