עם 0 משקיעים ו-100 אלף משתמשים: התוסף הישראלי הזה יגן עליכם מתוספים

׳׳ידענו שכיוצאי יחידות מודיעין יש לנו גישה קלה יחסית לכסף אבל אנחנו שלושה יזמים שמרנים והעדפנו ׳לבדוק את השטח׳ עם הכסף שלנו׳׳, אומר עמוס פלד, מייסד שותף של Guardio שפיתחה תוסף לדפדפן שישמור על הפרטיות שלכם

    הצוות. מימין: דניאל סירוטה, עמוס פלד ומיכאל ויינשטיין. צילום: ענת לפושקין

רק אתמול (ה’) נחשף כי גוגל הסירה עשרות תוספי כרום זדוניים שהצליחו לחמוק ממנגנוני הסינון שלה. התוספים הללו הותקנו כ-33 מיליון פעמים במצטבר והצליחו לגנוב מידע אישי ולבלוש אחרי היסטוריית הגלישה של המשתמשים. אבל האם יכול להיות שדווקא תוסף יכול להגן עליכם מתוספים אחרים?

עושים לתוספים את מה שאנטיווירוסים עושים לתוכנות

על פניו, הסיפור מאחורי Guardio נשמע די מוכר: שלושה חברים שהכירו ביחידת מודיעין טכנולוגית, השתחררו והקימו סטארטאפ בתחום אבטחת המידע. אלא שבעוד שרוב הסטארטאפים שמוקמים על ידי יוצאי 8200 פונים לשוק הארגוני, ב-Guardio פונים בעיקר למשתמשים הפרטיים. עד עכשיו, במתכונת בוטסטראפ וללא גיוסי הון חיצוניים, נהנה המוצר של החברה מיותר מ-100 אלף משתמשים פעילים.

Guardio פיתחה תוסף שנועד לשמור על סביבת דפדפן נקייה יותר, ולחסום או להתריע מפני אתרים שחודרים את ההגנות הקיימות. ״עם המעבר לענן והתחזקות האבטחה של הדפדפנים ומערכות ההפעלה, גם האיומים עברו מעולמות ה-Malware הקלאסיים לעולמות הענן. במקום לנצל את הפרצות הטכניות וכשלים בתוכנות – האיומים היום עברו לנצל חולשות ‘לוגיות’ בעולמות ה-web והדפדפן״, מספר לגיקטיים עמוס פלד, מייסד משותף ומנכ״ל החברה. פלד מסביר כי התוסף שהחברה פיתחה מטפל באיומים שחומקים ממעטה ההגנה של האנטיווירוסים ומוצרי האבטחה השונים כנגד פישינג מתקדם, שימוש לא נכון בהרשאות, Social Engineering והונאות. מדובר באופרציות זדוניות שפוגעות במאות אלפי משתמשים בכל יום.

״טכנולוגית, מתבצעת פרימת אופרציות זדוניות על ידי חיבור תשתיות וללא צוותי אנליסטים גדולים או פיתוח טכנולוגיות ייעודיות לזיהוי איומים בסביבת הדפדפן״, מסביר פלד. התוסף סורק אתרים ומנתח אותם ויזואלית וקונטקסטואלית כדי לאתר איומים נטולי עדויות ברמה הטכנולוגית, אך על בסיס ההקשר שלהם הוא מזהה אם יש במה לחשוד. כך למשל, עמודים עם דמיון ויזואלי לעמודים רגישים כמו עמודי Login.

לאחר התקנת התוסף, כל אתר או שירות אליו המשתמש ניגש נבדק על ידי המנוע, והמשתמש מקבל התראה או חסימה במקרה שהוחלט בוודאות שמדובר בתוסף זדוני. בימים אלה הם עובדים גם על מודלי Deep Learning שנטענים לוקאלית בדפדפן ומשתמשים ביכולות כמו WebGL ו-WebAssembly שמאפשרות להאיץ את זמן התגובה ולבצע את הניתוח מהקונטקסט של המשתמש, וכך לעקוף הגנות שהאקרים משתמשים בהן.

100 אלף משתמשים פרטיים פעילים

היום כל חברה חדשה שקמה לא צריכה תשתיות פיזיות כבדות ופיירוולים כדי להתגונן מאיומים פוטנציאליים, והיא מתחילה את דרכה ישירות בענן. ב-Guardio זיהו את שוק המשתמשים הפרטי – משפחות ועסקים קטנים בארה״ב – ואליו הם מפנים כרגע את מירב הפוקוס. ״כחברה, אנחנו רוצים למכור הגנת סייבר, כמו ש-Monday ו-Lemonade מוכרות את המוצרים שלהן, ולא כמו חברות סייבר מסורתיות שמתבססות על תהליכי מכירה ארוכים ואיטיים״, אומר.

המודל הכלכלי של החברה מבוסס על מודל מנויים, ומשתמשים יכולים להתנסות בתוסף במשך 7 ימים ואז להחליט אם לשדרג לגרסה בתשלום שעלותה 6 דולר בחודש. עקרונית, אין הכרח לשדרג לגרסה בתשלום, ואפשר להמשיך ולהשתלם בגרסה החינמית. עם זאת, מספר הפיצ׳רים מצומצם יותר, וכולל בין היתר התרעה רק במקרים קריטיים המשקפים סכנה מיידית ברורה – ולא באופן שוטף.

מקור: Guardio

 

התוסף יושב על הדפדפן, מה שאומר שאתם מקבלים גישה לכל היסטוריית הגלישה של המשתמשים. למה שמשתמש ישים את המידע הכל כך רגיש שלו בידיה של חברה אנונימית?

פלד: ״הנקודה היותר חשובה היא שכיום כל תוסף דפדפן שאנחנו מתקינים מקבל גישה לכל היסטוריית הגלישה שלנו. מנגנון ההרשאות הזה הוא עקב אכילס של כל האקוסיסטם של גוגל כרום. התוספים האלה, לא רק שרובם נבנו על ידי מפתחים שלא כולם מקצועיים, אלא שגם מפתחים מקצועיים עושים טעויות נוראיות שיכולות לחשוף את המשתמשים לנזק עצום. זה מה שהראינו במחקר שלנו״.

גם Gardio, מעצם היותו ומעצם פעילותו נחשף להיסטוריית הגלישה של המשתמשים, אבל לדברי פלד החברה נוקטת מספר אמצעים כדי להגן על פרטיות המשתמשים; ראשית, המודל העסקי שלהם מתבסס על תשלום מהלקוחות – ובתמורה לכך הם מגנים עליהם. ״המקרה של חברת Avira שמכרה את היסטוריית הגלישה של המשתמשים שלה זה משהו שאנחנו לעולם לא נעשה. זה גם מעוגן ב-EULA שלנו״, מבהיר פלד – הן במודל החינמי והן במודל בתשלום.

בנוסף, הם לא שומרים מזהה המקשר בין גלישות לבין המשתמש. ״אנחנו עושים ׳Dogfooding׳ (ביטוי שמתאר אנשים שלא מפחדים לאכול את האוכל של הכלב שלהם – ה.ח) – כלומר גם עובדי החברה ומשפחותיהם משתמשים במוצר ולכן ברור לנו שחייבים לבנות את הארכיטקטורה כך שלא ניתן יהיה להצליב היסטוריות גלישה למשתמש, גם אם נרצה״, מוסיף פלד.

עצמאים בשטח

Guardio היא החברה השנייה שמקימים יחד מיכאל ויינשטיין, דניאל סירוטה ועמוס פלד. לפני כן, הם הקימו את Arpeely, חברת AdTech רווחית וספקית מורשית של גוגל. החברה הנוכחית פועלת במתכונת בוטסטראפ מכספם של המייסדים, מה שמאפשר להם לדבריהם לבנות את המוצר הראשוני לפי החזון וה-DNA שלהם.

פלד מסביר כי לאחר 6 שנים של שירות ביטחוני, לקח להם זמן להתאקלם בעולם האזרחי; רק שנתיים אחרי השחרור הם פתחו חשבון בלינקדאין וחשפו את שמותיהם האמיתיים באינטרנט. ״האופי שלנו הוא להישאר מתחת לרדאר, לעבוד קשה ולהיחשף רק כשאנחנו מאמינים שאנחנו בכיוון הנכון, במקום למכור חלומות למשקיעי הון סיכון. ידענו שכיוצאי יחידות מודיעין יש לנו גישה קלה יחסית לכסף, אבל אנחנו שלושה יזמים שמרנים והעדפנו ׳לבדוק את השטח׳ עם הכסף שלנו״.

מקור: Guardio

הוא מספר כי עד לאחרונה, הם לא הרגישו שכסף היה יכול לסייע להם בהאצת תהליכים, והם חששו כי גיוס יגזול מהם משאבים ויאיץ אותם למסלול או כיוון שלאו דווקא יהיה נכון. ״לתפיסתנו, גיוס כספים הוא כמו תדלוק ושיגור של טיל, אתה רוצה לעשות את זה כשהוא מכוון לכיוון הנכון״. עם זאת, פלד לא שולל את האפשרות של גיוס כספים בהמשך, והוא מניח שבקרוב תגיע העת שבה הם יצטרכו תמיכה כספית כלשהו, שיתוף פעולה אסטרטגי, גיוס או אשראי מסחרי.

ניסיתם כבר לפנות לקרנות הון סיכון ומשקיעים?

״לא ניסינו לפנות למשקיעים באופן אקטיבי אבל אנחנו אכן מקבלים פניות ומתחזקים קשרים בריאים עם גופים בארץ ובעולם. האתגר הוא שרוב הקרנות שמתמקדות בסייבר בארץ מוכוונות לחברות Enterprise, ולכן המבנה שבו אנו פועלים היום פחות מוכר להן ואף מרתיע. עם זאת, כשמתקבלת התמונה המלאה והם רואים את מגמת הגידול, התפוצה והיקף ההכנסות שלנו, משהו משתנה והם רואים את הפוטנציאל״.

פלד לא מסכים לחשוף את כמות המשתמשים המשלמים שיש להם, אבל מציין כי מדובר באחוז דו ספרתי. לדבריו, במהלך השנה האחרונה החברה הגדילה את הכנסותיה, והם צפויים לסגור את השנה עם הכנסות של מיליוני דולרים. כדי להגדיל את ההכנסות, בעתיד הם יוסיפו אופציות לניטור הרשאות ענן – כמו אילו שירותים נגישים לגוגל דרייב ואילו מסמכים נגישים מרחוק באופן פומבי, פיצ׳רים שיתאימו יותר לארגונים.

כשנשאל על הקשיים הגדולים ביותר בהתנהלות ללא גיוסים חיצוניים, פלד דווקא לא מונה את הצד הכספי כקושי העיקרי. ״משקיע טוב יודע לתת ערך מוסף בכל הקשור להתווית דרך, פתיחת דלתות לשיתופי פעולה גדולים ואסטרטגיים ואפילו בדברים הקטנים כמו לקבל קרדיט מגוגל על שימוש בענן״. קושי נוסף שנובע לדבריו מדרך עצמאית היא שכאשר אתה כל כך מעורב בעשייה ומחובר למוצר, לפעמים חסרה זווית ראייה נוספת של מישהי שמגיע ממקום אובייקטיבי וכבר ראה חברה או שתיים נבנית״.

Guardio נבנה על תשתית כרום אבל עובד גם על פיירפוקס ועל Edge של מיקרוסופט ״Out of the box״.

 

הילה חיימוביץ׳

גיקית, Deal With It

הגב

5 תגובות על "עם 0 משקיעים ו-100 אלף משתמשים: התוסף הישראלי הזה יגן עליכם מתוספים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שלמה שלמה
Guest

הם נותנים את מה שנותן הקונטיינר המובנה בפיירפוקס.
איפה היתרון?

אופקליפטי
Guest

שזה בכרום….

דיסלקט
Guest

אין על פיירפוקס!

stam
Guest

כל הכבוד. בהצלחה

נו באמת
Guest

קצת התפזר שם עם הגיוס….אם היה מדגיש שכבר הקים חברה רווחית ניחא, אם היה מציין שהוא מגיע מבית עמיד אז הוא מגייס מאבא מילא אבל לזרוק “בתור יוצאי יחידת מודיעין”, רוב “יוצאי מודיעין” שהכרתי בחיי היו פחות מנוסים מבוגר קורס udemy למתחילים…לא בטוח שזה מה שהיה נותן להם לגייס העידן הקורונה..

wpDiscuz

תגיות לכתבה: