Интервью с Иваном Квятковским | Блог Касперского

Интервью с Иваном Квятковским, старшим экспертом Kaspersky GReAT — Глобального центра исследования и анализа угроз.

Он живет в Клермон-Ферране, в самом центре Франции. Пишет фэнтези, иногда прыгает с парашютом и старается сделать каждый день своей жизни запоминающимся. А еще он — член команды Global Research and Analysis Team (GReAT). Это подразделение экспертов «Лаборатории Касперского» исследует целевые атаки и продвинутые вредоносные программы по всему миру, раскрывая деятельность таких хакерских групп, как Carbanak, Cozy Bear и Equation.

— Иван, твое имя сразу заставляет спросить: у тебя есть какие-то славянские корни?

— Более или менее. Имя унаследовано от моего деда с отцовской стороны. Фамилия «Квятковский» пришла из Польши, но самое смешное, что это не собственная фамилия деда: он был приемным ребенком, так что его реальное имя и происхождение неизвестны. То есть славянские корни определенно есть, но какие именно — уже не узнать.

— Ты анализируешь вредоносное ПО и хакерскую активность. Как можно получить такую профессию? Я сомневаюсь, что такие вещи были в списке курсов, когда ты учился в университете.

— Да, во времена моей молодости не было еще такого вузовского предмета, как кибербезопасность, не говоря уже о каких-то специальных курсах по анализу вредоносного ПО. Честно говоря, я вообще попал в эту сферу случайно.

В 2008 году я готовился получить диплом по программированию и планировал работать в области искусственного интеллекта. Перед поездкой в Ванкувер на стажировку мне нужно было расторгнуть договор на интернет-доступ, поскольку я не хотел оплачивать все то время, что буду за границей. Я связался с провайдером, объяснил ситуацию. Они сказали, что я должен прислать им письмо примерно за месяц до отъезда, и они обо всем позаботятся.

Так я и сделал, и буквально через пару дней обнаружил, что Интернет уже отключен. Никогда еще в истории интернет-провайдеров запрос пользователя не обрабатывался с такой скоростью! Но шутки шутками, а для студента-компьютерщика остаться на месяц без Интернета — немыслимая перспектива. Мой провайдер не мог восстановить доступ, или, что более вероятно, им просто не хотелось. Поэтому я стал изучать уязвимости Wi-Fi, чтобы подключиться к соседской точке доступа до отъезда.

В те времена все использовали протокол WEP, а он был очень дырявый. Вот таким образом я почувствовал вкус к компьютерной безопасности и сразу понял, что буду заниматься такими исследованиями и дальше. Ну а дальше простая логика: можно было заниматься исследованиями без разрешения, что в итоге могло привести к аресту, а можно было сделать из этого увлечения легальную профессию. Естественно, я выбрал второе.

Я почти сразу забросил искусственный интеллект и начал самостоятельно изучать информационную безопасность в дополнение к основной учебе. Когда я получил диплом, то уже мог найти работу в этой сфере — с тех пор я в ней и остаюсь.

— Забавно, у меня как раз следующий вопрос в списке был такой: а можно ли вообще стать исследователем безопасности, не будучи в душе хакером?

— Я бы сказал, что такая работа требует серьезной увлеченности и самоотдачи и обычно привлекает очень настойчивых людей. Это вполне характерные черты хакерского духа.

— А как ты оказался в «Лаборатории Касперского»?

— До этого я сотрудничал с небольшими компаниями, которые предоставляют ИБ-сервисы в Париже. Работа была неплохая, но я почувствовал, что хочется перейти на новый уровень, делать что-то по-настоящему значимое. Исследование киберугроз показалось мне именно такой работой.

Я выбрал «Лабораторию Касперского» в 2018 году, как раз после того, как на компанию обрушилась волна негатива в западных СМИ. Моя интуиция подсказывала, что если группа экспертов по безопасности сумела разозлить так много людей — значит, эти ребята делают правильное дело. Будучи теперь частью этой команды, могу подтвердить, что не ошибся.

— В тот год представители компании FireEye признались, что проявляют определенную избирательность при разглашении информации о вредоносном ПО: они не спешат публично рассказывать о найденном зловреде, если он был создан спецслужбами США. Это вполне понятная позиция для американской компании. Но ведь команда GReAT — международная, тут работают эксперты из России, из западных стран, из стран Азии… Как вы решаете такие вопросы, если они вообще возникают?

— Лично у меня нет каких-то специальных запретов на исследования вредоносного ПО, которое по происхождению может быть российским, или американским, или французским. Но даже если бы они у меня были, в нашей международной команде есть много других экспертов, которые с радостью займутся исследованием подобной угрозы. В этом смысле у нас нет никаких ограничений в отношении злоумышленников, которых мы можем выслеживать.

На более высоком уровне, на мой взгляд, необходимо четко разделять нападение и защиту. Иногда государственные службы имеют законные причины провести кибератаку — например, для борьбы с терроризмом. В других случаях это не так — например, если говорить об атаках с целью кражи интеллектуальной собственности. Но у нас, экспертов GReAT, нет достаточной квалификации для определения того, какие действия считать законными. Если бы мы выступали в роли арбитров, то погрязли бы в неразрешимых противоречиях.

По-моему, самое правильное отношение к этому вопросу выражается словами философа и правоведа Монтескьё: «Сила останавливает силу». Государственные спецслужбы могут применять силу, а мы как компания, занимающаяся защитой, обладаем силой для того, чтобы усложнить им жизнь. Благодаря нашей работе им приходится дважды подумать, прежде чем запустить атаку. Мы делаем их атаки дороже и таким образом ограничиваем применение этой силы во вред людям. Для меня такого объяснения вполне достаточно, чтобы расследовать любые операции в киберпространстве, без оглядки на их происхождение.

Я думаю, присутствие «Лаборатории Касперского» на рынке исследования угроз играет решающую роль, и ни в коем случае нельзя допустить, чтобы единственный вендор, не присоединившийся ни к какой стороне, был изгнан с рынка. Я надеюсь, все наладится, и мы продолжим выявлять APT, с какой бы стороны ни приходили кибератаки. Мы исследователи равных возможностей!

— Эксперты GReAT в марте провели вебинар, посвященный анализу кибератак на Украину: там упоминались HermeticWiper, WisperGate, Pandora… В то же время увеличилось и число атак на российские организации: вайперы, DDoS, прицельный фишинг. Однако мы не видели специальных публикаций GReAT об атаках на Россию. Почему?

— В основном это вопрос количества. Атак на Украину было много, они хорошо заметны, поскольку рассчитаны на деструктивный эффект: стирание данных, шифровальщики и тому подобное. Многие наши конкуренты тоже внимательно наблюдают за Украиной, в некоторых случаях они даже сотрудничают с нами, и это позволяет получить более точные данные о том, что происходит в этой стране. Что, в свою очередь, приводит к более активному освещению в СМИ.

Атаки на Россию тоже идут, но они менее заметны. Мы описали некоторые из них в наших отчетах для частных клиентов. И сейчас мы наблюдаем активность некоторых хакерских групп в этом регионе (в основном китайскоговорящих).

— Мы слышали заявления от имени Anonymous об атаках на российские сайты, и некоторые сайты действительно пострадали от дефейса. Ты веришь, что это то же самое движение Anonymous, которое было 15 лет назад?

— По-моему, Anonymous как «народное движение» закончилось много лет назад. Конечно, и сейчас есть настоящие хактивисты, которые могут называться этим именем. Однако не представляет сомнений, что время от времени APT-группировки используют этот «бренд» для прикрытия своих кибервоенных операций.

Я вообще считаю, что исследователям киберугроз не стоит верить в самоназвание хакерских групп. Если хочется определить, какая группа действительно устроила атаку, лучше сосредоточиться на технических особенностях этой атаки.

— Государственные службы некоторых европейских стран посоветовали своим гражданам отказаться от продуктов «Лаборатории Касперского». Но Франция как будто пытается быть нейтральной в этом вопросе. Это из-за выборов? Или у французского народа действительно какое-то другое отношение к конфликту на Украине?

— Я думаю, тут дело не в народе, а в государственных институтах. Французское национальное агентство по кибербезопасности, ANSSI, всегда старалось держаться нейтрально по большинству вопросов. В остальном же, как мне кажется, в отношении украинского конфликта Франция придерживается такой же позиции, как и остальная Европа.

— Каковы теперь отношения GReAT с остальным миром информационной безопасности? Говорят, некоторые ИБ-организации уже открещиваются от сотрудничества. Как это повлияет на вашу работу?

— Основная проблема связана с американскими компаниями, которые предоставляли нам некоторые полезные сервисы. Они либо собираются прекратить сотрудничество, либо уже ограничили нам доступ к своим инструментам. Это, конечно, ухудшает наши возможности при проведении исследований.

Что касается коллег по индустрии — да, некоторые перестали общаться с нами. Однако в большинстве случаев наши личные отношения с другими ИБ-экспертами не испортились.

В целом очевидно, что сокращение обмена информацией об угрозах сокращает способность всей индустрии выполнять свои задачи.

— А как эксперты GReAT общаются друг с другом? У вас бывают встречи в реале? Съезжаетесь в Москву, чтобы вместе выпить пива?

— Честно говоря, в последнее время с этим трудновато. В основном мы работаем удаленно, но в каждом регионе проводятся свои еженедельные встречи для координации работы. Когда я только начал работать в «Лаборатории Касперского», у нас была как минимум одна общая ежегодная встреча всей команды, а также конференция Security Analyst Summit, на которой тогда тоже собирались вживую. Но из-за ковида в последние пару лет собраться не получалось.

Раньше я регулярно ездил в Москву, чтобы пообщаться с российскими экспертами нашей команды. Но теперь непонятно, получится ли так делать и дальше. Надеюсь, мы все-таки найдем возможность видеться, поскольку эти встречи всегда были замечательными.

18.05.2022