Már az egyetemen eldőlt, hogy az informatikai biztonsággal szeretne hosszabb távon foglalkozni. 2014-ben indították el társaival a cégüket, hogy ne csak hackelni tanítsák a szoftverfejlesztőket, hanem azt is megmutassák, hogyan kell a hibákat kijavítani, a rendszereket rendesen megépíteni. Mi volt a legnehezebb a kezdetek kezdetén? Mi kellett az áttöréshez? Tényleg mindenhez kell értenie egy foundernek? Miért fontos, hogy csapatszinten legyenek sziklaszilárdak? Az IT biztonsági oktatóplatform az Avatao Pék Gáborral beszélgetünk. A cikk a Hungarian SaaS Community zárt Facebook csoportjában megjelent podcast egy részletét tartalmazza. A podcast adást teljes terjedelmében itt tudod meghallgatni.

Hogy szoktad például egy családtagnak leírni, mivel foglalkozol és mi az az Avatao?

Mi informatikai biztonságot oktatunk fejlesztőknek. De nem mi vagyunk konkrétan, akik oktatnak, hanem létrehoztunk egy platformot ahol különböző nehézségű feladatok találhatóak és ezeken gyakorolnak a fejlesztők. Azzal kiegészíteném, hogy céges ügyfeleink vannak, és ők fizetik elő a fejlesztőiket erre a lehetőségre.

Érdekes számomra, hiszen fejlesztőkkel dolgozol együtt. Akikkel dolgoztok, diáknak, kollégának vagy minek tekintitek?

Ez azért érdekes, mert akiket oktatunk, mi felhasználónak tekintjük. Viszont hagyományos értelemben, a diák rá a megfelelő kifejezés. Viszont nem csak arról van szó, hogy a fejlesztőket oktatjuk, hanem azt a tudást és információt amit átadunk, szeretné látni egy teamlead, egy menedzser aki a program sikerességéért felelős. Mindenkinek más az érdekeltsége. Aki elkezdi ezt a programot a vállalaton belül, az egy felsőbb vezető. Bennük van meg az az elhatározás, hogy valami változás történjen. Mi a platformon tudunk beszélni a felhasználókhoz, illetve azokhoz is, akik ezt a programot elindították, fenntartják és menedzselik.

Nálatok mennyire van meg a fokozatosság, hogy elindulva a juniorból eljut a senior szintre az a programozó, aki veletek van kapcsolatban?

Eleinte az Avataot keményebb magnak szántuk, akik már kapcsolatba kerültek az IT biztonsággal és szeretnék magukat megmérettetni. Idővel beláttuk, hogy mi a fejlesztőkhöz szeretnénk szólni és a platformot is ebbe az irányba változtattuk, ami sok időt és energiát igényelt, és még most is folyamatban van.

Ez azért is fontos, mert nem mindegy, hogy a tartalom kinek szól, és ez a fajta fokozatosság, valamint az, hogy kineveljünk egy generációt a cégeken belül, egy igényesebb feladat. Ez azért is igényes, mert ez a terület a felsőoktatásban az évek alatt el lett hanyagolva. A fejlesztésre viszont az igény egyre jobban növekszik és gyakran előfordul, hogy egy kód, ami kikerül egy fejlesztő kezéből nincs biztonsági szempontból átgondolva. Nekünk ezáltal egy érdekes kihívással kell szembenéznünk, hiszen vannak, akik:

1. Kezdők mind az IT biztonságban, mind a fejlesztésben és hozzájuk egy megfelelő csomaggal érdemes szólnunk.
2. Tapasztalt fejlesztők, akik programozási nyelvet váltottak vagy az IT biztonsággal nem találkoztak és nekik más féle feladat jelenthet kihívást.

Visszatérve a kérdésedre, eleinte challenge típusú feladataink voltak azok számára, akik találkoztak már az IT biztonsággal csak szerettek volna jobban elmélyedni benne. És most már vannak a tutorialok azok számára, akik teljesen újak. Őket sokkal inkább vezetve, lépésről lépésre tanítjuk, tutorialok segítségével mutatjuk be azt a tématerületet, ami számukra érdekes lehet.

Nemrég a vállalatunkból is voltak az államvizsga bizottságban páran, és ők említették, hogy amikor a fiatalok kihúzták az IT biztonság tétel, kicsit leblokkoltak. Mit tanácsolnál azoknak akik most jönnek ki az egyetemről? Mire fókuszáljanak az IT biztonsággal kapcsolatban?

Mindig azt mondjuk, hogy a mentalitás a legfontosabb, hiszen mint sok mindent ezt is meg lehet bonyolítani.

Ha túlbonyolítjuk, nem látjuk tisztán. Vizsgáljuk meg, hogy bármilyen bug a felszínen felüti a fejét, miért jöhetett létre a rendszerben. És amikor el kezdjük részletesebben vizsgálni, azt vesszük észre, hogy egy ponton átadjuk a kezünkből az irányítást. Meg kell vizsgálni minden olyan lehetőséget, ahol ez az információ olyan utakra tud terelődni, ami az alkalmazásnak nem megfelelő.

Ez egy leegyszerűsített modell, de általában abból adódnak a problémák, hogy nincsen valami jól megtervezve. Érdemes minél korábban gondolunk az IT biztonságra. Jól kell megválaszolni az alábbi 5 kérdést:

• Hogyan tervezzük meg az architecthúrát?
• Milyen framework-öt fogunk használni?
• Milyen programozási nyelvet választunk?
• Miért engedélyezünk egy opciót?
• Átgondoltuk-e egy-egy lépésnél, hogy az milyen veszélyekkel járhat?

Láttam a háttérképedet amin egy erdő van, így gondolom szeretsz túrázni. Egy erdő esetében is ismerni kell a térképet, ha el akarsz jutni A-ból B-be. Mit szoktál csinálni, amikor túrázol?

Nem használok térképet.

Ez érdekes, csak szabadon?

Ez rám egyébként jellemző, hogy nem szeretem a szabályokat követni, jó értelemben. Amikor térképet veszünk a kezünkbe, valamilyen szinten predesztináljuk merre fogunk haladni. Például ha fel akarok menni a Csóványosra, és kezembe veszem a térképet az ki fog nekem jelölni egy útvonalat, hiszen csak a kék úton tudok haladni, a többivel nem jutok el oda. És pont ez a hozzáállás az életben, ami az embereket bekorlátozza. És nem azt mondom ezzel, hogy nem kell célokat kitűzni, hanem sokszor ragaszkodunk az eredeti elképzelésünkhöz. Persze vannak olyan túrázások ahol állomásokat látogatunk meg, és ott nem az a cél, hogy kóboroljunk. De ha azt szeretnéd, hogy az erdő adjon számodra valamit, ahhoz nincs szükség térképre.

Meg van előtted az a pillanat, amikor te és az IT biztonság összefonódtatok? 

Általános iskolában. És már ennek okán egy informatikai középiskolába mentem Győrbe. Ott volt az első találkozás az IT biztonsággal. Mindig is érdekelt a dolgoknak a működése, hogyan tudom megérteni mi az, ami mozgatja. Ez a kutatósabb szemlélet vezetett ahhoz, hogy olyan programozási nyelveket ismerjek meg, mint az Assembly vagy a C. És volt egy kis közösség, akikkel szünetben együtt tudtunk internetet kapcsolni, vagy olyan emberektől tanulni, akik többet tudtak arról, hogy mit lehet a másik gépéből kiszivárogtatni.  Az, hogy az én életembe megjelent az IT biztonság, sorsszerű volt.

Az előbeszélgetésünk során, azt az információt tudtam meg rólad, ami mások számára is elérhető, hogy a CrySyS Lab-hoz csatlakoztál és 2015 és 2017 között aktívan részt vettél egy hacker csapatban.  Akkor ez a középiskolai dolog egyenes úton vezetett oda?

Igen, még van egy kis titok benne, amikor felkerültem a Műegyetemre, akkor lehetett szakirányt választani és az IT biztonságot választottam. Azért döntöttem így, mert akkor volt egy hallgató, aki ezt a szakot képviselte, hogy a laborvezetője, az egyetem legjobb tanára és ez egyértelművé tette. Írtam neki, találkoztunk és elindult egy közös út, ami mai napig tart, ő is alapítótárs az Avatao-ban és szoros barátság alakult ki közöttünk.

Milyen kérdésekre kapod még meg a választ a podcast meghallgatása után?

• Mi kellene ahhoz, hogy felkészültek legyünk az IT biztonság területén?
• Milyen képességekkel kell rendelkeznie egy jó fejlesztőnek?
• Milyen rétegekig érnek el az adathalász e-mailek és technológiák?
• Csökkennek-e a támadások, vagy éppen fordítva?
• Mik a SaaS cégek előnyei és hátrányai?

A podcast adást teljes terjedelmében itt tudod meghallgatni. Ha kíváncsi vagy további SaaS-t érintő tartalmakra, akkor azokat megtalálod a Hungarian SaaS Community-ben.