Leon Juranić: Od prvog koda s 10 godina i hakiranja NASA-inog sustava do akvizicije DefenseCodea

Tvrtka je osnovana prije 12 godina s jednim laptopom i puno volje, a nedavno ju je akvizirao globalni lider u niši, izraelska tvrtka WhiteSource. 

Sve što se u međuvremenu dogodilo i kako izgleda put, tao ili the way jednog bijelog hakera od mladih dana ispričao nam je osnivač Leon Juranić.

Leon je široj javnosti postao poznat kada je otkrio sigurnosne propuste u računalnom sustavu NASA-e. U softveru, koji su razvili za svemirske misije, otkrio je 12 sigurnosnih ranjivosti pomoću kojih je netko mogao upasti u NASA-ine bitne sustave za misije u svemiru:

Često me pitaju kako sam provalio u NASA-u. Nisam provalio nego sam im prijavio ranjivosti i dao program koji sam razvio za provaljivanje u njihove sustave, na čemu su mi oni i javno zahvalili na svojim web stranicama.

Već s 14 godina fasciniralo ga je zaobilaženje sigurnosnih sustava

Put ovog bijelog hakera počinje još u osnovnoj školi kada su ga počela zanimati računala:

Već sam u 4. razredu osnovne radio neke programčiće na svojem Commodore 64 osobnom računalu. Dvije godine kasnije dobio sam svoju legendarnu 386-ticu na kojoj sam se zainteresirao ozbiljno za programski jezik Basic i programiranja jednostavnih računalnih igara.

Nikada nije išao formalnim putem i sve je naučio sam čitajući tone knjiga o računalima, programiranju, mrežama, računalnoj sigurnosti i kako sam kaže “gigabajte” tekstova s interneta.

Često me klinci pitaju: “kako da postanem haker?”… Kao prvo, preispitujte autoritete
i ne dajte da vas pokolebaju. Moj učitelj tehničke kulture u osnovnoj školi rekao mi je – “Ti,dijete, nikad nemoj upisati nekakvo tehničko zanimanje…”.

A onda je hakerom skoro postao kada je imao 14 godina. Fasciniralo ga je zaobilaženje sigurnosnih kontrola računalnih sustava i načini na koje može upasti u računalne sustave:

Znate, u hakerskim krugovima, poneki načini upada u računalne sustave smatraju se ravnima s visokom umjetnošću, toliko inovativnosti, toliko strasti te toliko predanosti koje hakerski zanat traži stvarno se ponekad mogu usporediti s umjetnošću.

Samostalno se natjecao s tvrtkama od 500-600 ljudi

Leonova poslovna priča počinje pak 2010. kada je kao mladi haker vidio prazan prostor u području aplikativne sigurnosti:

Rješenja koja su bila dostupna na tržištu jednostavno nisu bila dovoljno dobra ili im je falio onaj hakerski štih pristupa rješavanju problema. Počeo sam prvo kao one-man-band razvijati programska rješenja za sigurnosnu analizu izvornog koda aplikacija te dinamičku analizu sigurnosti web aplikacija.

Leon to naziva dugim i trnovitim putem koji je obilježen s “mnogo truda, muke, krvi i znoja” jer se samostalno natjecao s tvrtkama od 500-600 zaposlenika. Zatim, oko 2013. godine pridružuje mu se haker Boško Stanković koji mu je pomogao oko razvoja softvera te usluga sigurnosnog konzaltinga, odnosno usluga penetracijskog testiranja kojima su financirali razvoj programskih rješenja DefenseCodea:

Boško Stanković mi je do samog kraja DefenseCodea odnosno do akvizicije od strane WhiteSourcea bio i ostao desna ruka u svemu, vrlo često i glas razuma u kojem smjeru firma treba stremiti kako bi bili u koraku s najnovijim tehnologijama.

Nikada nisu tražili investitora, ali spletom okolnosti i poznanstva – Lucijan Carić investira u DefenseCode 2015. godine i tako se pridružuje timu.

Umjesto kuverti – dobar networking

Tijekom podizanja firme na noge naučio je kako nema veze koliko ste inovativni i koliko dobar proizvod imate i koji je možda bolji od većine na tržištu, već su vrlo važne veze i prepoznatljivost:

Ne mislim tu na veze kao one pršut-vino-kuverte veze kao u Hrvatskoj nego jednostavno networking i umreženost. Nije lako postati prepoznatljiv igrač na globalnom tržištu kada se borite s velikim firmama. Hrvatsku državu kao pomoć ne bih ni spominjao u cijelom ovom procesu. Niti su oni mene nešto pitali, a niti ja njih.

Svoje proizvode, ThunderScan i DefenseCode WebStrike, prodaju u inozemstvu, a najviše u SAD-u. ThunderScan je softversko rješenje za sigurnosnu analizu izvornog koda aplikacija koje podržava trideset programskih jezika i brojna razvojne alate i okruženja dok je WebStrike softversko rješenje za sigurnosno testiranje web stranica.

Koliko je sigurnost izvornog koda aplikacija napredovala prošlih 10 godina?

Firme odnosno decision makeri postali su svjesni da moraju investirati u računalnu sigurnost, ističe Leon, jer u suprotnom će im se to obiti o glavu i to uglavnom na financijski način:

Bilo kroz incident koji im se može dogoditi, GDPR regulativu koja će ih kresnuti duboko po džepu ako ispadne da nisu dosta uložili u zaštitu podataka, a dogodi im se neki breach ili zbog raznih standarda usklađenosti.

Leon vidi prostora za poboljšanje u novoj generaciji alata za analizu sigurnosti izvornog koda kao što je WhiteSource SAST (bivši DefenseCode). Stari mastodonti, kako Leon voli reći, na tržištu su uglavnom komplicirani i nakrcani raznim nepotrebnim noise rezultatima te teški za korištenje.

Što dalje s DefenseCode timom, pardon… bendom?

Svi ključni ljudi, uključujući i mene na trenutnoj funkciji Security Research Team Lead, već su prešli u WhiteSource i aktivno rade na integraciji naših alata s njihovim i WhiteSourceovom vizijom budućnosti računalne sigurnosti. Znači ni mjesec dana od akvizicije, radi se već “sve u 16”.

Za kraj, ovaj tekst završavamo i s Leonovom službenom objavom u kojoj možete i upoznati sve članove njegovog DefenseCode benda te pričom kako su od prve gaže došli do svjetskih nastupa: