Fineas Silaghi & Dragoș Albăstroiu, AISafe Labs: Detectorii de vulnerabilități cibernetice
Reading Time: 5 minuteAu fost lideri ai Campionatului European de Securitate Cibernetică, au raportat împreună probleme de securitate în produsele unor companii mari precum Meta, Samsung sau Anthropic. Acum, Fineas Silaghi și Dragoș Albăstroiu au fondat startup-ul AISafe Labs, o platformă care ajută companiile să descopere problemele de securitate cibernetică. Am aflat detalii de la Fineas (foto dreapta), CEO-ul AISafe Labs.
Ce este AISafe Labs și de ce este considerat un „proiect aparte”?
AISafe Labs este o platformă autonomă care ajută companiile să descopere problemele de securitate din aplicațiile lor web în ore și săptămâni, iar asta la o fracțiune din costul tradițional. Povestea a început acum nouă ani, când cei doi fondatori, Fineas Silaghi (CEO) și Dragoș Albăstroiu (CTO), erau încă în liceu, concurând pentru un loc în echipa națională de securitate cibernetică a României. De atunci, am fondat împreună o echipă de Competitive Hacking și am raportat împreună probleme de securitate în produsele unor companii mari precum Meta (Facebook și Instagram), Samsung, Anthropic și Canon și am călătorit în întreaga lume participând la cele mai prestigioase competiții de securitate cibernetică. Ideea din spatele AISafe s-a născut în timpul competiției Defcon CTF, unde am realizat că mare parte din procesul de identificare a vulnerabilităților poate fi automatizat. Astfel, am început prin a construi un instrument intern care să îi ajute în competiții. După ce acesta a fost validat prin rezultate excepționale în aceste competiții, am decis să îl transformăm într-un produs accesibil tuturor. Ce face AISafe un proiect aparte este tocmai această fundație. Platforma nu este doar un instrument tehnic, ci este rezultatul a peste 8 ani de experiență reală în testarea securității aplicațiilor, transformată într-un produs care gândește și acționează exact așa cum ar face-o fondatorii înșiși. Practic, reușește să conducă o analiză de securitate a aplicațiilor web urmărind metodologia fondatorilor, însă la o viteză și un preț pe care nicio soluție existentă nu le poate oferi, transformând astfel securitatea dintr-un privilegiu într-un drept.
Ce finanțări ați atras până acum și care sunt obiectivele de dezvoltare?
Până în prezent, am atras o finanțare de 250.000 de euro în doar 6 luni de la înființarea companiei. Investitorii noștri sunt antreprenori români cu un portofoliu diversificat, care au fost convinși în primul rând de dimensiunea problemei și de oportunitatea pe care AISafe o adresează pe piață. Ca obiective de dezvoltare, prioritatea imediată este lansarea celorlalte două servicii, Black Box Pentest și White Box Pentest, alături de serviciul de Source Code Audit deja lansat. Odată ce toate cele trei servicii sunt disponibile, ne concentrăm pe scalarea pe piață și creșterea bazei de clienți.
Ce oferă aceste servicii?
Serviciul de Source Code Audit presupune analiza completă a codului sursă al aplicației web pentru a identifica vulnerabilități. Clientul furnizează codul sursă, iar platforma noastră efectuează o analiză inițială din care extrage potențialii vectori de atac și threat model-ul. Pe baza complexității logicii aplicației, platforma oferă utilizatorului o estimare a timpului necesar analizei întregului cod. Odată ce analiza începe, agenții noștri specializați efectuează o analiză statică aprofundată a codului sursă, iar fiecare descoperire este validată printr-un algoritm similar unei metode de consens, în care mai mulți agenți independenți validează rezultatele produse de ceilalți.
Pentru serviciul de Black-box Pentesting, clientul furnizează doar adresele domeniilor vizate. Deoarece platforma nu are acces la codul sursă, estimarea timpului necesar este mai dificilă, motiv pentru care evaluarea rulează pe o durată fixă de 48 de ore. Pe parcursul acestei perioade, agenții noștri specializați explorează și descoperă mai întâi toate punctele de acces ale aplicației, apoi rulează diverse teste împotriva acestora pentru a identifica vulnerabilități. Odată ce potențiale vulnerabilități au fost identificate, agenți specializați generează proof-of-concept-uri pentru a valida descoperirile și a evalua impactul real al fiecăreia.
În sfârșit, serviciul de White-box Pentesting combină avantajele celorlalte două. Clientul furnizează atât codul sursă cât și adresele domeniilor, ceea ce ne permite să oferim o estimare a timpului necesar. Este cea mai completă metodă de evaluare deoarece permite identificarea vulnerabilităților care pot fi descoperite doar prin analiza codului sursă, dar și validarea lor corectă printr-un proof-of-concept funcțional executat direct împotriva aplicației. Practic, obții profunzimea unui Source Code Audit combinată cu validarea concretă a unui Black-box Pentest.
Cum arată viitorul în securitate cibernetică, din perspectiva tehnologiilor AI?
Avansurile recente în AI au dus la o explozie de cod generat și proiecte lansate la o viteză fără precedent. Singura modalitate de a menține echilibrul și de a ne asigura că toate aceste aplicații sunt securizate este tot printr-o soluție bazată pe AI, volumul fiind pur și simplu prea mare pentru expertiza umană disponibilă. Însă faptul că AI-ul poate identifica vulnerabilități în aplicații vine cu două tăișuri. Poate fi folosit așa cum facem noi, pentru a ajuta companiile să își securizeze aplicațiile, dar poate fi la fel de bine folosit de atacatori pentru a descoperi și exploata acele vulnerabilități în scopuri malițioase. Din această perspectivă, cred că viitorul tehnologiei își va păstra caracterul pe care l-a avut întotdeauna: atacatorii inovează cu noi tehnici și metodologii de exploatare, iar apărătorii inovează cu mecanisme și soluții defensive pentru a preveni acele atacuri. Diferența va fi că această cursă se va desfășura la o viteză și un ritm complet diferite, iar cei care nu țin pasul vor rămâne expuși.
Se poate vorbi de schimbări în white hacking, de-a lungul timpului?
Da, se poate vorbi de schimbări semnificative. Una dintre cele mai importante este faptul că vendorii înțeleg din ce în ce mai bine implicațiile unei breșe de securitate și, ca urmare, au crescut considerabil recompensele oferite pentru raportarea responsabilă a vulnerabilităților. Acest lucru îi încurajează pe cercetătorii de securitate să raporteze descoperirile lor direct către vendor, în loc să le folosească în scopuri malițioase. Cred că este o tendință ”foarte pozitivă” și sper că recompensele vor continua să crească, pentru că în final toată lumea beneficiază: vendorul își protejează produsul, utilizatorii sunt în siguranță, iar cercetătorul este recompensat corect pentru munca sa. Pe de altă parte, software-ul rămâne software, indiferent dacă vorbim de era pre-AI sau post-AI. Vulnerabilitățile apar din aceleași cauze fundamentale: complexitatea codului, erorile și interacțiunile imprevizibile dintre componente. Din acest motiv, în termeni de expertiză și tehnici, white hacking-ul își va păstra caracterul pe care l-a avut mereu. Ce se poate schimba în bine este calitatea rapoartelor și volumul vulnerabilităților descoperite, mai ales odată cu adoptarea instrumentelor bazate pe AI care pot asista cercetătorii în procesul lor.
Care au fost cele mai interesante vulnerabilități descoperite la Meta?
Una dintre cele mai interesante vulnerabilități pe care am descoperit-o a fost într-o componentă de bază a produselor Meta, folosită de Facebook, Instagram, WhatsApp, Oculus și alte aplicații din ecosistem. Concret, am identificat o problemă într-o librărie responsabilă de procesarea imaginilor. Vulnerabilitatea permitea unui atacator să construiască o imagine malițioasă care exploata mecanismul de procesare, oferind astfel acces atacatorului la sistemul sau dispozitivul pe care rula acea funcționalitate. Practic, o singură vulnerabilitate care permitea compromiterea mai multor aplicații folosite de miliarde de oameni.
Care a fost implicarea voastră în este echipa europeană de securitate cibernetică?
Campionatul European de Securitate Cibernetică (ECSC) este o inițiativă a Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA), descrisă adesea drept „Eurovisionul securității cibernetice”. Anual, echipe naționale formate din 10 tineri cu vârste între 14 și 25 de ani reprezintă țările europene într-o competiție care acoperă domenii precum securitatea web, criptografia, reverse engineering, forensics și binary exploitation. Fiecare țară își selectează echipa prin competiții naționale riguroase, iar finala reunește cele mai bune talente din peste 20 de țări europene. International Cybersecurity Challenge (ICC) duce conceptul și mai departe, reunind echipe care reprezintă continente întregi, nu doar țări, într-o competiție globală. Eu am fost cel mai tânăr membru al echipei naționale care s-a calificat în lotul României, în 2017. Dragoș Albăstroiu a fost căpitan al echipei României timp de mai mulți ani, conducând-o pe locul 1 la ediția din 2019 desfășurată la București. Ulterior, Dragoș a fost singurul român care s-a calificat vreodată pentru Campionatul Internațional de Securitate Cibernetică (ICC), unde a fost desemnat căpitan al echipei Europei în două ediții, de fiecare dată conducând echipa continentului pe prima poziție.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz
