Hack The Box: Κατακτώντας τον κόσμο του Cyber Security Training!

Αναδημοσίευση από το Startupper Mag #10

Απτή απόδειξη πως η καινοτομία δεν είναι απαραίτητο να «κρύβεται» σε ένα προϊόν ή σε μια εφαρμογή αποτελεί το concept Hack The Box, μία από τις μεγαλύτερες πλατφόρμες hacking στον κόσμο.

Πριν βιαστείτε να θεωρήσετε ότι διαβάσατε λάθος, θα πρέπει να σημειώσουμε πως το hacking είναι εκ διαμέτρου αντίθετο με το cracking, το οποίο κατά βάση είναι κακόβουλο. Μάλιστα, από τη φύση του θεωρείται μια μορφή τέχνης και ένα ευχάριστο χόμπι.

Αυτό ακριβώς το χόμπι σε νεαρή ηλικία, που ωστόσο πάντα το αντιμετώπιζε υπό ένα πιο επαγγελματικό πρίσμα, οι παραπλήσιες σπουδές, η σταθερή αγάπη για τον τομέα της ΙΤ ασφάλειας και το timing όσον αφορά στην «εκρηκτική» ζήτηση για αντίστοιχες υπηρεσίες ήταν αρκετά για να ωθήσουν το Χάρη Πυλαρινό να αναζητήσει χώρο έκφρασης στα συστήματα κυβερνοασφάλειας και δη στις τυχόν «αδυναμίες» ή στα εν γένει κενά που εμφανίζουν όταν καλούνται να προστατεύσουν «ευαίσθητα» εταιρικά δεδομένα.

Το σκεπτικό της ανάπτυξης ενός hacking playground

«Αναζητούσα, ουσιαστικά, ένα… playground, όπου θα είχα την ευκαιρία να δοκιμάζω με παντελώς νόμιμο τρόπο την αξιοπιστία και τον αποτρεπτικό χαρακτήρα αντίστοιχων επιχειρησιακών πληροφοριακών συστημάτων. Οι επιλογές που υπήρχαν δεν ήταν πολλές –για την ακρίβεια ήταν μία–, ο τρόπος λειτουργίας ήταν έντονα προβληματικός, ξεπερνώντας τα όρια του δύσχρηστου, καθώς ο χρήστης όφειλε να “κατεβάσει” στο PC του τους servers που προσφέρονταν προς hacking και να τρέξει συνολικά την ενέργεια με ίδιους πληροφοριακούς πόρους, κάτι που μεταφραζόταν στην αναγκαιότητα ύπαρξης άπειρου μεγέθους CPU και RAM, ενώ ολόκληρη η διαδικασία γινόταν μόνο τοπικά! Η συγκεκριμένη εμπειρία αποτέλεσε ουσιαστικά τη γενεσιουργό αιτία της Hack The Box και δη στο πρώιμο στάδιο.

Πρόκειται για μία πλατφόρμα η οποία δίνει τη δυνατότητα σε κάθε ενδιαφερόμενο να μπορεί να δοκιμάσει τα χαρακτηριστικά ασφαλείας πληροφοριακών συστημάτων, αλλά και τις δικές του δυνάμεις, σε επίπεδο γνώσης και ικανοτήτων. Προσφέρουμε “εργαστήρια” προσομοίωσης υπολογιστών για χακάρισμα (pentesting labs), ενώ σε εβδομαδιαία βάση κάνουμε διαθέσιμο ένα καινούργιο εργαστήρι. Μάλιστα, αναπτύξαμε και μια σειρά από τιμητικές διακρίσεις-αναγνωρίσεις, όπως π.χ. ποιος θα χακάρει πρώτος ένα μηχάνημα, ποιος θα το κάνει καλύτερα κ.ο.κ. Οι ίδιοι χρήστες κερδίζουν πόντους και ανεβαίνουν σε μια παγκόσμια κατάταξη, που θεωρείται πλέον διεθνώς σημείο αναφοράς για τις γνώσεις και τις ικανότητες στο hacking και στο cyber security. Ιδιαίτερη έμφαση έχουμε δώσει και στο συνολικότερο περιβάλλον στο οποίο λαμβάνουν χώρα οι δοκιμασίες, καθώς κινούνται εντελώς αντιδιαμετρικά, προάγοντας και παραπέμποντας σε συνθήκες μάθησης μέσω gamification. Εξάλλου, το concept στο οποίο στηρίξαμε την ανάπτυξη της Hack The Box ήταν πως μαθαίνεις παίζοντας!».

Τρία στελέχη, μία περιπέτεια, ξεκάθαροι ρόλοι

Σε συνεργασία με τον James Hooker και τον Άρη Ζηκόπουλο, τον Απρίλιο του 2017 ξεκίνησαν την περιπέτεια της Hack The Box. «Ως ομάδα δέσαμε εξαιρετικά από την αρχή, ενώ σημαντικό ήταν και το γεγονός ότι καθένας από εμάς είχε διαφορετική εξειδίκευση. Ο James εστιάζει στο technology, ο Άρης στο commercial και εγώ στο product».

Το χαρακτηριστικό της μάθησης βρισκόταν ανέκαθεν βαθιά ριζωμένο στην κοσμοθεώρηση του κ. Πυλαρινού, ο οποίος διακρίνεται για τη φιλομάθειά του. Στοιχείο το οποίο επέδειξε εμπράκτως και κατά τη διαδικασία της εξέλιξης και της ωρίμανσης της πλατφόρμας, καθώς ο ίδιος διαπίστωσε πως η δυναμική της ήταν περιορισμένη ελέω και του γεγονότος ότι διατίθεντο αποκλειστικά στην ελληνική γλώσσα, αποκλείοντας αυτομάτως τη συντριπτική πλειονότητα των ενδιαφερομένων στους οποίους και απευθυνόταν. Η δε ελληνική αγορά ήταν εξαιρετικά περιορισμένη και αδύναμη να «σηκώσει» –ουσιαστικά– ένα τέτοιο εγχείρημα. Ο «πυρήνας» της δεν ξεπερνούσε τα 300 άτομα…

Οπότε, ο κ. Πυλαρινός άρχισε να επεξεργάζεται εναλλακτικές στρατηγικές, καινούργιες λειτουργίες και συγκεκριμένα βήματα τα οποία θα συνέτειναν στην περαιτέρω ανάπτυξη του εγχειρήματος. Πρόθεσή του ήταν να δημιουργήσει μια πλατφόρμα όπου εκατοντάδες χρήστες θα λειτουργούν ταυτόχρονα, αναζητώντας το ultimate trophy, το χακάρισμα πληροφοριακών συστημάτων σε εντελώς διασφαλισμένο περιβάλλον. «Η πρώτη διορθωτική κίνηση δεν ήταν άλλη από την προσθήκη της αγγλικής γλώσσας, προκειμένου το περιβάλλον να είναι τουλάχιστον δίγλωσσο. Στη συνέχεια προβήκαμε και σε κάποιες λειτουργικές διορθώσεις, με αποτέλεσμα να αποκτήσει από στόμα σε στόμα σημαντική επισκεψιμότητα σε ελάχιστο μάλιστα χρονικό διάστημα. Κάτι που μεταφραζόταν σε δραστική αύξηση του κόστους, καθώς απαιτούνταν τεχνικο-οικονομικοί πόροι προκειμένου να ικανοποιήσουν τη ζήτηση που υπήρχε.

Τότε δημιουργήθηκε η ανάγκη ίδρυσης μιας εταιρείας, η οποία σε πρώτη φάση βγήκε στην αγορά προς αναζήτηση συνεργατών που θα στήριζαν την πλατφόρμα μέσω sponsorships. Έπειτα από λίγο χρονικό διάστημα, δεχτήκαμε αρκετά αιτήματα από χρήστες που ζητούσαν έναντι αμοιβής να απολαύσουν premium υπηρεσίες, πυροδοτώντας ουσιαστικά το σχεδιασμό και την υλοποίηση ενός subscription-based μοντέλου. Κίνηση που μας ενίσχυσε εμπράκτως σε σημείο τέτοιο, ώστε στις αρχές του 2019 να αποτελούμε μια κερδοφόρο επιχείρηση».

Το ενδιαφέρον από επενδυτές και ο δημιουργικός χώρος που εξασφάλιζε το Marathon VC

Ο συνδυασμός των παραπάνω στοιχείων έθεσε τη Hack The Box στο «στόχαστρο» μιας σειράς εταιρειών, με ζητούμενο από μέρους τους την πιθανότητα της εξαγοράς. Όσον αφορά στα μεγέθη που ήταν διατεθειμένες να πληρώσουν, μόνο αμελητέα δεν θα τα χαρακτήριζε κάποιος. Πόσο μάλλον όταν μπορούν να διασφαλίσουν το ευ ζην άπαξ και δια παντός…

«Έπειτα από αρκετή σκέψη και ενδοσκόπηση, καταλήξαμε να απορρίψουμε τις σχετικές προτάσεις, καθώς εστιάσαμε το ενδιαφέρον μας στο πώς θα αναπτύξουμε το community που στηρίζει την πλατφόρμα, αλλά και στο πώς θα εξελίξουμε την τελευταία. Στα τέλη του 2018 μας προσέγγισε η Marathon VC, η οποία μας εξήγησε τους σκοπούς της για την εταιρεία και εντέλει συμφωνήσαμε να επενδύσουν ποσό της τάξεως των 1,2 εκατ. ευρώ. Εάν αναρωτιέστε γιατί συναινέσαμε σε αυτήν την πρόταση, αυτό είχε να κάνει με τον τρόπο προσέγγισης και το σχεδιασμό της στρατηγικής για τη Hack Τhe Box. Δηλαδή δεν μας αντιμετώπισαν από υπέρτερη θέση, η πρόθεσή τους ήταν να μας στηρίξουν ώστε να πετύχουμε μια σταδιακή ανάπτυξη, ενώ αναφορικά με το χρόνο υλοποίησης των προαναφερθέντων, μας δόθηκε η ρητή διαβεβαίωση πως θα ακολουθηθεί ο δικός μας βηματισμός!».

Μια σημαντική υποσημείωση: Μέχρι τότε, οι τρεις συνδημιουργοί της εταιρείας είχαν πρωινές δουλειές και στη Hack The Box επένδυαν από το υστέρημα των φυσικών τους δυνάμεων και του χρόνου που δεν υπήρχε.

Τετραπλασιασμός ανάπτυξης σε ετήσια βάση επί… 4!

Η επενδυτική πρόταση, λοιπόν, της Marathon VC «οριοθέτησε» τις επόμενες κινήσεις της εταιρείας, καθώς ο James, ο Άρης και ο Χάρης εγκατέλειψαν τις δουλειές τους προκειμένου να ασχοληθούν αποκλειστικά με το εγχείρημα της Hack Τhe Box, ενώ παράλληλα είχαν τη διαθέσιμη… καύσιμη ύλη και 1,2 εκατ. ευρώ, ώστε να προβούν σε προσλήψεις προσωπικού με απώτερο σκοπό την αισθητή μεγέθυνση της εταιρείας. «Σκεφτείτε πως στις αρχές του 2019, η εταιρεία απαρτιζόταν από τους τρεις μας και έναν υπάλληλο, ενώ αυτήν τη στιγμή –σχεδόν έναν χρόνο μετά– απασχολούμε 43 άτομα. Η εταιρεία σήμερα διαθέτει τα κεντρικά της γραφεία στο Λονδίνο, όπου απασχολεί οκτώ άτομα, διαθέτει θυγατρική στην Ελλάδα, απασχολώντας 21 άτομα, ενώ 14 άτομα απασχολούνται remotely σε ολόκληρο –κυριολεκτικά– τον κόσμο: Από τις ΗΠΑ και τον Καναδά μέχρι την Ινδία, τη Βραζιλία, την Ισπανία και την Ουκρανία! Α, και δεν μεγαλώσαμε απλώς για να αποκτήσουμε μέγεθος σε επίπεδο headcount, αλλά για να υποστηρίξουμε την αναπτυξιακή μας πορεία. Στην πορεία δε, αποδείχθηκε πως η δυναμική μας ήταν τέτοια, που δεν χρειάστηκε να καταφύγουμε στα χρήματα που είχαμε λάβει ως επένδυση, καθώς ο τζίρος μας ουδέποτε βρέθηκε κάτω από αυτό το όριο, αντιθέτως κινήθηκε σε θετικό έδαφος!».

Αποτέλεσμα; Να αναπτύσσεται κατά τέσσερις φορές σε ετήσια βάση σε σχέση με το αμέσως προηγούμενο έτος, να συνεχίσει να προσλαμβάνει εξειδικευμένο προσωπικό και ουσιαστικά να έχει το περιθώριο και την άνεση να κινηθεί ανεξάρτητα από την επόμενη πιθανή επένδυση, αξιοποιώντας το χρόνο προς όφελος των συμφερόντων της. «Αυτήν τη στιγμή εξετάζουμε προτάσεις χρηματοδότησης από διεθνή funds, δίχως ωστόσο να νιώθουμε… καυτή την “ανάσα” της αναγκαιότητας να συναινέσουμε σε κάποια. H στρατηγική μας δεν είναι προσανατολισμένη στην άντληση κεφαλαίων, αλλά στην ανάπτυξη και την ευημερία της εταιρείας μας και ασφαλώς του community μας. Μήνα με το μήνα, γινόμαστε χαρούμενοι που νέα μέλη από όλο τον κόσμο κάνουν join την ομάδα, την οποία υπερήφανα τη χαρακτηρίζουμε top talent. Η στελέχωση των τμημάτων γίνεται προσεκτικά και στρατηγικά ώστε να καλύπτονται οι ανάγκες και παράλληλα οι άνθρωποι της εταιρείας να νιώθουν παραγωγικοί και δημιουργικοί. Μία από τις βασικές αξίες μας είναι η συνεχής ανάπτυξη και εκπαίδευση του προσωπικού μας αλλά και η διατήρηση των ιδανικών συνθηκών εργασίας. Η επιτυχία της πλατφόρμας βασίζεται στο ότι προσεγγίζουμε το cyber security training σαν παιχνίδι. Έτσι θέλουμε να προσεγγίσουμε και την εργασία. Θέλουμε οι εργαζόμενοί μας να απολαμβάνουν το day to day, να χαίρονται που είναι μέρος της ομάδας και να βλέπουν την καθημερινότητά τους σαν το χόμπι που έγινε επάγγελμα. Οι επόμενοι μήνες θα είναι καθοριστικοί για την εταιρεία, καθώς είμαστε έτοιμοι να λανσάρουμε νέες υπηρεσίες και product features που θα καινοτομήσουν τόσο στο χώρο του hacking όσο και του cyber security γενικά».

Η πρόκληση του enterprise, η επέκταση στις ΗΠΑ και η νέα χρηματοδότηση

Το… στοίχημα, πλέον, για τη Hack The Box δεν είναι άλλο από τον enterprise πελάτη και το πώς θα γίνει η προσέγγιση με τον πλέον αποτελεσματικό τρόπο. Οι ομάδες πωλήσεων σε Λονδίνο, Νέα Υόρκη και Αθήνα θα προβούν στο… crash test της βρετανικής αγοράς για αρχή και στη συνέχεια στο εξαιρετικά ευεπίφορο όσο και ευρύ πεδίο της αγοράς των ΗΠΑ. Ο βαθμός επιτυχίας τους και η ταχύτητα της υιοθέτησης των απαιτούμενων ρυθμίσεων και βελτιώσεων αναμένεται να καθορίσει και τη μετέπειτα πορεία της εταιρείας.

«Μέχρι σήμερα, οι εταιρικοί πελάτες συνεισφέρουν περί το 40% των εσόδων, με τη δυναμική τους να είναι τέτοια, ώστε εντός του 2020 ενδεχομένως και να έχει ξεπεράσει αυτά των τελικών χρηστών (consumers)», όπως σημειώνει ο κ. Πυλαρινός.

Τα πλέον συνήθη use cases των υπηρεσιών της Hack The Box από την πλευρά των επιχειρήσεων αφορούν στην ενίσχυση του skillset των τμημάτων ασφαλείας και ΙΤ πραγματοποιώντας ρεαλιστικές «επιθέσεις» στα εικονικά labs της Hack The Box, με αποτέλεσμα τα εν λόγω τμήματα να αποκτούν περισσότερη πρακτική εμπειρία στο κομμάτι της ασφάλειας. «Ξέρετε, έχει τεράστια διαφορά η θεωρητική εκπαίδευση των επαγγελματιών, που επιτυγχάνεται μέσω του διαβάσματος σειράς τεχνικών βιβλίων και papers από την πρακτική εξομοίωση σε πραγματικές συνθήκες. Μάλιστα, στην άλλη περίπτωση κάποιος μαθαίνει ακόμη και από τα λάθη του, αποφεύγοντας δυσάρεστες συνέπειες στο πεδίο.

Τελευταία, γινόμαστε αποδέκτες αιτημάτων από επιχειρήσεις προκειμένου να αποκτήσουν από εμάς ένα custom test lab, το οποίο χρησιμοποιούν ως ένα “άτυπο” πεδίο μέτρησης των ικανοτήτων αλλά και της ετοιμότητας του cyber security τμήματος σε μία πιθανή επίθεση. Συχνά προβαίνουμε σε on-site workshops, κατά τη διάρκεια των οποίων ξεκινάμε με την αξιολόγηση των ικανοτήτων και των δυνατοτήτων της ομάδας (συνολικά και ατομικά) και στη συνέχεια προβαίνουμε σε πρακτική εξάσκηση ακριβώς πάνω στα σημεία που χρήζουν βελτίωσης».