...

четверг, 6 августа 2015 г.

Хакерские проекты на Кикстартере

Я готовился к курсу по выводу проекта на Кикстартер и мне в качестве «домашки» надо было проанализировать успешные проекты. (Я немного охнул, когда узнал, что в мире 1 250 активных краудфандинговых платформ.) Так как у меня хабр-дефект, я нашел все проекты из области информационной безопасности (а пару проектов подсказали ребята из хакерспейса).

10% — доля технологических стартапов на Кикстартере (они в итоге собрали около 118 000 000 долларов).
Да, краудфандинг отлично заточен на всякую бесполезную, но прикольную хрень. На Кикстартере собирают бабло на салат и на резинкометы (16-ти ствольный деревянный пулемет системы Гатлинга), а на других платформах реализуют «правило 34» для космоса и на радость старине Фрейду печатают сигары органы. Но есть и околохакерские проекты, причем некоторые достаточно серьезные. Как для простых пользователей (флешечки с биометрией), так и для профессиональных пентестеров (анализатор атак по сторонним каналам для железа).

Предлагаю самим оценить идеи проектов (глубину технических описаний) и чувство юмора разработчиков.

Мифы и факты про Кикстартер


Своими глазами видел, как ребята из CubicRobotics каждую минуту обновляли страничку со статистикой на IGG. Я так же немного помогал с проектом книги про Венеру, а сейчас вынашиваю планы по запуску проекта пояса шахида верности пояса для развития магниторецепции (первый прототип которого мы спаяли со школьниками в лагере этим летом).

Поэтому мне интересно, из каких кусочков состоит кампания на Кикстартере. Я сделал подборку проектов, на примере которых можно оценить следующее: работу со СМИ, качество видео, игровые механики, визуализацию наград и целей, взаимодействие с сообществом, чувство юмора, глубину технических описаний.

Самостоятельный анализ проектов — мощная штука. Например, существует миф, что успешными на Кикстартере бывают только гаджеты или настолки. Я же нашел околохакерские проекты-обучалки, исследования, софтовые проекты, железячные и бумажные решения. Или другое заблуждение, что видеоролик должен быть дорогим — я был свидетелем того, как на съёмку потратили 10.000 долларов. Примеры ИБ проектов демонстрируют, что можно снимать видео как в студии, так и на вебкамеру.

В ходе подготовки мне удалось немного пообщаться с «нашим человеком» в кремниевой долине, который помогает «хакнуть ограничение по гражданству на Кикстартере», вот он то настоящий разрушитель мифов и спец по культурным кодам. Кто знает почему нельзя поздравлять девушек с 8 марта на Кикстартере?

Рекордсмен в области ИБ собрал более 700.000 долларов, а другой проект отличился тем, что привлек 1200 бэкеров (те, кто «проголосовал деньгами») за первые сутки. Активность русских на Кикстартере следующая: 15 000 россиян внесли в общей сложности 3 350 000 долларов.

Среда — самый активный день недели для пользователей Kickstarter. Число месяца — 13.
Публикую статью в четверг, 6-го числа, но в статье использую одну популярную игровую механику — «stretch goals». Это такая штука, заимствованная из игр, когда после взятия очередной высоты, открывается новый ништячок.

Проекты из области кибербезопасности

Cybrary: The World's First Free IT and Cyber Security MOOC

Cybrary: Первый в мире свободный MOOC (Многопользовательский онлайн курс) про информационные технологии и кибербезопасность. Для каждого. Для любого уровня. Бесплатно. Навсегда.

Платформа Cybrary.IT предлагает для IT-специалистов бесплатные MOOCs. Сейчас доступны 20 онлайн-курсов по системному и сетевому администрированию и кибербезопасности для получения сертификации от начального до продвинутого уровней (Ethical Hacker, CISSP, CCNA, CompTIA A+) и нишевых навыков (развертывание Microsoft Exchange).

Идея проекта Cybrary.IT – устранить для IT-профессионалов финансовые барьеры в постоянном совершенствовании своих навыков и сделать сферу доступной для талантливых специалистов из малообеспеченных слоев населения.

Преподаватель с классом из 20 учеников сможет пользоваться дополнительными инструментами бесплатно, а если использовать Cybrary.it в масштабах всей школы, то придётся заплатить от двух до десяти тысяч долларов в год. За эти деньги можно будет следить за успехами в прохождении материала учеников, организовывать деятельность сразу нескольких учителей и составлять из материалов сайта полноценные учебные планы.

imageФишки: наполнение заранее контентом своего канала на YouTube, где можно найти несколько демок с преподавателями.

Сумму собрали, продолжают публиковаться на хакерских ресурсах. 29 мая 2015 года проект перевалил отметку в 100.000 зарегистрировавшихся.

Сбор — $25,803 ($25,000)
Старт проекта — 4 марта 2015
Сайт проекта — www.cybrary.it
Страничка на Кикстартере

Our Mission:
To liberate IT and Cyber Security training so that it becomes and remains free and accessible to everyone, everywhere, of every skill level, forever.

We believe that everyone deserves the opportunity to learn for free, and the role we can play in making that belief a reality, is to provide free IT and Cyber Security training.

It has become nearly impossible for many people to pursue their passion of learning about technology and cyber security because of the outrageous costs and lack of availability. We have built the framework for anyone to pursue this dream and we did so because everyone deserves, at very least, the opportunity. What they do with the opportunity is up to them, but education should be a right for all people globally.


Видео — простое, снятое на обычную камеру и от этого почему-то оно вызывает доверие, больше, чем видео от Coursera, где порой преподы впаривают свои книги или услуги. Даже хочется поучиться у ребят, а еще курс бесплатный, что созвучно хакерскому мировоззрению про распространение знаний и компетенций.

Enigmaze — Secure Internet Password Log Book


Enigmaze — клевый блокнот, специально спроектированный для того, чтобы быстро и просто создавать и хранить сильные пароли.

Парольчик про «сорок тысяч обезьян» и их отношения с бананами легко запомнить, но что делать вот с этим xXkleG!8+Ke$?mcd? При том, что таких нужно иметь несколько десятков под каждый проект.

Авторы проекта предлагают эдакую «Энигму» на бумаге. Пользоваться ей можно по разному — от невидимого ультрафиолетового маркера, до мнемофраз, из которых с помощью шифр-блокнота «выводится» сильный пароль.

Фишка — отличное решение, особенно для организаций где можно/нужно внедрить сильные пароли для всех сотрудников. Разработчики оперативно общаются с бэйкерами и еще во время кампании, откликаясь на отзывы, дополнили варианты выбора — блокнот без буквенного индексирования страниц.

image

СМИ
image

Сборы $18,927 ($3,000)
Старт проекта — 11 мая 2015
Сайт проекта — enigmaze.org
Страничка на Кикстартере
Видео — студийное

OneRNG — an open source entropy generator

OneRNG — надёжный аппаратный источник энтропии для генераторов случайных чисел.

Устройство оформлено в виде брелока с интерфейсом USB.

Все схемы, спецификации и программное обеспечение распространяются (http://ift.tt/1pbwAiu) под свободными лицензиями и доступны для проведения независимого аудита и проверки надёжности. По мнению авторов проекта, заверения о доверии ничего не стоят, гарантировать безопасность системы может только полная открытость и предоставление возможности самостоятельной проверки.

Для формирования случайной энтропии в OneRNG используется цепь на базе стабилитрона и приёмник радиосигналов со скачкообразной перестройкой частоты. Для изоляции от внешних помех, электронные компоненты изолированы специальным металлическим экраном.

image"Открытость — это важно, мы полностью раскрываем конструкцию нашего оборудования и нашей прошивки, наша плата даже разработана со съемной защитой от помех («шапочка из фольги»), так что вы можете проверить и убедиться, что схемы, которые находятся внутри, точно такие же, как те, что мы строим и продаем. Для того, чтобы убедиться, что наши платы не могут быть скомпрометированы во время транспортировки мы удостоверяемся, что внутренняя прошивка будет подписана и не может быть подделана.

Плата не может быть перепрограммирована через USB с помощью зловредного ПО на хост-компьютере. Однако мы также считаем, что вам на самом деле не принадлежит ваше оборудование, если вы не можете открыть его и повозиться с ним, и, что еще более важно, вы не можете проверить, что то, что мы обещаем.

Поэтому мы предлагаем тот же программатор, который мы используем, плюс кабель за дополнительную плату — мы надеемся, что вы сможете сделать что-то еще более надежное, чем то, что мы создали." Paul Campbell

Фишки : классное название, искреннее видео, решение актуальной проблемы. Надавили на мозоль что "АНБ взломала некоторые из генераторов случайных чисел в программном обеспечении OpenSSL".

Сборы — $48,551 ($10,000)
Старт проекта — 15 декабря 2014
Сайт проекта — onerng.info
Страничка на Кикстартере
Видео — простое видео, с описанием принципа работы

тру гиковские фоточки
image

image

image
Производство

image
Программатор

Большая лекция по проекту


JackPair: secure your voice phone calls against wiretapping

JackPair шифрует голоса поверх GSM телефонии с защитой от атак типа человек посередине.
Работает с любыми телефонами, не требует паролей, не требует установки никакого софта. Стоимостью $89 за одно устройство или $139 за пару.

Все программное обеспечение — Open Source и открыто для аудита (Open Source Security).
Брюс Шнайер утверждает: "The crypto looks competent, and the design looks well-thought-out. I'd use it."

Концепция: один девайс подключается к телефону, будь то смартфон, стационарный телефон или клиент VoIP на ПК через стандартный 3,5-мм разъем для наушников, — а затем, при наличии у абонента второго JackPairs, устройства установят безопасное соединение, и будут шифровать аудио сигнал перед отправкой через любые сети. Программное обеспечение JackPair использует синтезированный голос для воспроизведения расшифрованного аудиосигнала.

Для каждого сеанса связи генерируется One-Time-Secret-Key (OTSK), генерируется при помощи протокола Диффи-Хеллмана. Для шифрования используется поточный шифр Salsa20.

Фишки: перед запуском разработчики заручились поддержкой популярного ИБ специалиста — Брюса Шнайера. Есть описание и фотки основных этапов создания прототипов.

Разоблачения Эдварда Сноудена (Edward Snowden) показали, насколько уязвимы данные пользователей, особенно перед лицом государственных спецслужб. Разработчики использовали цитату Сноудена, как обоснование нужности данного устройства:
image

Сборы — $44,661($35,000)
Старт проекта — 5 сентября 2014
Сайт проекта — jackpair.com
Страница на Кистартере

Видео — «полустудийное»

СМИ
image
команда
image
визуализация наград


The Glitch: Security / Pen-Testing Hardware Platform

Подключил и хакнул.
Glitch упрощает жизнь пентестеру. Теперь специальсту по информационной безопасности не обязательно вникать в устройство железки и писать для него прошивку. Glitch — это перепрограммируемое Open Source Hardware устройство/платформа. Достал из коробки и включил.

Glitch может эмулировать работу клавиатуры и при подключении к компьютеру быстро набирать текст (что можно использовать как для быстрой конфигурации Windows/Linux, так и для исполнения каких-то пейлоадов).

Преимущество данного девайса перед Teensy и Rubber Ducky в том, что он умеет логировать — то есть его можно подключить к USB-клавиатуре и он будет записывать все нажимаемые клавиши на microSD-карту.

Hacking with hardware for non-hardware hackers

image«I'm JP and I'm a security researcher who loves to tinker. I have a special interest in wireless and portable security projects.»
(«Я JP и я специалист по безопасности, который любит мастерить. Меня интересуют беспроводные и портативные проекты по безопасности»)

Также благодаря маленькому размеру Glitch можно прятать внутри другой электроники, например, внутри мыши. Обнаружить такое стороннее устройство будет крайне сложно.
image

Фишка — клевая наклейка тем, кто внес хотя бы 10$
image
Автор проекта пользовался услугами сообщества, они помогали ему делать видео: «Thanks to gigafide (http://youtube.com/gigafide) for helping me make the video»

Сборы — $30,137 ($14,500)
Старт проекта — 5 августа 2012
Сайт проекта — theglitch.sf.net
Страница проекта на Кикстартере
Видео — хоум мэйд


Webcloak: Advanced Web Security and Online Privacy

Webcloak — маленький USB девайс, который является физическим щитом, для безопасной работе в веб. Защищает от вирусов и от кражи данных. Обеспечивает анонимный доступ.

How Does Webcloak™ Work?

Будучи подключенным к компьютеру, Webcloak создает защищенную виртуальную «машину внутри машины». Все данный шифруются (AES) 256. Разработчики обещают пользователям абсолютную неуязвимость и защиту всех транзакций, платежей, защиту от вирусов и вандализма.

Webcloak блокирует любой входящий доступ (incoming access), при этом не надо ничего инсталлировать и перезагружать, защита начинается, как только воткнешь устройство в компьютер.


Устройство защащает от «SideJacking» (взлома Wi-Fi), сниффинга траффика (Network Traffic Sniffing), DNS Spoofing, Key-loggers and Screen Scrapers, атак «человек посередине», Site Visit Tracking Code, Cryptolocker, а так же всех вирусов и эксплоитов.

Фишки — много видео инструкций и картинок, объясняющих принцип работы и использования устройства. Подробное описание команды разработчиков с живыми фотками.

Описание команды
image

The Team

Our team is committed to delivering the best level of computer security and have been working hard for the last 3 years with leading experts in cyber-security and encryption specialists.

Martin Dawson, Chief Technology Officer:

Martin Dawson has software development experience that spans over 30 years and includes the creation of the first Internet interactive streaming media products, LearnFlow and Xstream Media. Mr. Dawson also created the first practical audio delivery technology that enabled streaming audio and the viewing of rich multi-media content over the Internet. He has pioneered the technologies for delivering automated software updates over the Internet and for delivering interactive media to web browsers — years before Flash and Shockwave.

Mr. Dawson has designed and developed proprietary software for companies such as Microsoft, Intel and Citrix. Additionally, software created by Mr. Dawson has been part of a tool set pre-installed on Dell, Micron and Gateway computers.

«My first “shrink wrap” product came out in the late 80’s and was called „Quickstudy for Lotus 1-2-3“, which included over 60 highly interactive software simulation based tutorials on a single diskette. You learned how to use software by interacting with a complete simulation of the software. If you had 1-2-3 installed on your computer, Quickstudy would create an interface which allowed you to launch the tutorials from within 1-2-3’s menus and dialog boxes. In the early 90’s at a Comdex show (a computer tech gathering) the hall was abuzz with talk of the pre-release of a new graphical “Web Browser” called Mosaic. I was intrigued and immediately acquired a copy. I realized that because of the component based object oriented nature of my simulation engine I could potential adapt it to “streaming” media for the World Wide Web. I succeeded and “LearnFlow” was born. LearnFlow allowed us to stream our interactive content along with audio and other multi-media formats over a common modem connection. When Microsoft released its new “Microsoft Office” website we were asked to provide our technology and create content for their on-line demos. This was years before Flash and Shockwave. I didn’t stop there» — Read more…

Mr. William Shopoff — Chief Executive Officer:

CEO Bill Shopoff has a gift for building, motivating and managing teams to succeed in entrepreneurial ventures. He attributes his success with these teams to a watershed experience in his training — studying with Dr. Edward W. Deming who emphasized quality control and systems-based business management.

Bill Shopoff has also been instrumental in technology-based projects including co-founding eBridge Technology Ventures I and II. He was an early stage investor in ITV Capital and Voyager Capital, two venture capital companies launched in the late 1990’s.

СМИ

Сборы — $61,215 ($60,000)
Старт проекта — 19 ноября 2014
Сайт проекта — webcloak.com
Страница на Кикстартере
Видео — студийное


CONTENT LOCKED. Public access after 10 000 views
Когда количество просмотров статьи перевалит за , откроется описание еще 7 проектов из области ИБ. Среди них:

  • проект, который собрал 200.000 долларов, а потом кинул бэкеров
  • проект, привлекший более 700.000 долларов на «хакерский ноутбук»
  • защита «умного дома»
  • проект для аудита железа на атаки по сторонним каналам, про который нет ни слова на русском
  • и др

Если вы знаете краудфандинговые проекты в области информационной безопасности, которые я упустил, поделитесь.

советы по анализу проектов от профессионального кистартеровода
imageЕвгений Жуков, серийный предприниматель в Кремниевой долине, CEO & Founder Digitilus, основатель акселератора SV Booster

Хотелось бы выделить несколько важных моментов:

  • Железо априори собирает больше, чем софт. Например, тот же CYBRARY собрал, скорее, вопреки, а не благодаря усилиям его авторов. Это видно по графику сборов
  • Флешечки неплохо собирали в прошлые годы. В последнее время они явно выходят из моды.
  • «Шпионские штучки» всегда привлекают внимание. Поэтому всякого рода «жучки» будут привлекать больше внимания, чем решения по безопасности, особенно против онлайн-угроз. Цели должны быть простые и понятные: «захватить мир и не дать никому подсмотреть свои пароли».
  • Не всегда то, что кажется есть правда, все врут. Если сравнить графики сборов проектов Cybrary, JackPair, Webcloak и The Glitch, Enigmaze, видно, что у первых график ломанный, с резкими скачакми, осбенно в конце кампании, и с незначительным превышением гола (кроме JackPair, где явно не рассчитали силы) — явный признак буста, т.е. резкого вброса больших сумм для «успешного» завершения проекта. Авторы явно осознали, что если не подбросят немного своих денег через карты друзей, уйдут ни с чем. У второй группы проектов график роста плавный и органический, со значительным превышением суммы гола. Значит была правильная работа с прессой и правильное попадание в ожидания аудитории.
  • Цена типового лота имеет важное значение. Феноманально высокие сборы у Novena объясняются лишь феноменально высокой ценой призов. Совершенно очевидно, что и себестоимость у данного проекта самая высокая. На самом деле надо обязательно сопоставлять сумму сборов с количеством бекеров проекта. Чем второе выше, тем реально успешней проект.
  • Видео. Вопреки устойчиво ретранслируемым городским легендам о пренепременнейшем наличии высоковачественного видео, как часто бывает, тут перепутаны причина и следствие. Качественное студийное видео могут себе позволить проекты, которые запросто могут себе позволить покупку большого количества рекламы и участие в многочисленных выставках и конференциях. Поэтому анализ видео во всех перечисленных проектах я намеренно опускаю. Скажу лишь, что нормальным должно быть наличие видео в пределах 2-3 мин., в котором чётко, по-английски без акцента рассказывается о самом продукте и можно посмотреть в честные глаза его создателей перед тем, как давать им свои деньги. Кроме того, в проекте Enigmaze на текущий момент я вообзе не наблюдаю никакого видео. А его общая сумма сборов сопоставима с Cybrary и The Glitch, не говоря уже об относительной к начальной сумме гола.
  • Для более точного анализа надо мониторить упоминание каждого проекта в прессе, смотреть, насколько раньше начала сборов стартовала маркетинг-кампания, проверять наличие известных личностей в команде, и много других факторов, напрямую влияющих на результаты сборов.
  • Kicktraq.com Нужно брать массу параметров и садиться проверять. Kicktraq стоит освоить в первую очередь, чтобы по графику понять, что там происходит за кулисами. Но его надо уметь «читать» — это так же, как биржевые игроки стараются по графикам понять тренды на рост/падение. Тут нельзя научить, надо просто заниматься этим регулярно. Потом подключается гугление на предмет статей о проекте, по тому, где писали и что писали, можно попытался составить картину о создателях, о том, как долго они продвигают проект и что там у них было до старта кампании на КС. В общем, тут reverse engineering, только в плане расследования.
Конкурс

У каждого, наверняка, есть знакомые, которые в гараже проводят эксперименты с холодным ядерным синтезом.
Возможно, они хотят вывести свой проект на краудфандинговую платформу, а может их (как гордых ежиков) стоит для этого хорошенько попинать.
Поделитесь коротко сутью проекта (в комментах или на почту alexey.stacenko(coбакa)gmail.com), мы же со своей стороны, будучи предвзятыми и неадекватными, дадим два инвайта на курс по созданию кампании на Kickstarter. Один инвайт самой красивой девушке автору проекта, а второй — тому, кто его «сдал». (приоритет для проектов из области ИБ и OpenSource)

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.

Комментариев нет:

Отправить комментарий