Polka w Dolinie Krzemowej. „Idąc ulicą, od razu można rozpoznać osobę z Polski"

Jakie to uczucie zhakować Adobe, Yahoo czy Microsoft?

Gdy pracuje się w branży związanej z bezpieczeństwem i zajmuje się nie tylko włamywaniem, ale również zapewnianiem bezpieczeństwa systemów korporacji, to jest to na pewno satysfakcjonujące, że dwójka inżynierów z Polski była w stanie zhakować systemy firm dysponujących wielomilionowym budżetem na cyberbezpieczeństwo. Nie zrobiłam tego sama. To efekt pracy zespołowej. Razem z Dawidem Moczadłą rozpoczęliśmy projekt badawczy, który polegał na sprawdzaniu bezpieczeństwa i etycznym hakowaniu.

Duże firmy technologiczne zapraszają badaczy bezpieczeństwa do przeprowadzenia testów bezpieczeństwa w programach typu bug bounty. Ścigamy się z osobami, które chronią systemy i robią wszystko, żeby nikt się do nich nie włamał, a naszym zadaniem jest znalezienie luk, które potem pomagamy zabezpieczać. Chodzi więc o to, żeby zabezpieczyć te firmy przed osobami, które mają złe intencje.

Dla której firmy taki test był największym wyzwaniem?

Niestety nie mogę wymienić nazwy konkretnej firmy. Mogę powiedzieć tylko tyle, że była to jedna z największych firm telekomunikacyjnych w Stanach. Luka w bezpieczeństwie pozwalała na przejęcie dostępu do bardzo dużej ilości danych użytkowników. Dostaliśmy informacje, że została bardzo szybko załatana, natomiast to, że człowiek jest w stanie w kilka chwil dostać się do takich zasobów, to bardzo satysfakcjonujące uczucie.

I dało ci do myślenia.

Jeśli firmy, wydające miliony dol. na cyberbezpieczeństwo, nie są w stanie zabezpieczyć swoich systemów, oznacza to, że mamy dość duży problem. Jako etyczni hakerzy, czyli osoby zajmujące się badaniem bezpieczeństwa różnych systemów, postanowiliśmy się temu przyjrzeć. Okazało się, że w wielu przypadkach problemem są przestarzałe narzędzia, które zawodzą w dużej skali, inną kwestią jest również rozwój sztucznej inteligencji.

Z AI zaczynają korzystać programiści, a niestety sztuczna inteligencja trenowana na wytworach człowieka, czyli na tekstach i kodzie napisanym przez ludzi, zawiera luki bezpieczeństwa. Jeśli więc używamy sztucznej inteligencji do generowania kodu, bardzo często wprowadzamy te podatności do systemów. Mało tego, robimy to znacznie szybciej i w dużo większej skali niż działo się to wcześniej. Każdy, kto używał sztucznej inteligencji, choćby czata GPT, wie, że to narzędzie może wyprodukować bardzo dużo bezsensownego tekstu. Z kodem dzieje się bardzo podobnie.

Stworzyliśmy więc narzędzie, VIDOC, które symuluje sposób myślenia najlepszych etycznych hakerów na świecie i przy pomocy sztucznej inteligencji pomaga wykrywać błędy bezpieczeństwa w kodzie. Nasz system pozwala na zrozumienie kodu danej aplikacji, wyszukanie błędów i podatności na poziomie tego kodu i zabezpiecza kod wygenerowany przez AI.

Gdy pomyślimy o systemie jako budynku, to kod jest jedną z cegiełek, z których jest zbudowany. Narzędzie, które stworzyliśmy, potrafi wychwycić cegiełkę kiepskiej jakości i wskazać lukę bezpieczeństwa.

Wielu ludziom wydaje się, że hakowanie wygląda tak jak na filmach. Klikamy i dzieje się magia, a my w trzy sekundy włamujemy się do Pentagonu. W rzeczywistości wygląda to nieco inaczej. Bardzo dużo czasu spędzamy na próbie zrozumienia systemu, czytaniu kodu i dokumentacji.

Czytaj więcej

Biznes

Anna Salomon: Stworzenie marki jakościowych kosmetyków to koszt około dwóch milionów złotych

Nasze kosmetyki są dostępne wyłącznie w gabinetach kosmetycznych oraz na stronie internetowej. Ch...

Pamiętasz swoje pierwsze doświadczenia z hakowaniem?

W liceum mój znajomy bez mojej zgody udostępnił zdjęcie na Facebooku. Przejęłam jego hasła między innymi do League of Legends i powiedziałam, że mu oddam, jeśli mnie przeprosi. Zdjęcie sama usunęłam z FB. Nie wiem, czy to był początek mojej przygody z bezpieczeństwem, ale na pewno to zdarzenie miało wpływ na dalszą moją ścieżkę zawodową.

Czy w związku z niepewną sytuacją geopolityczną na świecie wzrasta zainteresowanie cyberbezpieczeństwem?

Świadomość tego, jak ważnym tematem jest cyberbezpieczeństwo i dezinformacja wzrasta u internautów. Firmy również monitorują sytuację polityczną na świecie i próbują się do tego adaptować. Niestety wciąż wydaje mi się, że bezpieczeństwo staje się priorytetem dopiero wtedy, gdy przedsiębiorstwa doświadczą zagrożenia na własnej skórze.

Vidoc Security Lab założyliście razem z Dawidem Moczadłą w Polsce w 2022 r. Jeszcze w kraju udało się wam pozyskać pierwszy kapitał na rozwój firmy – 600 tys. dol. od funduszy bValue oraz 500 EE. Żeby jednak rozwinąć swój start-up, wyjechaliście do Doliny Krzemowej.

Nie oszukujmy się: dostęp zarówno do kapitału, czyli inwestorów, jak i dostęp do różnych możliwości w Dolinie Krzemowej jest dużo większy niż w Polsce, stąd decyzja o przeprowadzce za ocean. Z perspektywy czasu wiem, że była to dobra decyzja, bo pobyt w Stanach bardzo nam otworzył głowy. Nawet nie chodzi o to, że tam się dzieją cudowne rzeczy, bo wcale tak nie jest.

San Francisco zmaga się z bardzo dużymi problemami społecznymi: bezdomnością czy narkomanią. Natomiast jeśli chodzi o rozwój biznesu w nowych technologiach, szczególnie AI, to jest to tak zwane place to be, czyli miejsce, w którym warto być.

My, Polacy, wychowani i ukształtowani przez polski system edukacji mamy podejście, że to, co robimy jest błahe i nieistotne, a gdy ktoś powie nam komplement, że udało nam się stworzyć świetne narzędzie, to od razu zaczynamy umniejszać nasze dokonania i odpowiadamy, że „to nic wielkiego”. W Stanach dowiedziałam się, jak można mówić o swoich osiągnięciach. Ludzie żyjący w Ameryce wcale nie są genialni, nie różnią się od nas, po prostu w inny sposób mówią o tym, co robią.

Gdy pierwszy raz stanęłam na scenie, żeby opowiadać o swoim start-upie, miałam trzy minuty. Wydawało mi się, że to, co mówię jest bardzo ciekawe i wciągające, ale gdy zeszłam ze sceny od mojej mentorki usłyszałam: „Nie zrozumieliśmy połowy tego, co mówiłaś, bo używałaś bardzo technicznego języka. Dlaczego umniejszasz dokonania własnej firmy, jakby to, co oferujesz było bardzo kiepskiej jakości?”.

Po trzech miesiącach treningu i uczenia się, jak mówić i jak przedstawiać swoją firmę, udało mi się dojść do poziomu opowiadania o swoim start-upie w zachodni sposób.

Czyli?

Swoje wystąpienie zaczynam w następujący sposób: Wyobraź sobie, że zostałeś zhakowany. Firmę T-Mobile kosztowało to 300 milionów dol. Będzie jeszcze gorzej, bo teraz atakujący mają dostęp do sztucznej inteligencji. Jesteśmy etycznymi hakerami, zhakowaliśmy największe firmy technologiczne na świecie, VIDOC jest jedynym narzędziem, które jest w stanie realnie zabezpieczyć Twój kod.

Czytaj więcej

Biznes i prawo

Nowy europejski raport: Sytuacja kobiet w branży technologicznej nie jest optymistyczna

Europejki pracujące w branży technologicznej wciąż zmagają się z wieloma problemami. Luka płacowa...

Słyszałam, że spotkanie w kawiarni było przełomowe dla rozwoju twojego start-upu.

Pewnie masz na myśli spotkanie z inwestorką Pebblebed, która przedstawiła nas współzałożycielce OpenAI Pameli Vagata. Takich spotkań było dużo więcej. To tylko jeden z przykładów. Faktycznie w Palo Alto w San Francisco czy też w ogóle w Dolinie Krzemowej jest trochę tak jak w książkach. Wchodzi się do kawiarni, a tam ludzie opowiadają o swoich start-upach. Siedzisz, pijesz kawę i widzisz technologicznych celebrytów idących ulicą i machających do znajomych.

Nie spotkałam wprawdzie Marka Zuckenberga, ale poznałam wiele osób, które budowały firmy i oprogramowanie, których używamy na co dzień. Jest to niesamowite doświadczenie, otwierające bardzo wiele drzwi. Spotkałam choćby Diffiego, który w latach 70. stworzył protokół uzgadniania kluczy szyfrujących (Diffie-Hellman). Nie dość, że okazał się bardzo miłym człowiekiem, to jeszcze mogliśmy porozmawiać o kryptografii i bezpieczeństwie współczesnego internetu.

Jakie były twoje początki w Dolinie Krzemowej?

Przeprowadzając się do San Francisco, nie znałam nikogo. Nie ukończyłam renomowanych uczelni typu Stanford czy Harvard. Zaczynałam więc od zera. Pierwsze trzy miesiące po przeprowadzce, oprócz budowy produktu, przeznaczyłam na intensywny networking i zdobywanie kontaktów. Chodziliśmy na wydarzenia networkingowe, wzięliśmy udział w programie akceleracyjnym, spędziliśmy godziny na badaniu rynku i rozmowach z różnymi ludźmi.

Gdy zbudowałam już pierwszą siatkę inwestorów, potencjalnych kontrahentów i znajomych, to kolejne dwa tygodnie poświęciłam na ich obdzwonienie. Miałam listę 70 inwestorów i kontakt po kontakcie odbywałam z nimi rozmowy online, więc jest to taka typowa „Dolina Krzemowa story”. Część moich rozmówców była zainteresowana zainwestowaniem w nasze narzędzie, więc kolejne dwa tygodnie spędziłam na rozmowach albo z ich partnerami, albo z ich doradcami, którzy sprawdzali, czy jesteśmy w stanie dostarczyć produkt, o którym mówimy. Po 8 tygodniach udało nam się uzyskać pierwszy term sheet, czyli dokument sporządzony przez inwestora zawierający wstępne warunki inwestycji.

Na jaką kwotę opiewał?

2 mln dol. Taką ofertę złożył nam w pierwszej kolejności fundusz inwestycyjny Pebblebed założony m.in. przez współzałożycielkę OpenAI. Jej propozycja zmieniła wszystko, bo tuż później otrzymaliśmy jeszcze lepszą ofertę od innego funduszu inwestycyjnego. Znaleźliśmy się w komfortowej sytuacji, ponieważ mogliśmy wybierać. Ostatecznie zdecydowaliśmy się iść z Pebblebed.

Jak myślisz, co wpłynęło na to, że udało ci się ich przekonać? Twarde dane czy złapaliście flow? A może zdobyliście ich serca historią o hakerach z Polski?

Każdy ma jakieś nierealne wizje na temat tego, jak wyglądają inwestycje na wczesnym etapie inwestycji (early stage). Otwierałam oczy, jak niewiele wspólnego ma to z racjonalnym europejskim podejściem. W Stanach większe znaczenie niż to, ile klientów korzysta z naszego narzędzia, ważne było to, jakimi ludźmi jesteśmy, czy warto w nas zainwestować, czy dostarczymy to, o czym mówimy. Czy jest potencjał na rynku? Jak duży jest to rynek? I czy za kilka lat będziemy unicornem? Czy będziemy wyjątkowi? Niekoniecznie więc liczył się Excel i tabelki z liczbami, choć oczywiście ważne były informacje o pierwszych zadowolonych klientach.

Czy idąc na takie spotkania biznesowe, zakładałaś markowy garnitur i szpilki?

Jeśli w Dolinie Krzemowej masz na sobie marynarkę i szpilki, to od razu wszyscy wiedzą, że nie jesteś stąd. Fundusz Inwestycyjny Pebblebed ma siedzibę w wielkim magazynie, w którym miała powstać galeria sztuki współczesnej. Panuje w nim z jednej strony industrialny klimat, a z drugiej strony przez to, że wiszą w nim obrazy, ma taki artystyczny twist. Współzałożycielka funduszu ma różowe włosy i po godzinach zajmuje się programowaniem robopsów. Zresztą przyłączyłam się do tego projektu i przez chwilę zajmowałam się robopsami razem z nią.

Na pierwszą rozmowę z nią poszłam ubrana w srebrne spodnie i niebieski oversize'owy sweter. Ktoś się zaśmiał, że wyglądam tak, jakbym szła na Burning Mana. To nie jest tak, że wszyscy chodzą tam w krawatach i pracują w wieżowcach na 50. piętrze.

Być może na kolejnych etapach jest nieco inaczej i jest jednak takie oczekiwanie, żeby elegancko się prezentować – co nie znaczy, że trzeba się od razu wbijać w szpilki i garnitur. To oczywiście zależy od firmy i etapu realizacji inwestycji.

Słyszałam, że środowisko w Dolinie Krzemowej jest silnie zmaskulinizowane. Jak sobie z tym radzisz?

Kiedy pierwszy raz przyleciałam do Doliny Krzemowej, spotkałam się z koleżanką, również Polką, która jest założycielką start-upu i od 10 lat mieszka w San Francisco. Usłyszałam od niej, że jeśli zamierzam zdobyć finansowanie na mój biznes, szczególnie w takiej branży, jaką jest cyberbezpieczeństwo, to zawsze na spotkanie powinnam iść w towarzystwie mężczyzny – mojego wspólnika, ponieważ kobiet nikt w tej branży nie będzie traktował poważnie. Niestety jest w tym trochę prawdy. Kobiety mają duży problem w tym środowisku. Potwierdzają to też statystyki, bo mniej niż 3 proc. fundingu w Dolinie Krzemowej trafia do start-upów prowadzonych przez kobiety.

Gdy to usłyszałam, stwierdziłam, że nie będę się na to godzić. Jeśli ktoś nie chce zainwestować w naszą firmę tylko i wyłącznie dlatego, że jestem kobietą, lekceważy moje kompetencje i nie jest mi w stanie zaufać jako liderce, to nie wyobrażam sobie dalszej współpracy. Wchodzimy przecież w relację z osobą, która ma nas wspierać – nie tylko finansowo. Opieranie się na męskim ramieniu i podpieranie na męskim autorytecie absolutnie nie wchodziło w grę.

Głęboko wierzę, że warto przebijać szklane sufity, dlatego wspieram kobiety i dziewczyny, które działają w branży technologicznej, bo faktycznie jest nam ciężej niż mężczyznom. Czuję dużą wdzięczność do kobiet, które w Dolinie Krzemowej 20 lat temu część tych szklanych sufitów przebiło. Obecnie, ponieważ wciąż jest nas mało, naprawdę się wspieramy. Podczas spotkań kobiecych communities wymieniamy się doświadczeniami z inwestorami i zacieśniamy więzi. To dzięki nim się tam odnalazłam i łatwiej mogłam się zaaklimatyzować w zupełnie innym klimacie i środowisku.

Czytaj więcej

Patronat Rzeczpospolitej

Cyfrowa zmiana, która zaczyna się od kobiet. Co trzecią firmę prowadzi kobieta – czas, by cyfryzacja mówiła także jej głosem

W Polsce co trzecia firma z sektora MŚP jest prowadzona przez kobietę. To ogromny potencjał gospo...

Czy kobiety wchodząc do tego męskiego świata, zachowują się jak mężczyźni i powielają ich sposób zachowania?

Raczej się z tym nie spotkałam. Może dlatego, że od zawsze obracam się w bardzo męskiej branży. Zaczynałam pracę jako programistka, potem pracowałam w działach IT i zajmowałam się cyberbezpieczeństwem. Większość stanowili mężczyźni, a jeśli już pracowały tam kobiety, to raczej były to wspierające osoby. Moja szefowa w BlockFi, w pierwszym start-upie w Stanach Zjednoczonych, w którym pracowałam tuż przed założeniem własnej firmy, bardzo pomogła mi w karierze. Nigdy nie doświadczyłam z jej strony negatywnego zachowania.