Ivan Kwiatkowski: “Cybersecurity is een domein waar ik per ongeluk ben ingerold”

Maak kennis met Ivan Kwiatkowski, Senior Security Researcher bij Kaspersky’s Global Research and Analysis Team.

Ivan is woonwachtig in Clermont-Ferrand, midden in het hart van Frankrijk. Hij schrijft fantasy-romans, doet zo nu en dan aan skydiven en wil dat zijn leven elke dag weer gedenkwaardig is. Hij is tevens lid van het Global Research and Analysis Team (GReAT), Kaspersky’s groep van topdeskundigen die Carbanak, Cozy Bear, Equation en vele andere dreigingen en hun gesofisticeerde malware over de hele wereld hebben ontmaskerd.

– Ivan, als ik je naam zo zie, wil ik allereerst vragen: heb je Slavische roots?

– Min of meer. Mijn naam komt van mijn grootvader aan vaders kant. Het patroniem “Kwiatkowski” komt uit Polen, maar grappig genoeg was het niet eens van hem: hij was een geadopteerd kind en zijn “echte” naam is onbekend, evenals zijn herkomst. Dus hoewel er inderdaad ergens Slavische roots zijn, is hun precieze aard voor altijd verloren gegaan.

– Je onderzoekt malware en hackersgroepen. Hoe kom je in zo’n beroep terecht? Dat stond vast niet tussen de lijst met universitaire studies.

– Vroeger bestonden er geen curricula voor cybersecurity, laat staan lessen over malware-analyse en dergelijke. Cybersecurity is een domein waar ik per ongeluk ben ingerold.

Interview met Ivan Kwiatkowski

Rond 2008, toen ik computerwetenschappen studeerde, dacht ik dat ik op het gebied van kunstmatige intelligentie zou gaan werken. Ik stond op het punt om naar Vancouver te vertrekken voor een stage, en moest mijn internetabonnement opzeggen omdat ik niet wilde blijven betalen terwijl ik in het buitenland was. Ik nam contact op met mijn internetprovider en legde de situatie uit. Ze zeiden dat ik ze een brief moest sturen (dit was ongeveer een maand voor mijn vertrek), en dat zij alles vervolgens zouden regelen.

Dat deed ik dus, en een paar dagen later had ik geen internet meer. Nooit eerder in de geschiedenis van internetproviders was een verzoek van een klant zo efficiënt afgehandeld! Maar voor een student computerwetenschappen was een maand zonder internet onvoorstelbaar. Toch kon mijn provider de toegang niet herstellen. Of waarschijnlijk wilden ze dat gewoon niet. Dus ik ging me verdiepen in de beveiliging van wifi-netwerken om… tijdelijk toegang te verkrijgen tot het netwerk van mijn buren. Gewoon tot ik zou vertrekken, natuurlijk.

In die tijd was het encryptieprotocol dat iedereen gebruikte – WEP – erg onveilig. Maar nadat ik voor het eerst kennis had gemaakt met computerbeveiliging (liever gezegd: het gebrek daaraan), wist ik meteen dat ik nog jaren onderzoek zou blijven doen op dit gebied. En ik dacht dat het wellicht verstandiger was om er een carrière van te maken dan om in de toekomst gearresteerd te worden voor dit soort ongevraagd onderzoek.

Ik gaf de kunstmatige intelligentie bijna onmiddellijk op en begon mezelf in cybersecurity te verdiepen, naast mijn studie. Nadat ik mijn diploma had behaald, kon ik solliciteren naar een baan in dat vakgebied en ben ik er nooit meer weggegaan!

– Grappig dat je dat zegt, want de volgende vraag die ik op mijn lijstje had staan was: is het mogelijk om een beveiligingsonderzoeker te worden voor iemand die diep van binnen geen hacker is?

– Ik zou zeggen dat het een baan is die veel passie en toewijding vereist, wat meestal zeer volhardende mensen aantrekt. Dat is een eigenschap die bij hackers vaak echt ingebakken zit.

Interview met Ivan Kwiatkowski

– Hoe ben je bij Kaspersky terecht gekomen?

– Ik werkte voor kleine bedrijven die infosec-gerelateerde diensten leverden in Parijs. Het was interessant, maar ik had het gevoel dat ik een punt had bereikt waarop ik wilde dat mijn werk een verschil zou maken, en de overstap naar dreigingsinformatie leek me de juiste manier om dit te bereiken.

Ik koos in 2018 voor Kaspersky, vlak na de zeer intense negatieve mediacampagne die het bedrijf had doorstaan. Mijn intuïtie zei me dat een cyberverdedigingsteam dat zoveel mensen kwaad had weten te maken, iets goed moest doen. En nu ik deel uitmaak van dit team, kan ik bevestigen dat ik gelijk had!

– De mensen van FireEye hebben ooit gezegd dat ze discreet zijn bij het openbaar maken van malware: ze maken geen haast met het openbaar maken van malware als deze is gemaakt door een Amerikaanse overheidsinstantie. Voor een Amerikaans bedrijf is dat begrijpelijk. Maar hoe zit het met GreAT? Je hebt een internationaal team met onderzoekers uit Rusland, sommige uit het Westen, sommige uit Aziatische landen… eigenlijk van over de hele wereld. Hoe ga je met zulke kwesties om? Als die er al zijn.

– Ik heb er geen moeite mee onderzoek te doen naar malware van mogelijk Russische, Amerikaanse of Franse oorsprong. Maar zelfs als ik dat wel had gedaan, zijn er vele anderen in het internationale GReAT-team die zich graag met deze dreigingsactoren zouden bezighouden. In die zin zijn er geen grenzen aan welke aanvallers we kunnen opsporen.

Om nog wat dieper te gaan: ik denk dat er een duidelijke scheiding moet zijn tussen aanval en verdediging. Soms hebben natiestaten legitieme redenen om cyberaanvallen uit te voeren (bijvoorbeeld in de strijd tegen terrorisme), en soms ook niet (diefstal van intellectuele eigendom). Niemand van ons bij GReAT is gekwalificeerd om te bepalen welke operaties legitiem zijn. In die positie verkeren zou enorm veel dilemma’s met zich meebrengen en vreselijk moeilijk zijn.

Interview met Ivan Kwiatkowski

Deze kwestie kan het best worden beschreven in de woorden van de 18e-eeuwse filosoof Montesquieu: “macht stopt macht”. Staten oefenen hun macht uit, en wij als cyberdefensiebedrijf hebben de macht om hun leven moeilijker te maken. Sinds wij bestaan, moeten ze twee keer nadenken voor ze offensieve operaties beginnen. Doordat wij kosten opleggen, wordt hun macht in toom gehouden en kunnen ze niet worden misbruikt – althans niet in die mate. Dat is voor mij een voldoende reden om onderzoek te doen naar alle cyberactiviteiten – ongeacht hun oorsprong.

Ik denk dat het bestaan van Kaspersky op de markt voor bedreigingsinformatie van cruciaal belang is en dat de enige ongebonden leverancier in geen geval in het stof mag bijten. Ik hoop dat we ons hier allemaal doorheen slaan en blijven werken aan alle APT’s – ongeacht waar de aanvallen vandaan komen. Wij zijn onderzoekers met gelijke kansen!

– Het GreAT-team hield in maart een webinar, met daarin een analyse van de cyberaanvallen op Oekraïne: HermeticWiper, WisperGate, Pandora… Maar tegelijkertijd was er sprake van een golf van aanvallen gericht op Russische organisaties: wipers, DDoS, spear phishing. Toch zien we geen speciale publicaties van GReAT over die aanvallen. Waarom niet?

– Dat is veelal een kwestie van volume. De cyberaanvallen tegen Oekraïne waren enorm van omvang, en zeer zichtbaar doordat ze gericht waren op ontwrichtende effecten: vernietiging van gegevens, ransomware, enz. Veel van onze concurrenten hebben ook een goede zichtbaarheid in Oekraïne; soms werken ze zelfs samen, wat het mogelijk maakt zeer nauwkeurige gegevens te krijgen over wat er in het land gebeurt. Dit leidt tot aanzienlijke media-aandacht.

Sommige aanvallen zijn inderdaad tegen Rusland gericht, maar die krijgen minder aandacht. Wij hebben er een aantal behandeld in onze privé-verslaggeving. En wij volgen een aantal actoren (voornamelijk Chineestaligen) die op dit ogenblik in de regio actief zijn. Maar ik ben me niet bewust van enige serieuze destructieve activiteiten.

Interview met Ivan Kwiatkowski

– We hebben gehoord dat Anonymous beweert Russische websites te hebben beklad, en sommige sites zijn inderdaad beklad. Denkt u dat deze “Anonymous”-acties echt verband houden met de 15 jaar oude beweging?

– Oh, ik denk dat Anonymous al vele jaren geleden is opgehouden een echte beweging te zijn. Hoewel er nog steeds sprake kan zijn van echt hacktivisme onder die merknaam, staat het buiten kijf dat APT’s Anonymous ook hebben gebruikt om hun eigen informatie-oorlogsoperaties uit te voeren.

Als regel ben ik van mening dat onderzoekers nooit rekening moeten houden met zelfbeschuldiging, en zich louter moeten richten op technische elementen wanneer ze proberen te achterhalen welke groep verantwoordelijk zou kunnen zijn voor een aanval.

– Sommige Europese regeringen zeggen tegen hun burgers dat ze geen Kaspersky-producten meer zouden moeten gebruiken. Het lijkt er echter op dat Frankrijk probeert zo neutraal mogelijk te blijven. Komt dat door de verkiezingen? Of hebben mensen in Frankrijk echt een andere houding ten opzichte van het conflict in Oekraïne?

– Ik denk dat het minder over het Franse volk gaat dan over de instellingen van het land. Het ANSSI, de regelgevende instantie voor cyberbeveiliging, heeft er altijd naar gestreefd in de meeste aangelegenheden een neutrale positie in te nemen. Afgezien daarvan denk ik dat Frankrijk dezelfde perceptie heeft als de rest van Europa als het gaat om het conflict in Oekraïne. Geloof me, in het verkiezingsseizoen wil geen enkele politicus gezien worden als een sympathisant van Vladimir Poetin.

– Hoe zit het met de communicatie van GReAT met de rest van de infosec-wereld? Sommige organisaties verbreken de banden met Kaspersky. Hoe is dit van invloed op je werk?

– Het belangrijkste probleem voor ons is dat van Amerikaanse bedrijven die vroeger bepaalde diensten aan ons verleenden. Ze overwegen om de banden met ons te verbreken of hebben onze toegang tot hun tools al beperkt. Dit beïnvloedt ons vermogen om ons dagelijks onderzoek uit te voeren.

Wat de uitwisseling met branchegenoten betreft, ja, sommigen van hen zullen niet meer met ons praten. Hoewel voor het grootste deel de persoonlijke relaties die we hebben met andere onderzoekers onaangetast blijven.

Over het geheel genomen is het duidelijk dat minder informatie-uitwisseling ervoor zorgt dat de gehele sector minder efficiënt te werk kan gaan.

– Hoe communiceren de GReAT-experts met elkaar? Houden jullie regelmatig persoonlijke vergaderingen? Een reisje naar Moskou voor een pilsje met teamgenoten?

– Eerlijk gezegd, het is al een tijdje moeilijk. We zijn een volledig remote team, en de verschillende regio’s zullen hun eigen wekelijkse vergaderingen hebben om het werk te coördineren. Toen ik voor het eerst bij het bedrijf kwam, was er minstens één grote bijeenkomst per jaar, evenals de Security Analyst Summit, die vroeger in persoon plaatsvond. Maar door COVID hebben beide al een tijdje niet meer plaatsgevonden.

Vroeger ging ik ook regelmatig naar Moskou om wat tijd door te brengen met de Russische leden van het team, maar het is onduidelijk of dit nog steeds een optie is. Ik hoop dat we een manier vinden om elkaar te zien, want dat waren altijd geweldige reizen.

Tips