Привет всем! Это новый блог команды Privacy Accelerator, уникального проекта, который помогает прокачиваться стартапам в сфере приватности и доступа к информации. Мы организуем для таких команд менторскую и экспертную поддержку: проводим консультации по цифровому праву, делаем технический аудит, учим взаимодействовать с пользователями, продвигать продукт на российском и международном рынках. И все это бесплатно как для проектов коммерческой направленности, так и для общественно важных некоммерческих решений.
Первые резиденты Privacy Accelerator начали заниматься осенью 2020 года. И вот уже второй набор завершился. За три месяца прайваси-стартапы прошли путь от идеи до ранней версии продукта. Технические и бизнес-эксперты специально для читателей «Хабра» разобрали начинку проектов.
Checky
Команда представила сервис по повышению цифровой грамотности, обучающий пользователей распознавать фишинг. Происходит это по следующему плану: для клиента разрабатывают его личный сценарий обучения, имитирующий атаки, составляют индекс осведомлённости (грамотности), делают регулярные рассылки фишинговых писем на основе сценария и индекса, снова составляют индекс по полученным результатам и делают индивидуальные уроки. После прохождения уроков пользователю вновь приходят фишинговые письма, проверяющие на практике, как он усвоил материал.
«В зависимости от того, как человек реагировал на тестовые фишинговые письма, мы рекомендуем ему индивидуальное обучение. Предполагаем, что пользователю интересно и проверить свой уровень, и чему-то научиться», — говорит главный разработчик проекта Татьяна Стеблова. Она рассказывает, что учиться можно постоянно. Команда хочет сделать градацию уровней: например, если замечено, что клиент перестал реагировать на простые фишинговые письма, можно усложнить ему задания, правда, не забывая периодически проверять его и по предыдущим темам.
В идеале от клиента добиваются отсутствия реакции на фишинг. После обучения, по словам авторов проекта, 70% людей перестают попадаться на такие атаки.
Целевая аудитория — платёжеспособные жители крупных городов, активные пользователи интернета и онлайн-сервисов, которые рискуют стать жертвами киберпреступников. Примечательно, что команда сразу хочет работать на рынке США. В Европе, как считают авторы, слишком разнообразный рынок, чтобы пытаться его охватить, а у членов команды есть большой опыт работы с американским рынком, что является преимуществом. Что касается России, то здесь авторы проекта не видят спроса на свой продукт.
«В России, такое ощущение, нет потребности в подобном продукте. Возможно, её и в Штатах нет. Надо проверить гипотезу. Но интерфейсы в любом случае есть как на английском, так и русском», — заверяет Стеблова.
«Проект изначально вызвал у меня вопросы, в основном связанные с существованием потребности в нем и потенциального спроса на такого рода сервисы. Но после нескольких встреч и детальных обсуждений с командой стало понятно, что они хорошо знают рынок сервисов по обучению распознаванию фишинговых писем, понимают какие потребности бывают у потенциальных пользователей и могут оценить объем целевого рынка для такого проекта», — рассказывает Иван Михайлов, ментор по маркетингу и развитию бизнеса, CEO компании ADWIST.
По его словам, самым сложным в работе на акселераторе был выбор фокуса на b2b или b2c сегменте для проекта. «Остановились на b2c и, мне кажется, что сделали правильный выбор. Осталось подтвердить эту гипотезу кастдевом на целевом рынке в США и привлечь первых платящих пользователей оттуда», — добавляет ментор.
В таком фокусе будет заключаться и преимущество проекта перед конкурентами, которые ориентированы на бизнес. Кроме того, b2c легче и дешевле сделать, а также отследить все баги на первоначальном этапе, говорит Стеблова. Впрочем, b2b всё равно остаётся в планах.
Для проверки гипотез массового рынка выбраны Бостон, Нью-Йорк и Сан-Франциско.
Для монетизации представлены две подписочные модели. Первая - тарифы по доступному функционалу (6-15 долл. в месяц) и тарифы по количеству фишинговых писем за определённый период (тоже 6-15 долл. в месяц).
К финальному питчингу команда подготовила MVP: возможность зарегистрироваться, вариант подписок и опцию отправки писем. На тестирование требуется 15 тыс. долл. Privacy Accelerator привлекает средства частного инвестора в размере 5 тыс. долл. с условием, что команда найдет остальные необходимые средства самостоятельно.
Security Addon
Первая функциональная паническая кнопка для Android, как позиционируют её сам автор Алексей Захаров. Необходимость такого решения продемонстрировали массовые задержания людей на митингах в России и Беларуси, сопровождавшиеся преследованием активистов и журналистов. «Кнопка» представляет собой приложение по запуску на телефоне заданных действий при потере доступа к устройству. При наступлении определённых ситуаций на гаджете активируются процессы, такие как очистка или удаление приложений, шифровка файлов, отправка сигнального SMS заранее заданным контактам. Пользователь сам выбирает, что и в каких ситуациях делать. Причём более опытные пользователи могут значительно расширить возможности по выбору как доступных для реагирования ситуаций, так и действий, используя программы «таскеры». Например, «давно не был(а) в сети», «5 раз нажали на кнопку включения» и др.
Блог проекта https://habr.com/ru/company/huntmixapps/
К текущему моменту приложение поддерживает множество разных функций, которые могут быть полезны широкому кругу пользователей:
– симметричное шифрование/расшифровка файлов (как по запросу (вручную), так и в качестве реакции на событие);
– удаление приложений (из-за ограничений платформы, для «незаметного» удаления требуются root-права. Без них процесс удаления можно заметить);
– очистка данных приложений (из-за ограничений платформы, доступно только при наличии root-прав);
– отправка заранее заданных SOS-смс на заданные номера;
– реакция на попадание в указанную на карте заранее зону;
– поддержка выполнения команд (включая отсылку текущих координат) по SMS (антивор);
– создание «фальшивого» ярлыка (например, можно создать ярлык WhatsApp, при нажатии на который сначала активируются заданные действия, а потом запустится сам WhatsApp.
Самыми главными достоинствами проекта, по словам Вадима Мисбаха-Соловьёва, технического эксперта РосКомСвободы» является то, что в отличии от аналогов (хотя полных аналогов у него нет, т.к. всё представленное на «рынке» имеет лишь частично схожую функциональность), он:
1) абсолютно не следит за пользователями, т.е. не используются вообще никакие трекеры;
2) является полностью OpenSource: любой желающий может ознакомиться с кодом и убедиться в отсутствии слежки (а также, по желанию, помочь в разработке).
«Отсутствие трекеров — моя позиция. Приложение даже не подключается к интернету, какие тут могут быть трекеры? Сервис должен выполнять свои функции и больше ничего», — говорит автор проекта Алексей Захаров.
Из «минусов» проекта можно назвать то, что, из-за того, что он бОльшую часть времени своего развития развивался как «помощник» для гражданских активистов, на данный момент его интерфейс более ориентирован на представление об удобстве для людей, хорошо знакомых с техникой и компьютерами, нежели на представление об удобстве для широкой аудитории. Впрочем, работы в направлении создания интерфейса, который был бы удобен для широкой аудитории уже ведутся.
Аудитория —все пользователи в целом и журналисты, бизнесмены, активисты в частности
Kitty Cloud
Kitty Cloud предоставляет облачное хранилище с шифрованием содержимого на стороне «клиента» и возможностью хранения данных не только в облаке самих Kitty Cloud, но и подключения других сервисов облачного хранения данных как дополнительных «дисков» (Google.Drive, «Яндекс.Диск», Dropbox). Из-за особенности в виде шифрования на стороне «клиента» никто из компаний, предоставляющих место под хранение не сможет получить доступ к содержимому, хранящемуся в таком облаке. Причём клиентом может выступать как специальное приложение для ОС (Windows, Linux, MacOS X, iOS, Android), так и web-клиент (который можно запустить в любом браузере. Таким образом появляется возможность использовать сервис практически на любом устройстве.
«Серверная часть написана на PHP (для биллинга) и Golang (бэкенд облака). Проект использует MongoDB, Redis, частично - Docker. Все части системы готовы к масштабизации из коробки, рассказывает команда проекта.
«Бэкендом предоставляется удобный API, поверх которого собственно работает веб-версия. Так что для 100% уверенности в нашей честности можно даже написать свой клиент или интегрировать облако в свою систему», — рассказывает главный разработчик решения Борис Стельмах.
Для веб-версии используется Vue.JS с Quasar Framework. «В целом по возможности берутся лучшие практики самого фреймворка, но поскольку у нас тут безопасные облака и шифрование, всё, что связано с загрузкой файлов, мы написали самостоятельно. API позволяет каждому повторить такой же подвиг всем желающим», — делятся техническими деталями проекта разработчики.
Из минусов Вадим Мисбах-Соловьёв называет не полный OpenSource («для галочки»), при котором практикуется использование такой же модели как у Telegram: открытый клиент и закрытый частный сервер, принадлежащий компании-разработчику). Это несёт две угрозы:
1) затруднённое поднятие «полностью своего» облака, без какого либо участия компании-разработчика;
2) превращение в условную «тыкву» всего кода клиентов в случае закрытия компании-разработчика по каким-либо причинам (либо принятия ей решения об изменении протокола работы с сервером и прекращении выпуска opensource-клиентов).
«Нужно найти того самого пользователя, который сидит дома и думает, как же мне файл защитить», — говорит Стельмах.
От конкурентов его продукт отличается повышенной безопасностью, поскольку одни конкуренты, (Google.Drive, «Яндекс.Диск», Dropbox) не шифруют файлы, как это делает Kitty Cloud. Другие (Mega и NextCloud), которые хотя и используют шифрование, не имеют большого функционала (например, те же самые внешние диски). Кроме того, все эти сервисы, по словам Стельмаха, гораздо сложнее для обычного пользователя.
Проект рассчитан на журналистов, средний и малый бизнес, а также технических продвинутых пользователей, нуждающихся в повышенном уровне безопасности.
Планируемая на данный момент стартовая цена для пользователя — 8 руб./Гбайт в месяц.
KVIRIN DNT
Расширение для браузеров, которое будет препятствовать сбору сайтами уникальных цифровых профилей пользователей и защищать пользователей от перехода на вредоносные и фишинговые сайты. Его базовая версия будет предназначена для домашних пользователей и реализует защиту от так называемого фингерпринтинга (построения цифровых отпечатков браузера) и следящих cookie. В более продвинутой версии Kvirin DNT также будет уметь проверять страницы, на которые заходят пользователи, по базам Virustotal и Cisco Talos.
Преимущество Kvirin DNT перед конкурентами, по словам авторов проекта, будет заключаться в сочетании нескольких возможностей в одном флаконе: подмена канваса, юзерагента, фингерпринта. Как рассказывает CEO проекта Дмитрий Беляев, другие сервисы, может, и дешевле, но не реализуют концепции защиты. По его словам, очень многие из них попадали в скандалы с продажей cookies и обхода рекламы.
В рамках программы акселератора команда проекта работала над переработкой дизайна интерфейса продукта, менторы акселератора помогали переосмыслить концепцию продукта и проверить гипотезу. По мнению менторов программы, данный проект еще требует существенных доработок, поэтому нельзя говорить о его успешном выпуске из акселератора. Команде проекта на момент завершения программы не удалось выпустить продукт, его релиз ожидается только к концу 2021 года. В планах разработчиков — добавление дополнительного функционала, например, VPN, блокировщик рекламы и Javascript, а также поддержку чёрных и белых списков доменов.
Готовимся к третьему набору Privacy Accelerator
Новый набор Privacy Accelerator будет осенью 2021 года. Мы проанализировали, как шла работа в предыдущих сезонах, и сделаем ряд улучшений.
Во-первых, мы поделим всех участников на три потока с разной программой и специфическими KPI:
– коммерческие проекты, для которых в приоритете будет блок по развитию бизнеса, а также взаимодействие с клиентами, работа над удовлетворением их запросов, цифровому маркетингу;
– некоммерческие проекты, которые готовы развивать и продвигать свой продукт в качестве некоммерческой организации или объединения и предоставлять его на благо обществу;
– некоммерческая разработка, код которой пишется энтузиастами, не претендующими на создание собственной организации или долгосрочное развитие проекта, и который передается безвозмездно для всеобщего использования и требует создания коммьюнити вокруг разработки.
Коммерческие проекты, успешно завершившие трехмесячный курс, будут рекомендованы венчурным фондам, частным инвесторам и бизнес-ангелам для дальнейшего взаимодействия — уже есть соответствующие договоренности. Для некоммерческих решений мы, совместно с партнерами Privacy Accelerator, будем пытаться искать доноров. В любом случае — максимально позаботимся о всех достойных!
И в заключение!
Благодарим партнёров Privacy Accelerator, команду организаторов, менторов и наставников, работавших с командами, и, конечно же, сами команды за участие в программе! Последним желаем дальнейших успехов и развития!
Надолго не прощаемся! Следите за новостями!