Marius Corîci : CTF365 – platformă de training în securitatea informatică

Marius Corîci : CTF365 – platformă de training în securitatea informatică

1025

autor: Laurent Chrzanovski

Rep.: Domnule Corîci, sunteți antreprenor. De câțiva ani v-ați lansat cu succes în domeniul „etical hacking”, ajungând să puneți la punct una dintre cele mai performante platforme din piața globală. De unde vă vine această pasiune pentru securitate IT?

Marius Corîci: Prima „întâlnire” cu securitatea IT am avut-o la începuturile internetului în România. A doua jumătate a anilor ‘90. Atunci am testat aplicaţia Nmap și m-a cucerit. Am cochetat o vreme cu securitatea informatică după care am lăsat-o deoparte. Fast forward, prietenul și asociatul meu Marius Chiș a vrut să facem un proiect de online (startup) și așa a apărut Hackaserver în 2011. O platformă de crowdsourcing pentru pentesting la aplicaţiile web. Prima din lume la acea dată. Așa mi-a revenit apetitul pentru securitatea informatică. După care am continuat cu proiectul CTF365.

Rep.: Spuneți-ne mai multe despre CTF365.
Marius Corîci: CTF365 reprezintă o platformă de training în securitate informatică pentru industria de IT. Platforma implementează concepte CTF (Capture The Flag) și folosește mecanisme de gamificare pentru a îmbunătăţi rata de retenţie și a accelera curba de învăţare. Datorită flexibilităţii, platforma poate fi conectată la structurile de training existente ca și un add on layer, sau poate fi folosită separat ca și soluţie independentă. Ca și utilizatori, platforma se adresează în special profesioniștilor în securitate informatică, administratorilor de sistem și web developerilor. Ca și clienţi, vizăm companii de training în securitate, producători de software/ hardware pe securitate (Rapid7, McAfee, Juniper, Cisco), organizaţii specializate pe securitate informatică (OWASP, SANS, ISECOM, ENISA, etc), companii de management al securităţii, echipe Red/Blue CERT CSIRT inclusiv agenţii guvernamentale. CTF365 nu este un „alt laborator de securitate informatică” așa cum majoritatea clienţilor enumeraţi mai sus au în dotarea lor. Spre deosebire de laboratoarele tradiţionale unde găsești servere „vulnerable by design”, CTF365 este un mediu viu, extrem de dinamic, cu useri reali și servere reale. Dacă omenirea are Google, Amazon, Yahoo, Twitter, CTF365 are Googu, Amazoom, Yoohoo și Crow. Practic construim un internet în Internetul real unde poţi face tot ceea ce este interzis.

Untitled

Rep.: Cum v-a venit ideea să faceți și o interfață ludică și o serie de abonamente pentru studenți, inclusiv unele gratis? Este un exemplul rar de „social responsibility” pentru România.

Marius Corîci: Interfaţa ludică este o componentă vitală atunci când implementezi concepte de gamificare. Până la CTF365, existau 3 canale prin care puteai să înveţi/îmbunătăţești securitatea informatică: Cursuri de facultate – care te învaţă bazele securităţii; companii de training pe securitate – tehnici avansate; și studiul individual (Google, Forumuri, bloguri etc). CTF365 a adăugat dimensiunea de gamificare și a transformat studiul securităţii informatice într-un proces continuu, distractiv, rovocator. Toate aceastea în jurul comunităţii pasionaţilor de securitate informatică.

Într-adevăr am lansat un program numit „Student Security Training Program” care se adresează strict studenţilor. Practic orice student care dorește să folosească platforma CTF365 are un discount de 67% faţă de preţul de bază. Exemplu: un student plătește doar 15$/lună comparativ cu 46$. Obiectivul noastru vis-a-vis de facultăţi este acela de a încheia parteneriate și de a reduce și mai mult acest preţ pentru studenţi. Undeva în jurul a 7-10$/student/lună acolo unde universităţile/facultăţile ar încheia un parteneriat cu noi.
Cât despre „social responsibility”, nu știu alţii, dar noi considerăm că este de datoria noastră atât ca oameni cât și ca firmă să dăm ceva înapoi societăţii. Numai așa reușim să evoluăm. Atât ca societate cât și ca oameni. Spre exemplu așa cum aţi menţionat, avem și conturi gratuite unde orice user are acces gratuit la servere „vulnerable by design” pe care pot exersa tehnici de securitate ofensivă. Totul gratuit iar planurile noastre de „social responsibility” nu se opresc aici. Avem proiectul Hackademy care va fi o aca demie gratuită de etical hacking ce va folosi platforma CTF365 ca și laborator de training hands on. Calitatea video tutoria lelor va fi una exemplară și speram să o putem integra cu programa marilor facultăţi internaţionale. Ca și mostră a video-tutorialelor puteţi urmări câteva pe canalul Hackademy de pe YouTube.

Rep.: Sunteți bazat la Cluj, și totuși tot ceea ce am citit despre platforma dvs., într-adevăr impresionant ca termeni laudativi, este integral pe site-uri și reviste online din Franța, SUA, UK. De ce această nepăsare în media românească?

Marius Corîci: Nu am un răspuns la „nepăsarea din media românească”. Aș putea doar să speculez și nu-mi stă în fire. În schimb, vă pot spune de ce și cum au ajuns să scrie site-uri si reviste online din SUA, UK, Franţa, Italia. Au aflat de produs, l-au testat, le-a placut foarte mult conceptul, au văzut potenţialul foarte mare al platformei și au vrut să afle mai multe despre CTF365.

Occidentul și ţările dezovltate au o cultură a securităţii cibernetice și cunosc foarte bine valoarea ei. România, nu. Asta ca să nu intru în speculaţii.

Rep.: Multe firme din România, Italia, Franța, mai ales start-up-uri de succes, se mută din ce în ce mai des inclusiv în țări foarte scumpe ca și Elveția, pentru că nu mai pot suporta nivelul de taxare la care sunt supuse. De ce ați ales să rămâneți totuși la Cluj? Veți rămâne în continuare?

Marius Corîci: Sunt câteva aspecte de luat în calcul atunci când îţi faci planul de afaceri: mediul de afaceri (ţara) și piaţa căreia i te adresezi. În cazul nostru, piaţa noastră este globală, cu focus pe America de Nord și EU.

Ca mediu de afaceri, dupa 26 de ani, România este corigentă (încă) la taxe, legislaţie și corupţie. Nu, nu cred că o să rămânem în România cu operaţiunile. Dar este foarte probabil să menţinem în Cluj partea de dezvoltare a platformei. Cluj Napoca este perfect când ești focusat pe IT.

Rep.: Din punct de vedere al obiectivelor, unde sunteți acum și ce planuri aveți în viitorul apropiat?
Marius Corîci: Ca și companie, suntem un start-up autofinanţat și căutăm o finanţare de tip angel investor pentru early stage. Ca și execuţie, acum suntem în Beta Public cu un MVP (Minimum Viable Product) funcţional și clienţi din SUA, EU și Asia.

Ca și planuri pentru viitorul apropiat, deja suntem în teste cu un nou produs „Security Training Labs on Demand”. Acest produs este B2B și urmărește externalizarea laboratoarelor de training atât ca infrastructură cât și ca mentenanţă, pentru cei care folosesc astfel de laboratoare. Ideea ne-a venit după ce Rapid7 ne-a cerut să le proiectăm viitoarea generaţie de laboratoare pentru training de Metasploit și Nexpose. Suntem încă în evaluare din partea lor (Rapid7) dar e clar că au văzut ceva interesant la noi dacă au cerut, iar noi am văzut o piaţă pe această componentă. Avantajul pentru companii și organizaţii este acela că ar plăti doar cât ar folosi fără să fie nevoiţi să le mai dezvolte dar să le și întreţină in-house.
Faptul că avem o experienţă de ~4 ani strict pe dezvoltarea de astfel de laboratoare cibernetice ne-a creat un avantaj faţă de potenţialii competitori.

Rep.: Cu o interfață prietenoasă, accesibilă, tutorials foarte bine gândite, nu ați reușit să cuceriți piața educațională din România. De fapt, aproape nimeni nu a reușit ceea ce s-a ratificat în strategia naționa lă de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare). În opinia dvs., de unde vine acest blocaj?

Marius Corîci: Mediul corupt, ignoranţa și lipsa culturii în domeniul securităţii cibernetice sunt factorii care ne stau în cale. La toate acestea se adaugă un pic de orgoliu și avem tabloul complet. Și vă detaliez:

Mediul corupt: Fără a da nume, există trei mari companii din domeniul IT care sunt abonate să facă afaceri cu statul. Toţi le cunoaștem, știm cine sunt, s-a scris foarte mult despre afacerile lor oneroase cu statul și nimeni nu a luat nicio măsură până la această oră să îndrepte sau să schimbe această percepţie.

Ignoranța: Am contactat trei universităţi, prin intermediul profesorilor de specialitate care predau reţelistică, iar răspunsul lor, deși năucitor pentru cineva din EU sau America de Nord, a fost atât de banal și normal pentru o ţară precum România: „Nu avem fonduri alocate” (deși nu s-a ajuns la discuţia de costuri). „Conducerea preferă să cheltuie pe hardware.” „Nu avem catedră de securitate informatică” sau „Nici nu se pune problema de cursuri de securitate.”

Orgoliu: CTF365 are un program de sponsorizare a conferinţelor de securitate cibernetică. Până la această oră, CTF365 a sponsorizat patru conferinţe internaţionale printre care Nuit du Hack și HackMiami. Singura conferinţă de securitate cibernetică cu componentă hands-on din România nu ne-a cerut suportul. Nu că nu ar ști despre CTF365. Aţi menţionat „strategia naţională de securitate informatică în 2013 (prioritate urgentă la awareness pentru copii și creare de cursuri post-universitare).” În 2014 s-a dezbătut în CSAT ca guvernul să introducă pregătirea obligatorie privind securitatea cibernetică în școli. Platforma CTF365 este unică în lume la această ora și se mulează perfect pe cerinţele CSAT ca suport tehnic de pregătire și antrenament. Nimeni nu ne-a contactat. Nici presa și nici reprezentanţi ai guvernului.
Concluzia? Puse cap la cap, consider că efortul nostru pentru piaţa din România nu se justifică atunci când trebuie să te lupţi cu corupţia și ignoranţa dar nu cu competenţa, calitatea și inovaţia. S-ar justifica într-o piaţă normală, ceea ce nu există încă. Așteptăm să apară.

Rep.: Legea Big Brother este deja parte din trecut. Dar nu s-au rezolvat problemele esențiale. Cum vedeți o lege simplă, aplicabilă și care să respecte libertățile cetățenești?

Marius Corîci: Legea Big Brother trebuie să facă parte din prezent. Este imperativ. Susţin cu tărie crearea legii Big Brother la fel de mult cum susţin, în egală măsură, și drepturile omului. S-a pornit greșit și s-a pierdut esenţa acestei legi. Pe de o parte iniţiatorii legii au ignorat total drepturile omului considerând că pot pune în lege orice le trece prin cap, pe de altă parte societatea civilă s-a simţit ameninţată (pe bună dreptate) și a blocat prin orice mijloace această lege. Din ce trebuia să fie un dialog „umăr la umăr” între guvern (sau legislativ) care apără suveranitatea ţării și cetăţenii și organizaţiile specializate în drepturile omului și libertăţii, s-a ajuns pe poziţii de forţă și contre iar dialogul a dispărut complet ca și proiectul de lege.
Cum văd eu o lege Big Brother? Nu sunt specialist nici în securitate naţională, nici în drepturile omului. Dar pot să vă spun pe ce fundaţie trebuie construită o astfel de lege. Fundaţia legii trebuie să fie: dialogul, drepturile omului, bunul simţ și logica elementară. Unde este nevoie, pe compromisuri, dar fără să ne compromitem. Asta ar fi o regulă general valabilă pentru orice proiect de lege.
Părţile implicate trebuie să cadă de comun acord de necesitatea unei astfel de legi. Dacă una dintre părţi nu este convinsă de această necesitate, atunci nu va exista dialog ci doar contre.
Ar trebui luate în considerare top 10 dintre ţările care respectă cel mai mult drepturile omului, au o astfel de lege și fac parte din UE. Analizate legile lor și adaptate și/sau îmbunătăţite la noi.
Am un deosebit respect pentru Bogdan Manolea și munca sa și sunt convins că pot fi găsite căi legale care să respecte drepturile omului dar în același timp să ne protejeze mai bine de ameninţările cibernetice. Mai ales în situaţia geopolitică actuală cu Rusia ameninţând dinspre Est.

Rep.: Ce credeți că s-ar mai putea face în domeniul securității ciberne tice?

Marius Corîci: Aș face o lege a hacking-ului. Nu ne dăm seama, dar este extrem de importantă o astfel de lege și vă argumentez. Cunosc mulţi cercetători independenţi în domeniul securităţii cibernetice care mi-au prezentat cazuri de vulnerabilităţi critice în diferite domenii. Vulnerabilităţi critice în sistemele bancare, sănătate și altele, din România.

În contextul actual, acești cercetători nu au nici o bază legală prin care să anunţe proprietarii sistemelor respective de aceste vulnerabilităţi critice. Dacă ar face-o în prezent, cel mai probabil, ar putea fi acuzaţi
de acces ne autorizat și închiși ani buni. Este un cerc vicios: ei știu de o vulnerabilitate critică pe care nu o pot raporta de teamă să nu fie închiși, în timp ce alţi hackeri cu intenţii rele ar putea să o descopere și ei și să profite, fie vânzând pe piaţa neagră fie prin exploatarea acelei vulnerabilităţi iar banca sau instituţia respectivă ar avea cel mai mult de suferit.

O lege a hacking-ului i-ar proteja atât pe cercetătorii din domeniul securităţii cibernetice dar și pe instituţiile respective – proprietarii sistemelor vulnerabile.

Cum ar funcţiona o astfel de lege în cel mai simplist mod posibil?

Dacă un hacker etic ar găsi o vulnerabilitate într-un sistem informatic, ar raporta acea vulnerabilitate (cu PoC inclus – Proof of Concept) către CERT Romania, invocând legea hacking-ului. CERT România ar inspecta și verifica acea vulnerabilitate iar în cazul unui rezultat pozitiv, CERT ar anunţa reprezentanţii instituţiei/companiei respective de respectiva vulnerabilitate.

Instituţia ar fixa vulnerabilitatea, în timp ce CERT România ar recunoaște meritele cercetătorului într-un Hall of Fame. Acest Hall of Fame ar putea fi folosit de către cercetător ca și achievement în CV-ul său când ar dori să se angajeze.

Am explicat cât mai simplist, dar urmările pozitive ar fi mult mai mari. Fixarea mai rapidă a unor vulnerabilităţi, premierea chiar și cu bani a hacke rilor etici pentru vulnerabilităţile găsite, creșterea numărului de hackeri etici care ar „supraveghea” securitatea cibernetică.