Diga olá ao Aren, fundador e CEO da Foxpass!
Aren é um antigo viajante apaixonado por viagens e por saltar de país em país, que se tornou um homem de família, com uma vasta experiência em cargos de engenharia de alto nível, como Vice President of Operations na Bebo, CTO na Third Ave Labs e Director of Engineering na Oodle.
Junte-se a nós para uma conversa com Aren, enquanto lhe pedimos todas as suas perspetivas sobre a segurança de rede, construir uma empresa e tudo o que deve saber sobre Foxpass:
Entrevista com Aren
Começamos com um pouco de contexto sobre si?
Sou o Aren, o fundador da Foxpass. Faço isto há cerca de 4 anos.
Antes disto, fui Diretor de Operações Técnicas e TI na Pinterest e, antes disso, trabalhei na Beebo, Oodle e Danger (eles fizeram o T-Mobile Sidekick, se se lembra desse telemóvel).
E, antes disso, estive em Stanford para tirar um mestrado e uma licenciatura em Ciência da Computação.
Então, como começaste a programar?
A minha mãe trouxe para casa um dos Apple IICs do escritório, um dos primeiros computadores portáteis, e dei por mim a tentar usá-lo todos os fins de semana, aprendendo o máximo que podia sobre ele.
Acabei por aprender um pouco de Applesoft BASIC e, a partir daí, consegui criar programas bastante simples.
Quando tivemos o computador seguinte, peguei num livro sobre C, aprendi como aquilo funcionava e a partir daí foi sempre em frente.
Uau. Então, aprendeu sozinho e também foi à escola?
Sim. Exato.
A maior parte da programação que aprendi antes da escola foi toda autodidata; depois, em Stanford, tirei um curso de informática e fiz lá todas as disciplinas de CS.
Em termos das aplicações que criou, qual é a de que menos gosta? Já fez algum projeto paralelo de que não se lembra por que razão o fez?
Acho que as minhas memórias, pelo menos de programação, são todas de projetos escolares.
Os que faço por diversão são todos ótimos, mesmo que não resultem, porque pelo menos aprendi alguma coisa ou pude experimentar.
As da escola foram mesmo difíceis porque há pressão de tempo e é tudo matéria nova. Não se tem exatamente a certeza do que supostamente devem fazer nem de como supostamente devem parecer, por isso alguns dos meus momentos menos favoritos a programar são, sem dúvida, da escola, como as noites até tarde no laboratório de informática a bater com a cabeça no teclado.
Fale-me de um evento em qualquer uma das empresas onde trabalhou em que tenha visto um desastre completo. Já teve um momento assim?
Não me lembro de nenhuma que tenha [durado] 10 horas, mas certamente houve momentos de terror em que algo bastante mau estava prestes a acontecer.
Acho que tive bastante sorte, no sentido em que os incidentes prolongados resultaram apenas em duas, três ou quatro horas de degradação ou indisponibilidade.
Mas há sempre momentos em que pensa que planeou tudo, e surge sempre mais alguma coisa.
A Lei de Murphy, suponho. Tive-os em todas as empresas.
Como entrou na área da segurança de servidores e redes?
É algo que tive de aprender em praticamente todas as funções, desde a Oodle em diante.
Ou não havia ninguém nessa função, ou essa pessoa tinha saído da empresa, e isso precisava de alguma atenção.
Especialmente na Pinterest, algo comum em muitas empresas novas, eram todos programadores de aplicações, e a segurança não era tão importante até começar a integrar muitas pessoas novas.
É aí que o controlo de acesso e a identidade se tornam realmente importantes, porque está a integrar todas estas novas pessoas.
Quer colocá-los imediatamente nos servidores, para que possam ser produtivos o mais rapidamente possível. É ótimo para o moral durante a integração. Mas, ao mesmo tempo, é preciso ter cuidado com quem pode fazer o quê.
É importante conseguir responder rapidamente, tanto no caso de onboarding como no caso de off-boarding.
Qual é um grande erro de segurança que costuma ver nas equipas de engenharia?
Penso que o maior erro de segurança é partilhar credenciais. É mesmo fácil.
“Olá, há alguns novos engenheiros na equipa. Veja como iniciar sessão nos servidores, seja com o nome de utilizador e a palavra-passe que todos usam, ou partilhando com eles a chave privada que foi configurada no servidor quando este foi criado.”
Esses são os maiores e piores erros que vejo.
A partir daí, talvez cada um tenha a sua própria chave SSH, mas todos partilham o mesmo utilizador. Não é péssimo, mas ainda não é a melhor prática.
Digamos que toda a gente estava a fazer todas essas coisas — descreva os resultados. O que poderia correr mal?
Acho que o pior cenário possível é: simplesmente não estar a proteger a empresa.
Se alguém sai da empresa ou é despedido e fica com ressentimento, se não forem imediatamente alteradas todas essas credenciais partilhadas, essa pessoa entra nos seus servidores, apaga tudo e causa-lhe muitos problemas.
Esse é o pior cenário, mas o trabalho de uma empresa é proteger-se.
É por isso que a empresa só precisa de pensar nestas situações e em como se proteger. Esse é obviamente o pior cenário; raramente acontece, mas se acontecer, é catastrófico.
Como explicaria o Foxpass ao mundo? Qual é a sua funcionalidade favorita que desenvolveu a partir do Foxpass?
Basicamente, queremos dar a cada pessoa o seu próprio nome de utilizador e palavra-passe, ou as suas próprias credenciais, para tudo na sua infraestrutura. Acabaram-se as palavras-passe do Wi‑Fi partilhadas no quadro branco. Chega de nomes de utilizador partilhados ou chaves SSH nos seus servidores Linux. Cada pessoa tem as suas próprias credenciais.
Agora que todos têm as suas próprias credenciais, é altura de passar para o controlo de acesso:
“Esta pessoa só pode aceder a estes servidores, que são uma lista separada da do Bob ali. " Só pode aceder a um conjunto diferente de servidores e, nesses servidores, as suas funcionalidades são limitadas.”
Não é tudo ou nada para toda a infraestrutura. Nem sequer é tudo ou nada para um determinado servidor ou conjunto de servidores. Cada pessoa tem um acesso granular, especificamente adaptado às suas necessidades.
Depois, além disso, pode conceder acesso temporário.
Concede permissão a alguém num conjunto de máquinas com uma data de fim (como uma data e hora) ou um evento de fim.
Por exemplo, o exemplo que gosto de dar é: quando tem uma semana de prevenção, então terá pseudo-permissões em todo o lado onde precisar delas. Mas, quando o seu turno de prevenção termina, perde essas permissões.
Pode voltar a obtê-las com bastante facilidade se pedir a quem estiver de prevenção, mas deixa simplesmente de as ter até voltar a estar de prevenção ou as pedir. Dessa forma, se o seu portátil for roubado, a empresa não tem de se preocupar com o facto de as suas chaves estarem nesse portátil.
Têm permissões completas para tudo e há uma área de serviço muito maior que temos de cobrir para garantir que não existam violações.
Criou a Foxpass a partir de um problema que identificou na Pinterest. Se pudesse voltar atrás no tempo e fazer algo de forma diferente, há alguma coisa que mudaria na Foxpass? Ou talvez erros que cometeu no início como fundador?
Claro, muitos erros. Quero dizer, a minha formação é em engenharia, não em criar empresas. Por isso, quando olho para trás, tudo o que gostaria de ter feito de forma diferente está relacionado com fazer o negócio crescer mais depressa.
Acho que fizemos um excelente trabalho ao proporcionar a todos os nossos primeiros clientes uma experiência realmente boa, mas há coisas que provavelmente poderíamos ter feito para encontrar mais clientes como esses logo desde o início.
Qual é a coisa aleatória favorita que um cliente lhe disse?
Acho que as melhores citações que recebo são algo como: “Uau, andava à procura disto há uma eternidade.”
São aqueles momentos em que sei que encontrei as pessoas a quem estou a tentar vender e que o produto que criámos é exatamente aquilo que procuram, tal como era exatamente aquilo que eu procurava em empregos anteriores.
O que gosta de fazer para se divertir?
Eu costumava gostar de viajar. É difícil fazer isso agora com dois filhos e uma startup.
Agora podem encontrar-me no parque com os miúdos de que falei ou, quando eles estão a dormir a sesta, estarei a trabalhar na minha casa, que é uma das minhas paixões.
Qual foi o sítio mais fixe para onde já viajaste?
Lugar favorito para onde viajei...
Bem, em 2009, fiz uma viagem à volta do mundo. Foram apenas três meses, mas pude ver partes do mundo que eram simplesmente incríveis para mim.
A maior parte da Ásia foi incrível. Sudeste Asiático, Índia — simplesmente países lindíssimos e pessoas maravilhosas. Essa foi provavelmente a minha parte favorita dessa viagem.
É tão difícil chegar a esses lugares que fico contente por ter tido mais tempo para os ver.
Há imensas pessoas a criar empresas e a desenvolver produtos realmente excelentes. Alguns podem não estar a desenvolvê-los com a segurança em mente desde o início. Se tivesse algum conselho para dar aos fundadores dessas startups, qual acha que seria?
“Comece com a segurança mais cedo do que pensa que poderá precisar.”
Primeiro, é importante garantir que tem um produto que as pessoas querem comprar.
Se não tiver clientes, não há nada para proteger. Mas, assim que começar a ganhar tração, comece a pensar na sua postura de segurança.
Penso que os clientes estão cada vez mais informados hoje em dia e vão fazer estas perguntas mais cedo do que faziam antes.
“Qual é a sua estratégia de controlo de acesso? Tem princípios do menor privilégio?"
Pense nestas coisas mais cedo, para não andar à pressa quando começarem a fazer estas perguntas.
Reforce a sua segurança
Está pronto para proteger a sua rede e manter a sua empresa segura? Clique aqui para saber como o Foxpass pode ajudar a evitar erros de segurança dispendiosos!
