Олег Науменко, Hideez: «Сегодня пора думать о цифровом ключе для всего электронного мира»
С Олегом Науменко я познакомился даже не в Киеве, а в Берлине на выставке IFA 2009, где впервые участвовала украинская (тогда еще) компания Pocketbook, представлявшая свои первые модели ридеров и открывшая в Германии офис. Это был очень удачный год, компания вывела на рынок модели Pocketbook 301 Plus и Pocketbook 360, которая стала знаковой для производителя. Затем была история с компанией Senkatel, которую основали те же выходцы из PocketBook. Это было время активного роста продаж Android-планшетов и компания успела выпустить несколько моделей (две из них даже попали в наше поле зрения: SmartBook 6" и SmartBook 7" HD). Но дело не заладилось, к тому времени на рынке уже появилось слишком много бюджетных моделей на любой вкус и кошелек. Компания Senkatel пыталась попытать предпринимательского счастья на рынке телевизионных приставок на Android, но история не имела сколько-нибудь значимого продолжения.
Таких людей, как Олег Науменко обычно называют серийными предпринимателями. Он относится к тому редкому типу людей, которые способны создавать новые проекты и компании, делать ошибки, падать, подниматься снова и не бояться начинать с нуля. Таким новым проектом стала компания Hideez (произносится «хайдиз») и ее история тоже не выстелена лепестками из роз. Так, два года назад запуск на Kickstarter умного браслета Safeband не увенчался успехом — собрать удалось меньше 20 000 долларов из требовавшихся 100 000. Однако, новое устройство и новая ниша — умный брелок под названием Hideez Key имеет все шансы стать более успешным. О его возможностях мы сегодня и говорим.
Внешний вид Hideez Key
gagadget: Как правильно произносится ваше название Hideez?
Олег Науменко: Мы наызваем это «хайдиз кий», по сути это единый цифровой ключ. Какая глобальная проблема, которую мы стараемся с его помощью решить? У пользователя сегодня миллионы разных аккаунтов. У среднестатистического пользователя, согласно статистике, есть 20 аккаунтов (есть и больше). Средств идентификации пользователей — в разы больше: есть карты доступа в офис, ключи, брелоки. Есть промышленные стандарты HID, Em Marin, Mifare. Это все средства идентификации. Продвинутые компании пробовали ставить у себя системы сканирования глаз/пальцев и этих средств все больше и больше. Придумывают новые технологии, связанные, например, с двухфакторной авторизацией — одноразовые пароли, которые генерятся каждые 30 секунд. Они уже массово используются во всех банках, Google это запустил, Facebook, Outlook. И этих технологий все больше и больше. Есть Single Sign On, есть OAuth — технологии единого пароля для «всего». И в этом всем человек — не робот, он должен проходить идентификацию и получать доступ к тому, что нужно.
Зачастую стоимость телефона может быть ниже той информации, которая в нем хранится — в аккаунтах и на тех же банковских счетах.
У меня [есть] одна история — про банковскую карточку, которой я никогда не пользовался. И открыл ее только для того, чтобы рассчитываться в интернете. Она лежала дома. Однажды приходит SMS, что с нее сняли 60 фунтов. Думаю — мало ли, может жена что-нибудь купила. Через 15 минут приходит вторая SMS — сняли уже 600 фунтов (билеты на самолет). Жена точно не могла купить. Оказалось, что где-то сперли у меня эти данные, которые хранились где-то в password manager. Их вытащили, и я потом целый год разбирался с нашим украинским банком, чтобы эти деньги вернуть. Целый год! Это приличная сумма, и я понимаю, что не один такой. Буквально на днях у наших партнеров в Америке сломали Skype-аккаунт и начали рассылать с него разную чепуху... страшное дело. Мы живем в мире, в котором нужно охранять себя. Люди покупают сигнализацию на машину, сигнализацию на квартиру.
Сегодня нужно думать о сигнализации — специальном средстве идентификации для доступа к своему электронному миру.
Есть телефон, есть планшет, есть компьютер. У кого-то есть умные часы, умный дом, электроника в автомобиле. И в этом всем нужно проходить идентификацию легко и комфортно. Потому что в большинстве случаев слово «безопасность» звучит страшно и сложно. Современные требования безопасности требуют, чтобы пользователь менял свой пароль каждый месяц. В корпорациях заставляют [делать это] всех пользователей. К чему это приводит? К тому, что пользователи все равно не парятся. Они придумали как себе облегчить жизнь: используют какое-то стандартное ядро — пять-шесть цифр — и в конце меняют, допустим, три-четыре цифры, которые означают дату смены пароля. И так человек еще месяц пользуется. Все равно люди приходят к облегчению собственной жизни.
Не зря фантасты предсказывали революцию машин и роботов. У человека всегда должна быть его индивидуальность. У него не должны спереть его личность В Америке очень большая тема — privacy, кража личности. Глобально это большая проблема в развитых странах. Поэтому защита идентификации — это важный этап на пути в «светлое будущее». Нам нужно не потерять свою индивидуальность.
Поэтому мы решили создать бескомпромиссное решение между удобством и безопасностью. Человек, по сути своей, — лентяй, и лень — двигатель прогресса. Поэтому нужно обеспечить легкий, комфортный, простой доступ ко всему электронному миру, который у тебя есть, но при этом безопасный. Все эти средства идентификации: ключи, пароли, карточки, одноразовые пароли, цифровые подписи должны быть в одном устройстве. И это устройство должно быть реально безопасным (оно должно реально охранять все эти данные). Ты должен знать, что если ты его потеряешь, то сможешь его заблокировать и никто не сможет его взломать и вытащить все личные данные. Вот так родилась идея.
Именно с этой идеей мы создали первое устройство — Hideez Key и сейчас уже работаем над второй версией (устройство Hideez Key 2 было представлено после того, как было записно интервью — на CES 2017 — примечание редакции).
gagadget: В чем отличие второй версии?
Олег Науменко:
Давайте я сначала расскажу о первой. Первая и главная функция Hideez Key — это менеджер паролей. По сути Hideez Key хранит (у него есть 72 килобайта памяти) все логины, пароли и приватные ключи для одноразовых паролей — там, где есть двухфакторная авторизация. Большинство сайтов, приложений на компьютере, на телефоне и на планшете требуют авторизацию пользователя. Для этого нужно установить приложение Hideez Safe, подключить Hideez Key и сохранить свои пароли в памяти устройства. Вот даже вход в приложение можно обеспечить или пин-кодом или с помощью сканирования глаз. Фронтальная камера мобильного телефона (демонстрирует процесс) сканирует глаз. Вот он меня идентифицировал, я зашел. Это стандартная технология, которую мы лицензировали — она уже стала массовой и используется в банковском секторе и так далее.
Стартовая страница и меню приложения Hideez Safe на Android
Важный момент, что мы не храним данные пользователя в облаке. Все данные пользователя только есть у пользователя в его устройстве Hideez Key. Вот, например, открываешь приложение Приватбанка, оно запрашивает пароль, и Hideez Key сразу вставляет его. Он может лежать в кармане, никто не знает, что он у тебя, в принципе, есть. Ты просто открываешь приложение и получаешь [к нему] доступ. Даже если внутри приложения требуется для какой-то операции еще раз ввести пароль, он тоже его вставляет. И точно также работает с любым софтом. Устройство абсолютно универсально. Смысл какой — у тебя есть миллион разных аккаунтов: Gmail, Facebook, Twitter, Skype. Все данные логинов и паролей к ним можно хранить в одном устройстве. И даже если современные сервисы требуют двухфакторную авторизацию (в том числе на Gmail — в настройках Google-аккаунта можно найти как ее включить). И тогда второй временный пароль будет приходить или эсэмэской или в приложение Google Authenticator, которое показывает на экране те 6 цифр, которые нужно ввести. В нашем случае эти 6 цифр генерирует сам брелок. В нем записан приватный ключ, ты нажимаешь на кнопку и он просто вставляет эти 6 цифр. А они каждые 30 секунд разные. Это стандартная технология она используется в том числе и в банках.
Вторая функция — это охрана самого телефона. Если ключ рядом есть, мой телефон пароль не спрашивает и разблокируется. Если ключа нет и я уйду, он станет спрашивать пин-код для разблокировки телефона. Но smart lock — это стандартая штука уже, даже фитнес-браслеты могут смартфон разблокировать. Но Hideez Key может это делать по определенному уровню сигнала (расстоянию) и работает на разных ОС. Еще в приложении есть функция охраны вещей. Сам по себе брелок — достаточно ценное устройство, его тоже нужно охранять. Как только мы уходим и уровень сигнала с телефоном теряется, он начинает пищать. Пищат и брелок, и телефон.
Есть функция «Галерея». Достаточно массовый сейчас эффект, когда взламывают приватные аккаунты облачных сервисов и вытаскивают личные фотографии. В нашем случае мы уже научили шифровать фотографии, которые хранятся в телефоне. Можно внутри нашего приложения сделать фотку. Она будет зашифрована ключом и станет храниться в телефоне. Можно будет найти этот файл в менеджере файлов на телефоне, но открыть его без ключа и нашего приложения будет невозможно. Пока это первая итерация функции, потом еще будет обмен этими шифрованными фотографиями, когда можно будет давать доступ к ним другим пользователям. Делается это через обмен публичными ключами.
Есть функция действия. По-английски (читает название раздела в меню приложения) называется Action. Это когда у нас есть одна кнопка, но эта кнопка многофункциональная. Мы можем настроить разные действия и события по нажатию на эту кнопку. Можно сделать так, что на три нажатия мой телефон включит и выключит диктофон, куда-то позвонит или отправит эсэмэску. Это полезная функция, отправляющая по SMS свои GPS-координаты. Это аналог функции Panic Button. Когда не дай бог что-то случилось, ты отправляешь SMS со ссылкой на Google Maps с твоими координатами. И твой брат, друг, родственник может увидеть что что-то случилось. Можно включить-выключить запись видео, включить фонарик, сделать фотографию (поставил телефон, отошел и сделал селфи). Этих функций уже хватает и эти возможности будут развиваться все больше и больше.
Нажатиям единственной клавише Hideez Key можно присвоить сразу несколько действий
Еще стоит сказать про профили безопасности. По-английски это называется trusted places. Если ты находишься дома и ключи повесил возле входа, а сам пошел в другую комнату и связь между телефоном может разорваться, то зачем тебе дома вводить пароль для того, чтобы разблокировать свой телефон и кому-то позвонить? Профиль определяется по точке доступа Wi-Fi или по GPS-координатам. Можно настроить то или другое и брелок будет знать где ты находишься. Как только я дохожу дома до лифта связь уже теряется (у меня уже было такое раза три — я тупо забыл дома ключи) и телефон напоминает. Частый кейс, когда люди теряют свои телефоны. Просто забывают их где-то в кафе, в аэропорту. Уходят и все. В этом брелок тоже очень сильно помогает. Пищат и брелок, и сам телефон. И даже если ты его где-то оставил и умудрился не услышать, есть функция last place see — последнее местоположение. Телефон запоминает точку на карте где он последний раз видел ключ. Кстати, это для автомобилистов классный кейс, я уже пробовал. Правда, он пока не работает на крытых паркингах, потому что GPS там не добивает.
Доверенные места: там, где функция охраны не требуется. Можно настраивать по GPS и Wi-Fi
Дальше мы пошли уже даже в первой версии и придумали вот что. У меня было четыре разных брелка. Один от подъезда, второй от паркинга, третий от офиса и четвертый от тещиной квартиры и тещиного подъезда. Зачем эти четыре брелка каждый раз с собой носить? Можно сделать одно устройство, которое будет тебя пускать везде где угодно. Мы реализовали еще RFID. В текущей версии у нас есть микросхема, которая называется ATMEL T5577. Она перезаписываемая, но она хранит только один ключ. Смысл какой? У меня на работе есть карточка или брелок, есть специальный считыватель, который может считать с моей рабочей карточки и записать сюда этот ключ. Я могу прийти домой к нашему ОСББ или охраннику и попросить: вот у меня есть свой ключ, привяжи мне к нему код от подъезда или от паркинга. Я так настроил, что у меня один ключ пускает во все четыре двери. То есть ключ по сути один, но он прописан в разных замках. Какой-то главный ключ я скопировал с карточки и записал сюда, но я также могу эти ключи менять. Допустим на работе у нас в старом офисе ключи перезаписывали каждый месяц. Поэтому для меня было критично, что каждый раз нужно было идти, перезаписывать и платить за это 30 гривен. Сейчас я сам себе всё накопировал. Мне лишь код сообщил охранник, например: у тебя код должен быть 54825.
gagadget: Этот код можно прямо в приложении прописывать?
Олег Науменко: Нет, это нужен специальный программатор. Отдельная штука, которая программирует ключ через индуктивное поле. Но в Hideez Key 2 этот код можно будет сохранить через наше приложение.В следующей версии Hideez Key уже будет ряд отличий глобальных. Первое: большинство людей сказали «клево, брелок — это хорошо, но мы хотим реально wearables». В нынешнем понимании wearables — это, в первую очередь, браслет.Это может быть кулон или бейдж. Это может быть клипса на одежду. Как существующие фитнес-трекеры. Поэтому следующую версию мы решили сделать в виде капсулы.
Вторая версия Hideez Key воплотила в себе идеологию носимых устройств
gagadget: Так это MiBand, практически. Такого же размера.
Олег Науменко: Да-да. По сути это уже капсула. Она пылевлагоударостойкая.
gagadget: Она стала меньше? У нее объем, с виду, стал в два раза меньше.
Олег Науменко: Сто процентов! Тут почему такой размер (показывает на первый Hideez Key)? Здесь мы поставили батарейку. Стандартаня батарейка CR2032. Она работает полгода. Все сказали: «батарейка — клево, но это несовременно. сейчас хотят аккумулятор». Ок, мы добавили аккумулятор на 80 миллиампер — прмиерно такой же использует Xiaomi. Его хватает на 2-3 месяца, в зависимости от частоты использования. Сюда же добавили водоноепроницаемый microUSB. Сейчас сильно думаем насчет USB-C, потому что он в полтора раза дороже. И если водоноепоницаемый microUSB стоит 30-40 центов, то Type C стоит полтора доллара, минимум. Это сейчас сильно «кусучая» цена, потому что мы боремся за каждый цент. Ведь чем дешевле нам это все будет стоить, тем доступнее оно будет на полке [магазина]. Потому что коэффициент там 2-3 от производства до полки — он всегда есть и всегда остается. Также мы в новой версии сделали уже две антенны. По сути, здесь и NFC, и RFID. Причем и NFC, и RFID — активные, «умные». Если раньше у нас был один ключ (один пароль), который мы вставляем в разные «замки», то здесь уже могут быть десятки разных ключей от разных дверей. И в зависимости от геопозиции, которая передается с телефона, он подставляет тот ключ, который в этот момент нужен. На вход в помещение нужен один ключ. На вход на территорию — другой, паркинг — третий. Он может хранить и посылать автоматически разные ключи. Это также безопасно. Сейчас, когда ты идешь в метро или на улице, когда много людей вокруг тебя, можно столкнуться со считывателем этих карточек, это небезопасно. И их сейчас очень много. Реально на расстоянии двух-трех метров от тебя можно считать данные с пропуска на работу. Девайс такой стоит 100-150 долларов и это не проблема [для злоумышленников его купить].
Мы недавно делали эксперимент в Киеве, в Парусе (известный бизнес-центр в небоскребе — примечание редакции). Ну, очень просто [украсть данные карт-ключей]. Они были в шоке, конечно, но это правда.
gagadget: И как защищаться?
Олег Науменко: Вот сейчас вышел проект на кикстартере. Продают специальную карточку, которая имеет активное индуктивное поле. Когда ты кладешь ее в кошелек, оно «перебивает» все другие индуктивные поля. Это одна технология. Мы пошли другим путем — когда мы ходим с ключом (он всегда пассивен, он не работает). Нужно подойти к тому месту, к которому ты хочешь, нажать на кнопочку и только тогда он включит активную позицию и будет передавать твой ключ только тогда, когда тебе нужно. И только тот ключ, который нужен именно сейчас.
gagadget: Выходит, что в этом случае ключ еще и энергии будет меньше тратить?
Олег Науменко: Конечно! И [в нем будет еще] NFC, потому что сейчас очень много таких замков появляется. Раньше чаще встречались Em Marin (125 килогерц), сейчас уже встречаются NFC, которые 13.6 мегагерц. Например, так работают карточки в метрополитене — это уже тоже NFC. Это более новая технология, более безопасная. Другая частота и там есть свои требования по шифрованию и уже не так просто его скопировать. Все это развивается и не стоит на месте. Это как раз и есть задача единого цифрового ключа.
По сути мы говорим о том, что в перспективе можем прийти к электронному цифровому паспорту.
То, что все говорят у нас про биометрический паспорт — его реально сделать электронным. Универсальным и «от всего»: от машины, квартиры, дачи, офиса, компьютера, телефона, банка. Вот всё-всё-всё. А благодаря NFC у нас есть теоретическая возможность (это еще нужно дорабатывать функциональность с платежными системами — Visa и Mastercard уже открыли свои API) хранения данных [банковской] карточки. Подходить с нашим браслетом к терминалу и оплачивать кофе, обед, кока-колу, чо хочешь.
gagadget: То есть будущие версии Hideez Key будут поддерживать оплату Visa и Mastercard?
Олег Науменко: Да. Стандарты разные. Есть стандарты для дверей — более массовые, там частота другая. А есть стандарты для платежей. Поэтому у нас есть оба стандарта, две индуктивные катушки и две микросхемы, которые активно подключены к центральному процессору.
Следующая тема, которую мы пока еще не успели подключить сюда — есть сейчас еще много пультов. В нашей стране их пока еще не так много, но все эти шлагбаумы, ролеты автоматические. Это тоже [отдельные] стандарты. Их там два или три основных. Их тоже можно реализовать и сюда добавить. Это уже в третью версию ключа мы хотим добавить все эти ролеты, шлагбаумы. У меня вот тоже есть один пульт от квартиры, второй — от паркинга. И чтобы заехать на территорию нужно два пульта с собой возить в машине. Я их всегда путаю, потому что они одинаковые. Зачем?
gagadget: Да, тема с Hideez Key намного шире, чем мы себе представляли
Олег Науменко: Вот пытаемся создавать будущее. Еще мы хотим релализовать (и сейчас экспериментируем) секьюрную флешку. Это не для для всех — там не будет большого объема памяти, только для секьюрного хранилища: какие-то специальные документы, цифровая подпись, цифровой сертификат, SSL, SSH — это все тоже можно хранить здесь. Объем 8-16 мегабайт мы сделаем. По Bluetooth передавать большие пакеты будет долго, а мегабайт-другой без проблем. В новой версии мы выбрали надежного поставщика электроники — компанию Nordic: Bluetooth, сам процессор и память. Это SoC, три в одном. В следущей версии этот SoC объединяет в себе еще и контроллеры NFC/RFID — все в одной микросхеме, и оно управляет полностью всем. Все идет к тому, что человек — ленивый и хочет максимально упростить свою жизнь.
Иметь с собой десять ключей, помнить пять паролей и каждый месяц их менять — это «космос», с этим справится далеко не каждый.
Есть люди, у которых супергениальная память, и они могут быстро запоминать все цифры и менять пароли хоть каждый день. Но большинство не такие.
gagadget: Но все равно должно что-то стимулировать менять пароли. От того, что в жизни человека появится такой аксессуар, он же не станет от этого чаще менять свои пароли?
Олег Науменко: Смотрите, есть наш украинский кейс — Райффайзен Банк Аваль — у них есть приложение: доступ к интернет-банкингу. Раз в месяц он заставляет тебя менять пароль. Принудительно. Вот мой телефон Xiaomi говорит, что мой пин-код уже больше месяца не менялся, и каждый раз, когда я его разблокирую, он предлагает мне сменить пароль. Вот я недавно регистрировал новый аккаунт iCloud — там тоже требования сильнов выросли. Если раньше достаточно было 6-8 символов, то сейчас он уже требует 10. И там уже не только должны быть одна маленькая [литера], одна большая и цифра. А уже не может быть три повторяющихся. Ты поставил там три нуля, допустим, или три единицы и это уже не подходит. Эти требования становятся все жестче и жестче.
Самые простые технологии взлома паролей — по сути есть два варианта. Первый: социальная инженерия.Люди обычно не парятся, не придумывают что-нибудь оригинальное, а используют дату рождения, кличку собаки, номер машины, девичью фамилию матери или просто название любимого фильма. Смотрел недавно исследование одно — в России большой бизнес-центр, из окно разные вывески рекламные видны. Так вот большинство паролей, 80% — это рекламные вывески, которые вокруг висят. Ты посмотрел и набрал. А те люди, которые постарше — они вообще не парятся: записывают пароль на бумажке, бумажку клеят на монитор. Потому что у них память не позволяет запоминать. И какие бы ни были супержесткие требования безопасности — они не поломают человеческий фактор, потому что он всегда есть и будет. А второй вариант — это просто подбор паролей. Есть тоже миллион разных способов подобрать пароль — для Wi-Fi, для компьютера, для всего. Это активно работает. Недавно был известный кейс, громкий — BlackEnergy. Когда российские хакеры якобы пытались взломать одну из энергокомпаний Украины. Просто у одного из сотрудников подобрали пароль от почты. И от одного сотрудника направили письмо другому. Он открыл [вложенный] документ, а там уже был какой-то вирус, который пошел гулять по системе. То есть самый простой вход в компанию — это пароль. Можно строить миллионы разных систем, какие-то специальные сервера, специальные протоколы безопасности, все эти фаерволы. Все здорово, но пароль — это, по сути, двери центрального входа. Их тоже нужно охранять.
И в нашем случае этот пароль можно сделать бесконечно длинным. Хочешь 32 символа, хочешь 128 символов. Тебе их помнить не надо.
gagadget: Есть особый тип сисадминов или программистов, которые зациклены на этом и параноидально относятся к безопасности. Они наверняка оценят это...
Олег Науменко: У нас уже, наверное, есть десяток таких, я бы сказал, последователей. Они первыми начали нас долбить: а вот дайте мне, продайте образцы. Они мало того, что помешаны на теме безопасности в хорошем смысле этого слова, они еще могут сами что-то сделать. У нас уже есть кейсы, когда люди сами нам дописывают что-то. У нас была такая тема в «Покете» (имеется в виду Pocketbook — примечание редакции), когда мы делали конкурсы и проводили их на форуме the-ebook.org. Люди дописывали прошивки, писали новые функции, какие-то игры, программы простые. Тоже самое сейчас уже есть последователи, которые портируют нашу функциональность на операционную систему Ubuntu. Базовое все, что мы делаем на Си, работает на Линуксе, но большинтво людей все же пользуется стандартными средствами: Windows, Mac, Android. А есть любители, которые говорят «мы хотим, чтобы по-любому было на Линуксе».
gagadget: А есть версия приложения для iOS?
Олег Науменко: C iOS все сложно. Для iOS уже есть бета-версия приложения и в ближайший месяц оно будет доступно в Apple Store. Вообще iOS — закрытая операционная система, там есть миллион разных ограничений. Допустим, функцию разблокировки телефона мы не сможем сделать. Потому что такого функционала API просто нет. Apple отдает его своему TouchID. Кстати, TouchID тоже небезеопасен. В 6 версии Android, когда его включаешь, он прямо говорит, что это небезопасно. Ты можешь его включить, но лучше придумай 6-8-значный пин-код. Я поставил эксперимент над телефоном своей жены. Купил на Новый год (речь о прошлом празднике — интервью записывалось до Нового года — примечание редакции) iPhone 6S. Она уехала, оставила телефон дома. Дай, думаю, попробую его открыть. Короче, все очень просто — отпечаток пальца есть на самом экране. Я просто сфотографировал вторым телефоном, открыл в фотошопе, сделал инверсию, добавил контрастности и распечатал на лазерном принтере на пленке. Я потратил на это 15 минут. Я не специалист. Просто подумал как это можно сделать, открыл и сделал. Откройте YouTube — там есть десятки способов как взломать TouchID. Десятки способов. И это открыто лежит на YouTube — как это все сделать.
В тоже время вводить пин-код каждый раз — это тоже небезопасно. Сейчас вокруг нас куча камер, везде — в торговых центрах, в бизнес-центрах. То есть везде можно подсмотреть [пин-код]. А если ты его не вводишь? Ведь это все [у нас] происходит автоматически. Bluetooth, который мы подключаем, мы шифруем. Это не так, как при подключении колонки или hands free в машине. Мы подключаем Bluetooth с помощью процедуры под названиеи bonding. В процессе первого подключения (вот оно — реально не безопасное, и мы при первом подключении специально занижаем уровень мощности сигнала, чтобы это происходило с максимально близкого расстояния) мы меняемся ключами. И дальше все пакеты между нашим устройством и телефоном шифруются.
gagadget: И количество таких подключений чем-то ограничено?
Олег Науменко: Есть ограничение по количеству данных для паролей — 72 килобайта. Сам по себе Bluetooth позволяет хранить до 8 подключений. Еще в Bluetooth есть такие понятия master и slave. Центральное и периферийные устройства. 99.9% Android-телефонов имеют требование master. Windows — 100% master. Наше устройство может быть и master, и slave. Оно может иметь до 8 подключений, но не одновременно, а по очереди (в текущей версии). Но уже сейчас мы реализовали функцию, когда одно устройство может держать сразу два подключения. Как это сделали: само подключение идет постоянно, пакетами. Скорость передачи — два пакета в секунду. Так мы по тайм-слотам, по расписанию, договорились, что два пакета в секунду идут к одному устройству и два пакета в секунду — к другому. У тебя по-любому есть свой телефон, персональное устройство, есть ноутбук на работе и компьютер дома. Тебе нужно иметь максимум два параллельно и одновременно работающих устройства. Мы это уже сделали, сейчас тестируем среди наших бета-тестеров и хотим в ближайшее время выпустить релиз. Это будет просто обновление прошивки и на текущей версии устройства будет работать.
Hideez Key в разобранном виде
Чем больше мы углубляемся, тем больше появляется новых кейсов.
Есть конкретное обращение — химический завод. У них люди работают в перчатках. Им нужно 20-30 раз в день вводить пароли. Да, они сделали систему контроля за качеством производства — там требования ISO и так далее. Нужно вводить пароли. При этом сами клиенты на планшетах — они очень простенькие. И им нужно вводить пароль каждый раз, а это 20-30 раз в день. Чо делать? Покупать эти считыватели карт и ставить на каждый планшет — это очень дорого, небезопасно и там еще нужно настраивать всю эту инфраструктуру — потянет на очень бльшие инвестиции. Bluetooth сегодня есть уже почти везде. Сейчас мы реализовали так, что наше устройство даже без программного обеспечения подключается к телефону-планшету-компьютеру и видится как Bluetooth-клавиатура. При этом Hideez Key помнит только один пароль, но зато каждый раз, когда ты нажимаешь на кнопочку, он этот один пароль подставляет. Тебе не нужно 50 паролей — тебе нужно вводить один пароль на рабочем месте. Нажал на кнопку — процедуру запустил.
В общем, как всегда, приходится очень много добавлять по ходу, когда появляются какие-то конкретные запросы и сценарии использования. И мы что-то дописываем, поскольку имеем для этого все возможности и исходники. Это как в «Покете», где мы никогда не брали все готовое китайское. Когда ты пишешь все сам, ты можешь поменять что угодно и добавить.
gagadget: Hideez Key также может разблокировать и компьютер?
Олег Науменко: В Windows — да. Ты можешь подойти к компьютеру — он разблокируется. Уйти с рабочего места — он заблокируется. Там настраивается уровень сигнала. Под Mac приложение еще не в релизе — пока есть Android, начиная с версии 4.4 и Windows с версии 8.1. Почему 8.1? Потому что поддержки Bluetooth 4.0 на более ранних версиях не было. А сейчас мы бы еще хотели выпустить отдельно донгл — это USB-шный такой «свисток» с блютусом четвертым, на который мы запишем драйвер и под XP, и под «семерку». Чтобы можно было работать с более старыми [версиями Windows]. Сейчас эти донглы стали такими прикольными — вставляешь в USB и даже не видно, что он там есть.
В нашем приложении на Windows есть такое понятие как Блокировщик ПК. Он показывает текущий уровень сигнала. Вот сейчас (показывает) у меня 94%. Есть два бегунка — вот у меня там сейчас 80% и 40%. Чтобы далеко не отбегать, можно поставить второй повыше. Как только уровень сигнала падает ниже, чем эти 40%, через три секунды компьютер блокируется. Можно настроить под себя — кому как удобно.
Еще можно использовать наш ключ для входа, например, в Gmail. Вот я только что нажал на кнопку два раза и он вставил логин, сейчас он вставит пароль. А теперь то, что называется двухфакторная авторизация — нужно вставить пин-код.
gagadget: Он же на телефон присылается?
Олег Науменко: Нет, он генерируется здесь же. Мы недавно делаем такой лайфхак: сколько занимает времени у пользователя вход в компьютер и вход в Gmail с двухфакторной авторизацией. У обычного пользователя и [пользователя] с нашим ключом. Так вот с нашим ключом это занимает ровно 15 секунд. А без ключа нужно ждать SMS или открывать приложение Google Authenticator и набирать вручную эти шесть цифр.
gagadget: И как это работает у вас?
Олег Науменко: Есть некая стандартная формула, которая берет твой приватный ключ (его можно взять в настройках аккаунта Google). Приватный ключ сохраняется в нашем устройстве. И на основе этого приватного ключа и текущего времени он генерирует эти шесть цифр. То же самое можно делать удаленно и присылать эсэмэской. Мы предлагаем третий вариант, когда ключ может его генерить. Есть такое понятие как Digipass — банки его используют. Это такие брелочки или калькуляторы — их называют по-разному. Они генерируют для доступа в банк вот эти шесть цифр. Принцип все тот же — внутри записан приватный ключ пользователя и на основе его и ключа банка, генерируется пароль.
gagadget: Выглядит какой-то фантастикой: нажимаешь на кнопку и все. Кнопка та же самая, но делает разные вещи.
Олег Науменко: Мир давно вокруг нас изменился, просто мы должны не отставать.
gagadget: А сигнализацию автомобильную разблокировать можно?
Олег Науменко: С автомбильными сигнализациями тоже не все просто. Одно время было большое разнообразие, сейчас все приходят к тому, что помимо основного брелка есть еще дополнительная так называемая метка. Она есть во всех новых автомобилях, тех, кто подороже: Mercedes, Land Rover и она блютусная. Играет роль той самой двухфакторной авторизации. Уже аппаратной — ты должен иметь и одно, и другое. Их не рекомендуют носить на одной связке, но они должны быть. И мы как раз можем быть таким «вторым фактором», потому что эта метка работает на частоте 2.4 МГц — это как раз наш Bluetooth.
gagadget: Какая сейчас цена на Hideez Key?
Олег Науменко: Сейчас цена в рознице 1299 гривен у нас в Украине и в Германии, где мы планируем начать продаваться и на Amazon будет 50 долларов. Точнее 49.99. Почему так? Потому что есть большие наценки, к сожалению. У нашей розницы это все не бесплатно. Попасть на полку — это все хотят денег и хорошо на этом заработать. Тем более, когда что-то новенькое аппетиты сразу возрастают.
gagadget: Как сейчас организована дистрибуция? Где вы реально продаетесь?
Олег Науменко: Мы только начали продаваться в Украине, это Цитрус, MOYO и Розетка. Сейчас ведем переговоры с другими сетями и параллельно развиваем канал B2B. Он в разы интересней, в разы масштабней, но намного дольше с точки зрения реализации проектов: подготовка, внедрение.
gagadget: Опыт покетбука помогает в развертывании дистрибуции?
Олег Науменко: Poecketbook сейчас наш дистрибьютор в Германии. Мы ж дружим.
gagadget: Когда запланирован старт продаж второй версии?
Олег Науменко: Я думаю начнём производство в мае месяце 2017 года.
gagadget: А цена уже известна?
Олег Науменко: С ценой не от нас все зависит, а еще от [розничных] сетей, но мы хотим «поместиться» в ту же цену. Там может быть [выход на рынок] будет чуть дольше пока не распродадим остатки первой версии, потом выпустим второй.
gagadget: Параллельно выпускать обе версии вы не собираетесь?
Олег Науменко: Нет, смысла нет никакого.
gagadget: А прямые продажи у себя на сайте вы планируете развивать?
Олег Науменко: У нас есть продажи на сайте, в разные страны уже много продали. У нас есть (это стандартная тема вообще-то) хаб в Китае, склад, на котором лежит 50-100 устройств. И розничные заказы оттуда доставляются очень быстро и дешево. Нет смысла везти никуда в Украину, делать свой склад. Все это стоит копейки [там]. Мир меняется, границы стираются.
gagadget: Какие-то цифры продаж можете озвучить? В штуках или деньгах.
Олег Науменко: В штуках пока немного, пока мы произвели (то что называется sell-in) 2000 устройств. Сейчас начинаем продажи еще в duty free — сеть магазинов Heinemann. И мы будем продаваться в том числе и в Борисполе. Это гобальная сеть, они заказали небольшую партию устройств.Планируем в начале 2017 года выйти на американский Amazon — у них есть программа Amazon Launchpad, позволяющая стартапам раскрутиться на площадке. И дальше мы уже активно набираем B2B-проекты. Участвуем в разных конференциях здесь в Украине, в Германии (в 2016 году Hideez получила «серебро» и приз зрительских симпатий на конкурсе иженерных стартапов Vernadsky Challenge — примечание редакции). Есть уже пару контактов по В2В-проектам. Сейчас идет пилотный проект и тестирование.
Глобально у нас есть четыре бизнес модели. Первая простая модель, с которой мы начинаем, чтобы обкатать саму технологию и получить обратную связь от пользователей – это продажи B2C. Их мы уже начали делать по чуть-чуть. Второй [путь] — это рынок с большими возможностями, но и более сложный – это В2В, когда мы продаем Enterprise-решения корпорациям. Есть практика, когда всех сотрудников заставляют носить устройства — бейджи или брелочки. Такая культура уже есть, мы предлагаем просто более универсальное, более безопасное решение. Третий вариант, когда мы можем лицензировать нашу технологию и встраивать ее в другие устройства. Или выпускать под White Label с другими брендами. Уже один из таких кейсов есть и, я надеюсь, что в ближайшее время мы подпишем контракт. Как раз будет наше устройство чуть с другим функционалом. Кроме нашего будет еще экстра, и оно будет называться по другому, но внешний вид будет такой же, только красного цвета.
Отдельная тема — это то, что называется «продажи сервиса». Есть очень много сервисов у которых есть миллионы пользователей. Например тот же GitHub — сервис для хранения исходных кодов для разработчиков. У них есть миллионы пользователей. Часто их коды воруют, взламывают аккаунты. Еще один из кейсов – YouTube, который начисляет. например, владельцам каналов деньги за просмотры их роликов. Начисляются деньги на специальный счет в системе. Но оттуда эти деньги пропадают, не часто, но пропадают. Особенно обидно, когда это очень известный блогер, который раз в месяц получил свою «десятку» долларов, и она пропала. Эти аккаунты тоже нужно охранять. Мы можем продавать ключи к сервисам, у которых есть миллионы пользователей, которые нуждаются в безопасности.
Подписка – еще одна отдельная тема, ее то же надо развивать. Один из первых кейсов, которые мы хотим реализовать по подписке — это кошелек для криптовалют. По сути, в криптовалюте самое узкое место это код твоего приватного кошелька. Если ты его потерял, разбил (или у тебя украли телефон), а резервной копии нет, ты его забыл (считай — потерял) все свои деньги. Никто тебе их не восстановит. Хранить его в телефоне небезопасно, потому что телефон тоже могут украсть, его можно потерять, разбить, утопить... и данные пропали.
gagadget: Это уже получается четвертая бизнес модель. Нужно хранить пароль к нему и платить за хранение или как?
Олег Науменко: Это сервис с отдельными биткоин-кошельками. Учитывая отдельные приложения, сервисы, программы, биткоин-кошельки для криптовалют. Есть очень известные, есть менее известные. Это [будет] как приложение к ним. У них есть миллионы пользователей, которые хотят экстрабезопасность, и мы продаемся под их сервис. Там они уже платят какую-то часть и с нами делятся.
Одна из бизнес-моделей, которая в Enterprise-решениях – мы общались с одним, довольно таки большим заказчиком – вендером, с очень большим брендом. Они провели большое исследование среди своих Enterprise-клиентов во всем мире, опросили топ-200 своих клиентов и пришли к тому, что сама железка должна быть бесплатной. Там есть ряд сервисов, основных их пять, которые стоят какие-то monthly fee (месячную абонплату — примечание редакции). В итоге железка идет бесплатно каждому сотруднику, но компания платит за то, что сотрудники пользуются и управляются правами доступа какую-то денежку каждый месяц. Причем для Enterprise-решений есть вообще уникальная возможность. Когда ты — пользователь, как сотрудник, ты зачастую не знаешь какой у тебя пароль и как часто он меняется. Тебе может удаленно системный администратор со своего локального сервера менять, записывать пароли, давать права доступа, забирать права доступа и как угодно ими управлять. Как только ты потеряешь ключик, он сразу теряет связь с твоим телефном. Чтобы его разблокировать, нужно вернуться к телефону и отсканировать твои глаза.
gagadget: Но в любом случае, если даже удаленно это блокировать, нужно быть в радиусе действия Bluetooth?
Олег Науменко: Как только ты потерял связь со своим телефоном (телефон — персональное устройство, ты с ним ходишь постоянно), он блокируется и не работает. Для того, чтобы он заработал, нужно вернуться со своим телефоном и отсканировать с помощью фронтальной камеры свои глаза. Или даже если ты, допустим, потерял этот ключик, но не делал идентификацию по глазам — просто ты работаешь со своим компьютером, у тебя не подключен телефон. То [сделать] то же самое можно, как в случае с банковской карточкой, — удаленно зайти на сайт my.hideez.com и заблокировать свой ключ.
gagadget: То есть можно заблокировать ключ через веб-сервис?
Олег Науменко: Да через сервис My Hideez. Там есть только одна функция — заблокировать. Ты там привязываешь свои ключи к своему аккаунту, и удаленно можешь зайти и заблокировать. Мы не храним данные пользователя, мы не храним все пароли. Пароли хранятся только в устройстве. В случае с Enterprise-решениями администратор комании может сам сохранить в устройство пароли удаленно, но у нас нет этих данных. Максимум, что у нас есть, это идентификатор аккаунта пользователя: его e-mail, который он ввел первый раз в системе при регистрации и привязанный к нему ключ.
gagadget: У каждого ключа есть уникальный идентификатор?
Олег Науменко: Да есть Device ID, он уникальный, генерируется и прописывается еще на заводе.
gagadget: То есть теоретически его можно подделать?
Олег Науменко: Теоретически, наверное, можно все что угодно, дело только в цене вопроса. Мы недавно давали устройство на экспертизу и нам предложили сделать реинжиниринг, но цена вопроса 250 тысяч. Я подумал, что, наверное, пока мы не буем это проводить. Они готовы для нас сделать эксперимент, разобрать все по винтикам. Мы сейчас как раз занимаемся тем, что хотим дать на внешний аудит безопасности, но это без исходных кодов. Они как раз анализируют угрозы снаружи. Какие могут быть атаки, как можно подойти, взломать Bluetooth, взломать приложение, как можно что вытащить.
gagadget: А есть какие-то международные сертификаты безопасности в этой сфере?
Олег Науменко: Да, один из них это FIDO Alliance, у них есть сертификаты U2F и 2FA. Они дают эти сертификаты. Вот мы сейчас выполняем их требования — там порядка 70 разных тест-кейсов, которые мы должны пройти. Мы уже больше половины прошли. Например, это уровень сигнала Bluetooth, потерялся-заблокировался. Это именно модель использования и как это все должно работать. Они разработали все это дело для большинства подобных ключей –токенов, они USB-шные, которые вставил-вытащил.Вот буквально несколько месяцев назад был разработан стандарт уже именно для блютусных устройств. Но пока, насколько мне известно, ни одного блютусного токена нет.
Стандарты уже есть, а токенов, по крайней мере тех, которые прошли сертификацию, пока нет. Вот мы хотим быть одними из первых.
gagadget: Выходит, что проектов, аналогичных вашему в мире вообще не было?
Олег Науменко: Нет, смотрите, на самом деле есть очень много проектов — блютусных трекеров, которые позволяют охранять твои ключи. Ты ушел — он запищал, ты вернулся — он не пищит. Он не хранит никаких паролей, а просто трекает [что] ты поставил где-то вещь. Есть такое понятие как Nut, он у нас продается в Украине, есть Tile, даже еcть GPS-трекеры, в которых есть GPS-модуль. И ты даже можешь посмотреть где твоя вещь находится. Трекеров — да, есть очень много, но вот именно безопасных Bluetooth-ключей c шифрованием, с генерацией одноразовых паролей – пока мы таких не нашли.
Есть похожие проекты. Вот был похожий проект в Штатах, называется он Everykey. Они стартовали в 2014 году первый раз на Кикстартере. Второй раз в 2015 году на Indiegogo. Они два раза собрали свои деньги, небольшие, но собрали. Но до сих пор масс-продакшена нет. Я был один из первых, кто заказал у них устройство. Мне недавно, месяц назад, сообщили: «Мы уже начали производить устройство, но вы у нас, к сожалению, не в первой очереди, подождите».
gagadget: Это при том, что они уже две кампании по сбору денег провели?
Олег Науменко: Ну, да. У них очень известный фронтмен — Джон Макафи, который придумал в свое время антивирус McAfee, но потом он его его продал и сейчас не имеет к нему никакого отношения. Такой эпатажный товарищ — он даже хотел быть следующим президентом США. Это все очень непросто. Мы сами занимаемся этой штукой уже 2 года.
Оказалось, что в этом блютусе очень много подробностей и сейчас на многих этапах уде даже не мы консультируемся с заводом, который поставляет нам микросхемы, а наоборот уже мы им показываем, что можно сделать.
И таких много фишек. Вот допустим большинство программных менеджеров паролей — они работают с сайтами, когда мы вводим пароли на сайте, через плагины. Браузеров есть несколько, самый популярный, наверное, Chrome, потом Firefox, затем Opera, что-нибудь еще, но их много. Тем не менее, версии этих браузеров обновляются, эти плагины зачастую отваливаются и не работают. В нашем случае все работает без плагинов.
Мы нашли вариант как это реализовать не используя плагина. Вот, в частности, — как работать с компьютером без программного обеспечения. Мы просто сделали эмулятор HID-клавиатуры блютусной. То есть никакой программы нет — он подключается просто к Bluetooth как клавиатура, ты нажимаешь на кнопку — он вводит данные. Это просто, но оказалось такое еще не все могут делать и не все понимают такие возможности. Есть ограничения — Bluetooth работает на Android по-одному, на Windows по-другому, на Маке по-третьему, на iOS — по-четвертому. С этим надо разобраться, требует время, но мы это уже делаем сейчас.
gagadget: То есть вы взяли, по итогу, несколько интересных идей и объединили их в одну?
Олег Науменко: По сути, да. Мы объединяем существующие стандарты идентификации пользователей в одном устройстве. И делаем это максимально безопасно и удобно.
Вот есть еще тема «биочипы» — вживляют в руку такой микрочип. Маленькое зернышко, по сути тот же NFC-модуль, он очень маленький, однозадачный. Он тоже хранит один код и не очень большой, но ты можешь подходить и рукой проводить для идентификации и доступа в помещение. Но потенциально вот сейчас, в текущей жизни, далеко не все согласятся вживлять что-то себе в руку. Я не думаю, что так будет всегда, и мы придем к новому апгрейду человека, гибридному — фантасты давно об этом говорят. В конце концов животных уже сейчас чипируют в развитых странах — вшивают чип под холку, и они проходят идентификацию беспроводную. Но пока функция этого чипа очень ограничена. А поскольку стандартов много и замков много, то... В сериале «Шерлок» в третьем сезоне была серия про то, как Мориарти взломал лондонский Тауэр. Мориарти пришел и сказал: «Обладатель ключа в мире замков — король». То есть если у тебя есть один ключ от всего, то ты чувствуешь себя королем. У него там была программа на телефоне, он красивенько нажимал на кнопочку: «Открыть Тауэр» и он открывался. Но это больше шоу, чем какая-то конкретная технология.
Сейчас есть большое количество возможностей для взлома, поэтому обычному человеку нужно простое и понятное решение. Вот брелок — это понятная штука, потому что все привыкли носить ключи. И даже покупают специально отдельно брелок, чтобы он был с ключами. Это стандартный сценарий использования.
Hideez Key также можно использовать для открывания электронных замков на входе
gagadget: Но чтобы прийти к тому, чтобы открывать вашим ключом двери подъезда нужно еще много чего сделать. Это же нужно, чтобы система ОСББ это поддерживала или была стандартная процедура записи кода?
Олег Науменко: В моем случае все получилось очень просто. Есть понятие «мастер-ключ». Это отдельный такой брелок или карточка, которую, если поднести ее к замку, переводит его в режим программирования. После этого ты подносишь наш Hideez Key, он запоминает ключ и дальше сам открывает замок уже. Ничего больше делать не надо. Это самый простой вариант. Есть системы централизованного управления. Обычно в компаниях и бизнес-центрах все управляется удаленно, все замки объединены в единую систему.
gagadget: С бизнес-пользователями понятно, что именно так все и происходит. Но если рядовой покупатель пойдет в свой ЖЭК, то его же там пошлют куда подальше с такими запросами?
Олег Науменко: И у нас, и в развитых странах Европы есть такое понятие как «ключники». Люди, которые делают копии ключей. Они возле метро стоят или на больших площадях — маленькие ларечки, в которых делают дубликаты обычных ключей металлических. Они также сейчас научились копировать все эти брелочки и карточки. Вы можете прямо сейчас пойти к такому ключнику, дать ему свой брелок от подъезда, и он скопирует и все запишет в Hideez Key. Есть специальные программаторы, они по 5-10 долларов стоят. Очень простая штука в работе — две кнопки: считать и записать. А есть более сложные, которые на расстоянии 2-3 метров могут считать у тебя ключ в кармане.
gagadget: Есть ощущение, что вашему устройству просто напрашивается функция умного браслета, нет таких планов?
Олег Науменко: Нам многие говорят о том, что надо же фитнес [добавить]. Но, наверное, фитнес и безопасность — это разные вещи. Нужно делать что-то одно и делать это качественно. Но мы сделаем разные форм-факторы. Кто-то хочет носить брелок, кто-то — кулон, кто-то — браслет. Мы планируем, в конце концов (я ношу Apple Watch и вряд ли от них откажусь) сделать еще специальный переходник-ремешок под Apple Watch. Можно будет в ремешок вставить часы Apple, а снизу в нем поместится наш Hideez Key. Сейчас уже есть целая категория аксессуаров для Apple Watch — миллион сменных ремешков. Возможностей много, важно их не упустить и быстро-быстро двигаться.
Не помню кто сказал «Пришло время не когда большие поедают маленьких, а когда быстрые поедают медленных». Поэтому надо быть маленьким и быстрым.
gagadget: То есть в фитнес-браслеты вы точно идти не собираетесь?
Олег Науменко: Есть запрос, но пока нет. Скорее мы можем лицензировать наши библиотеки для существующих фитнес-браслетов, у которых есть необходимые [технические] требования по Bluetooth.
gagadget: Насколько сложно те же Xiaomi MiBand оснастить вашей функциональностью?
Олег Науменко: Несложно. Мы уже смотрели, это можно сделать. Может не все функции — там память ограничена, паролей будет не так много, может не будет генератора паролей, но какую-то часть функций сделать можно. Там радиус действия будет разный, но он не нужен тут большой. Мы специально даже занижаем мощность сигнала, управляем, чтобы работало вблизи, а не далеко.
gagadget: А что с сервисным обслуживанием? В Киеве есть?
Олег Науменко: Мы не будем ремонтировать устройства — мы их будем менять. Смысла [в ремонте] никакого нет — ремонт будет стоить дороже, чем замена. Особенно в Европе, в США. Мы подписали соглашение с дистрибютором, у них есть своя сервисная сеть. Они будут менять. Правда, пока еще не было ни одного обращения — может потому, что там не так много чему есть ломаться.
gagadget: Что делать, если человек живет не в Киеве и вообще не в Украине?
Олег Науменко: Мы просто отправляем новый Hideez Key. Он пишет нам письмо, говорит в чем проблема. Максимум — мы просим его сделать фотографию, в которой нужно показать, что оно не работает: его не видит смартфон, оно не пищит и так далее. Маленькое видео снять на телефон: нажал на кнопку, брелок не пиликает — все. Мы высылаем новый. Затраты на почту будут стоить дороже, чем его замена.
gagadget: А где в Украине можно обратиться за сервисным обслуживанием кроме Киева?
Олег Науменко: Список можно на сайте нашего партнера — компании «Микон Трейд» посмотреть. Ваши читатели могут ее знать по их торговой марке Globex.
Для тех, кто хочет знать больше
- Иван Пасечник, Ecoisme: «Надо просто поверить в свои силы»
- Дмитрий Сергеев: мы готовы делиться половиной своих доходов со своими пользователями
- Алексей Лазоренко, BlaBlaCar.com: «Совместное потребление накрывает нас как цунами»
- Андрей Клименко (aiia): Мы хотим построить компанию уровня Apple в сегменте сувенирной рекламной продукции
- Валерий Журавский (магазины Портатив): Beats показала, что можно продавать наушники дорого