Ma dopiero 25 lat, a już jest jednym z najlepszych polskich hackerów. Facebook, Google i Netflix wiele mu zawdzięczają
Dawid Moczadło to etyczny haker, programista i przedsiębiorca. Wspólnie z Klaudią Kloc założył startup Vidoc Security Lab, który opracował system do wyszukiwania luk bezpieczeństwa w internecie.
Praca hackera polega na ciągłym uczeniu się i poznawaniu nowych technologii i technik
– mówi młody przedsiębiorca w rozmowie z Bizblogiem.
Dla Dawida to jednak chleb powszedni. Na koncie ma znalezienie luk w usługach firm takich, jak Facebook, Google, Netflix, Samsung czy Uber. Wspólnie z Klaudią zainkasował za to wynagrodzenie w wysokości 120 tys. dolarów. Do tego jest członkiem P4, czyli jednej z najbardziej utytułowanych drużyn, biorących udział w zawodach hakerskich CTF (Capture The Flag).
Hackerskie doświadczenie zaprocentowało w biznesie. Moczadło zauważył bowiem, że choć nad zapewnieniem bezpieczeństwa pracują całe zespoły, to ich praca odbywa się często w izolacji. Hackerom brakuje narzędzi do współpracy i automatyzacji powtarzalnych czynności. Problem ten rozwiązuje Vidoc Security Lab.
Etyczne hackowanie jest nieefektywne - bardzo czasochłonne i wymaga dużo manualnej pracy. Jednocześnie jest to zajęcie „single player”, nie ma sposobów na wspólne hackowanie – wyjaśnia Dawid.
A jak zaczęła się jego droga w biznesie? Właśnie od tego zaczynam rozmowę z laureatem wyróżnienia „Forbes 25 przed 25”.
Karol Kopańko, Bizblog.pl: Czy młody wiek był dla ciebie kiedykolwiek przeszkodą prowadzeniu biznesu?
Dawid Moczadło, Vidoc: Wręcz przeciwnie - często imponowałem ludziom. Na początku podchodzili oni mało poważnie do 20-letniego programisty, więc musiałem wyrobić sobie markę w firmie.
Zaczynałeś, jako Full Stack Engineer w Telemedi, innej firmie założonej przez stosunkowo młodego przedsiębiorcę. Jak udało ci się tam trafić zaraz po maturze?
Pracę w Telemedi dostałem nawet jeszcze przed maturą – przez pół roku w klasie maturalnej pracowałem zdalnie na część etatu i jednocześnie przygotowywałem się do matury. Dostałem się tam, bo na rozmowie o pracę Paweł Sieczkiewicz, CEO Telemedi, dostrzegł we mnie siebie sprzed kilku lat. Chciał mi dać szansę, której sam nie miał.
Rozumiem, że miałeś już wówczas własne portfolio?
Rozwijałem wcześniej własne projekty i na rozmowie o pracę miałem o czym opowiadać.
Kiedy podjąłeś decyzję o przejściu na swoje?
Od zawsze mnie kręciło tworzenie i budowanie. Z tyłu głowy miałem założenie firmy. Przychodziło to jednak stopniowo: najpierw zacząłem prowadzić badania bezpieczeństwa i tworzyć technologię platformy. Dopiero później dostrzegłem potencjał na biznes.
Nie prowadzisz jednak firmy w pojedynkę.
Byłoby to trudne. Przez dwa lata pracowałem już wtedy w zespole bezpieczeństwa nowojorskiego startupu crypto z Klaudią Kloc. Współpracowało się nam dobrze, więc zaczęliśmy wspólnie tworzyć Vidoc.
Rozwiązujecie problem nieefektywności etycznego hackowania. Skąd się on bierze?
Każdy hakuje samodzielnie - nawet w korporacji, która zatrudnia cały zespół, robi się to w pojedynkę. Brakuje automatyzacji nudnych i powtarzalnych elementów.
Czy mógłbyś to jakoś zobrazować?
Wyobraź sobie długi korytarz z tysiącem drzwi, które ciągle się zmieniają - jedne drzwi są dodawane, inne zmieniają położenie, a jeszcze inne znikają. Czasem ktoś wymieni zamek w starych drzwiach i nikogo nie poinformuje, innym razem ktoś całkowicie popsuje zamek i drzwi będą otwarte.
Ciekawe, o analogii do cyfrowych ślusarzy jeszcze nie słyszałem.
Praca teamu security (AppSec lub Red team) polega na tym, żeby regularnie testować czy te drzwi są rzeczywiście zamknięte i czy zamek działa i jest odpowiedni. Oni upewniają się, że to co wyprodukują programiści jest bezpieczne.
Ale przecież można wysłać robota, który zapuka do drzwi i spróbuje je otworzyć, prawda?
Tak i nie. Hackowanie jest na tyle złożone, że zautomatyzować możemy tylko część pracy. Nudne i powtarzalne zadania można zautomatyzować, ale roboty zawodzą, kiedy potrzeba kreatywności i sprytu. Dlatego nie chcemy zastępować ludzi robotami, chcemy dać narzędzia które zwiększą efektywność ludzi i sprawią, że firma będzie bardziej bezpieczna.
Czy możesz podać przykład tej automatyzacji?
Na platformie zgromadziliśmy ponad 2 tys. definicji luk bezpieczeństwa, stworzonych przez społeczność etycznych hackerów. Nie tylko je zbieramy, ale i pozwalamy na tworzenie nowych modułów. Kontynuując analogię drzwi - etyczni hackerzy i zespoły bezpieczeństwa mogą stworzyć moduł, który sprawdzi czy drzwi są poprawnie umieszczone w zawiasach i czy dziurka od klucza nie jest zapchana. Przy każdorazowym teście bezpieczeństwa jednym kliknięciem uruchomią moduły i automatycznie wykryją nieprawidłowości.
Dodatkowo, integrujemy się z narzędziami, używanymi na co dzień przez etycznych hakerów. Nasza platforma centralizuje przechowywanie wyników i pozwala na dzielenie się nimi z innymi współpracownikami.
A Slack wraz z repozytorium plików nie rozwiązują tego problemu w podobny sposób?
Nie są przystosowane do czegoś takiego jak praca hakera - nie da się na nich zautomatyzować codziennych zadań - testów bezpieczeństwa. Czujemy, że jesteśmy w stanie dostarczyć rozwiązanie które uzupełni te wszystkie luki i sprawi, że praca etycznych hackerów będzie skuteczniejsza.
