Všechno to začalo v roce 2013, když jsme seděli s Tomášem Zaťkem v naší první “kanceláři”, pronajaté zasedací místnosti velikosti 3 x 5m2, na Lazaretské a brali se za firmu. Tou jsme fakticky ještě nebyli, ale už jsme toužebně očekávali ohlášení o registraci Citadelo s.r.o. Kávovar jsme neměli, ale měli jsme Senchu a “Matéčko”, které nám dodávali energii napsat zprávu pro klienta v OpenOffice, bez šablony.
Na pomoc s projekty nám přišel “Alino” (Marek Alakša) a navzdory fyzikálním zákonům se nám podařilo do kanceláře vměstnat třetí stůl. Rychle na to jsme usoudili, že když jsme teď ta „velká korporace“, zaslouží si Tomáš samostatnou kancelář, částečně i proto, že stále telefonoval a řešil byznys. A tak se nám uvolnilo místo pro další juniorskou posilu, kterou byl Martin “Momo” Orem. Poučeni minulostí, dostal vzhledem k prostoru dětský stolek z kuchyně, zákaz telefonování a motivační plakát. Teď, jako mnoho členný tým, jsme byli připraveni jít hacknout banku. Když jsme tam došli, posadili nás ve vývojářském open space k malému stolku s rozbitými židlemi a místo slíbeného testovacího iPhonu nám dali Windows phone. Tyto drobné technické obtíže nás v hackování nezastavili, ani tehdy a ani v dalším kole, kdy nás prozměnu posadili ke kávovaru na fit-bal. A tak jsme hackli první banku!
Rozrůstali jsme se a tak ponás naše HR Lucia chtěla neustále sepisovat technické otázky pro uchazeče, my jsme měli, jako technici, jiné plány. Zhodli jsme se, že nechceme teorii, ale praxi a hlavně aby to za nás odvedl počítač a tak v roce 2014 vzniklo naše první CTF (Catch the Flag). Nethemba byla naše velká konkurence, proto jsme s nimi chodili na pivo, Záviděli jsme jim, že nemusí dělat státní projekty, protože my z počátku museli. Pro imitaci firemní kultury jsme na komunikaci oficialně používali Jabber OTR, ale interně SILCi. Taky jsme dostali nápad, že bysme měli sdílet, co nám v kanceláři hraje za hudbu, aby vývojáři u zákazníka s námi mohli lépe prožívat testování jejich aplikací. A tak jsme založili naše last.fm
Ani projektový management při naší velikosti „nadnárodní korporace“ už nebyl jednoduchý, tak jsme si projekty museli značit na nástěnou tabuli. Ale abysme měli aspoň nějaký projektový management a nemuseli mezi hackováním telefonovat a mailovat, přizvali jsme si v roce 2015 Marka Patáka. Tvrdil nám, že je Princ 2, nejprve nám tabuli přepsal do excellu, pak nám místo metalu pouštěl Depeche Mode a nakonec nás začal bít palicí po hlavě kvůli termínům.
Martin Leskovjan nám zatím z Prahy přinesl 2 černé kufry jak z akčních filmů, ve kterých byli InteliGen NT kontrolery (řídicí jednotky pro zajištění bezpečného monitoringu kritické infrastruktury) z ComAp-u se slovami “Je to síce zdarma, ale chtěli by vidět, co všechno byste s tím uměli udělat.” Jako, jak bysme to zvládli vyhackovat. A potom nás s Alinem zavřel na měsíc do malé černé zasedačky. No udělali jsme jim s tím doslova všechno. Napsat report nám pak trvalo týden a klientovi přečíst ještě déle. A od té doby se s námi kamarádí.
Jak se na „korporace“ našeho rozsahu patřilo, vypravili jsme se na nějaké ty konference. Nejprve na Zero Nights do Moskvy, kde nám na fotku kývl Alexander “Solar Designer” Peslyak. A pak pro velký úspěch jsme šli ještě na konci roku i na OWASP Amsterdam, kde jsme se při fotbálku potkali s Nicolas Grégoire.
V roce 2016 přišel Leskič s tím nejlepším demem, který jsme kdy měli - s vyhackovanou přehradou. Malý plastový panáčci následně nespočetněkrát položili své životy pro zvýšení bezpečnostního povědomí na oborových konferencích a pomohli nám tak otevřít dveře do white hackingu energetického průmyslu.
Když zákazníci v létě dovolenkovali a nebylo tedy tolik práce, jezdili jsme se vzdělávat do Krakowa na Confidence. Hlavně grilovat na pláž a socializovat se, například jako s lidmi z Akami, kteří nám demonstrovali neuvěřitelné schopnosti a hledání správné cesty (domů) bez ohledu na stav (intoxikaci) systému a ještě při tom vyprávěli o novinkách v draftě pro TLS. Tydle události v nás vzbudili myšlenku vlastní akce a tak jsme založili Citadelo Security Evening (CSE). Už na prvním eveningu lidé tleskali našim přednáškám ve stoje, pravděpodobně proto, že nebylo dostatek židliček v zasadačce…následně nám pak, z bratrské solidarity, pomáhali až do rána dopíjet rum a whisky.
Protože charakteristickým znakem „velké korporace“ je, že není čas stíhat věci, které je třeba udělat, přišel Tomáš s nápadem zavést 4DX. Přišlo nám zvláštní dělat víc, když není čas, ale fungovalo to. Byly sepsány procesy, zlepšily se odhady a ještě zbyl čas na FROG. Na konci roku byl “téměř dokonalý”.
A když už Leskič nechtěl ve 2017 jezdit pořád do Bratislavy a my jsme zase chtěli jezdit do Paralelní Polis na kafe za LTC, udělali jsme si Citadelo CZ. Na pomoc jsme přizvali Romana Rossu, aby Martin neseděl v Praze tak sám. Naše expanze tak nabyla strategický charakter. A Jako v každé slušné korporaci jsme znovu otevřeli myšlenku firemních triček. Zelená polo trička se neujala, tak jsme opět skončili u mikin. A abychom měli nové mikiny komu předvést a také abychom se naučili nové triky s Burpsuitem, zavolali jsme Nicolase Grégoira na školení. Byly to super dva dny plné hackování míchaných nápojů.
Od té doby uběhl už nějaký čas a náš tým se znásobil. Máme pentest roomy plné expertních hackerů, vznikla klasická oddělení jako sales, marketing, HR. Dokonce máme i Country Managery, vhledem k lokacím v Praze, Bratislavě i Zugu. Získali jsme i talentované Švýcarské investory a z malých meetingových “kanceláří” jsme vyrostli do právoplatných kanceláří. To nejdůležitější ale je, že jsme dokázali získat důvěru klientů nejen u nás ale i po světě. Vyrostli jsme ve zkušenného a stabilního partnera našim zákazníkům přesně tak, jak jsme si v meetingovce 3 x 5m2 na Lazaretské, představovali. A už máme i kávovar.
