Ivan Kwiatkowski: “la sicurezza informatica è un settore in cui sono finito per caso”.

Oggi incontriamo Ivan Kwiatkowski, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

Ivan vive a Clermont-Ferrand, nella Francia centrale. Scrive romanzi fantasy, fa paracadutismo saltuariamente e cerca di fare in modo che la sua vita sia memorabile ogni giorno. Inoltre, è un membro del Global Research and Analysis Team (GReAT), il gruppo di esperti di Kaspersky che ha scoperto Carbanak, Cozy Bear, Equation e molte altre minacce e malware sofisticati.

– Ivan, leggendo il tuo nome non ho potuto fare a meno di iniziare con questa domanda: hai radici slave?

– Più o meno. Il mio nome l’ho ereditato da mio nonno da parte di padre. Il patronimo “Kwiatkowski” proviene dalla Polonia, ma curiosamente non era nemmeno suo: mio nonno è stato adottato e il suo “vero” nome è sconosciuto, così come la sua origine. Quindi, anche se avessi per davvero radici slave, l’origine precisa è sconosciuta.

– Tu ti occupi di malware e hacker. Come si può accedere a una professione del genere? Dubito che fosse prevista nei corsi universitari.

– All’epoca non esistevano programmi di studio nel campo della cybersecurity, né tanto meno corsi sull’analisi dei malware o cose del genere. La sicurezza informatica è un settore in cui sono finito per caso.

Intervista ad Ivan Kwiatkowski

Intorno al 2008, quando studiavo per laurearmi in informatica, la mia idea era quella di lavorare nel campo dell’intelligenza artificiale. Stavo per partire per Vancouver per uno stage e ho dovuto interrompere il mio abbonamento a Internet perché non volevo continuare a pagare mentre ero all’estero. Ho contattato il mio fornitore di servizi Internet e ho spiegato loro la situazione. Mi hanno detto di inviare una lettera (questo circa un mese prima della mia partenza) e si sarebbero occupati di tutto.

Così ho fatto, e solo pochi giorni dopo non avevo più accesso a Internet. Nella storia dei fornitori di servizi Internet, non si è mai visto gestire in modo così efficiente una richiesta di un cliente! Ma per uno studente di informatica, passare un mese senza internet era inimmaginabile. Tuttavia, il mio fornitore non era in grado di ripristinare l’accesso, o per essere più esatti, non voleva farlo. Così ho iniziato a informarmi sulla sicurezza del Wi-Fi per… dirottare temporaneamente l’accesso a Internet di un vicino ed usarlo fino alla mia partenza.

All’epoca, il protocollo di crittografia utilizzato da tutti, il WEP, era molto insicuro. Quindi dopo essermi immerso per la prima volta nel campo della sicurezza informatica (o meglio, della sua mancanza), ho capito subito che, per gli anni a venire, avrei continuato fare ricerche in questo campo. E mi sembrava più ragionevole farne una carriera piuttosto che essere arrestato per aver svolto ricerche non richieste.

Ho abbandonato quasi subito l’intelligenza artificiale e ho iniziato a studiare cybersecurity per conto mio, oltre a quello che stavo già studiando. E dopo aver conseguito la laurea, ho potuto fare domanda per un lavoro in questo campo, e da allora non ho più smesso di lavorarci!

– È buffo che tu lo dica visto che la domanda successiva che avevo preparato era: è possibile essere ricercatore nel campo della sicurezza informatica non si ha l’anima dell’hacker?

– Direi che è un lavoro che richiede molta passione e dedizione, e che di solito attrae persone molto tenaci. Una caratteristica posseduta generalmente dagli hacker.

Intervista a Ivan Kwiatkowski

– Come sei approdato a Kaspersky?

– Ho lavorato per piccole aziende che forniscono servizi di sicurezza informatica a Parigi. Era interessante, ma sentivo di aver raggiunto un punto in cui volevo che il mio lavoro facesse la differenza, e passare all’intelligence delle minacce mi sembrava il modo giusto per raggiungere questo obiettivo.

Ho scelto Kaspersky nel 2018, subito dopo l’intensa campagna mediatica negativa che l’azienda stava vivendo. Il mio intuito mi diceva che un cyber-defense team che era riuscito a far arrabbiare così tante persone stava sicuramente facendo qualcosa di giusto. Ed essendo ora parte di questo team, posso confermare che avevo ragione!

– Qualche tempo fa i responsabili di FireEye hanno dichiarato di essere discreti quando si tratta di divulgare pubblicamente un malware: non si affrettano a segnalare pubblicamente un malware se è stato creato da un’agenzia governativa statunitense. Per un’azienda americana, è una posizione comprensibile. Tuttavia, che dire del GReAT? Il vostro team è internazionale, con alcuni ricercatori provenienti dalla Russia, mentre altri sono occidentali e altri ancora asiatici, insomma da numerosi paesi. Come risolvete questi problemi, se mai ne avete avuti?

– Non ho particolari timori nel fare ricerca sui malware con una possibile origine russa, americana o francese. Ma anche se li avessi, ci sono molti altri colleghi nel team internazionale di GReAT che lavorerebbero volentieri su queste minacce. In questo senso, non ci sono limiti nei confronti degli hacker.

Per andare un po’ più a fondo in merito a questa questione, credo che dovrebbe esserci una netta separazione tra attacco e difesa. A volte gli stati nazionali potrebbero avere ragioni legittime per condurre attacchi informatici (ad esempio, nella lotta al terrorismo), altre volte no (furto di proprietà intellettuale). Nessuno di noi del GReAT è qualificato per stabilire quali operazioni siano legittime e quali no. Trovarci in questa posizione ci metterebbe in un mare di problemi e dilemmi.

Intervista a Ivan Kwiatkowski

Credo che il modo giusto di vedere la questione sia quello di citare il filosofo del XVIII secolo Montesquieu: “il potere ferma il potere”. Gli stati esercitano il loro potere e noi, come azienda di cyber-difesa, abbiamo il potere di rendere loro la vita più difficile. Dal momento che esistiamo, devono pensarci due volte prima di lanciare operazioni offensive. Dato che le nostre azioni hanno un impatto, il loro potere è tenuto sotto controllo e non può essere mal utilizzato, o almeno non così tanto. Questa è una ragione sufficiente per giustificare la necessità di fare ricerca e analizzare tutte le attività informatiche, indipendentemente dalla loro origine.

Ritengo che l’esistenza di Kaspersky nel mercato della threat intelligence sia cruciale e che non si debba permettere in nessun caso che l’unico fornitore non allineato muoia di fame. Spero che tutti noi supereremo questa situazione e continueremo a lavorare su tutte le APT, indipendentemente dalla provenienza degli attacchi. Siamo ricercatori dalle pari opportunità!

– A marzo, il team di GReAT ha organizzato un webinar in cui si presentava un’analisi degli attacchi informatici contro l’Ucraina: HermeticWiper, WisperGate, Pandora… Ma allo stesso tempo c’è stata un’ondata di attacchi rivolti alle organizzazioni russe: wipers, DDoS, spear phishing. Eppure non abbiamo visto alcuna pubblicazione speciale da parte del GReAT su questi attacchi. Perché?

– Si tratta principalmente di una questione di volume. Gli attacchi informatici contro l’Ucraina sono stati massicci e molto visibili perché miravano a ottenere effetti dirompenti: distruzione di dati, ransomware, ecc. Anche molti dei nostri competitor hanno una buona visibilità in Ucraina; a volte addirittura collaborano, il che consente di ottenere dati molto precisi su ciò che accade nel paese. Questo porta a una significativa copertura mediatica.

Alcuni attacchi sono effettivamente rivolti contro la Russia, ma ricevono meno attenzione. Ne abbiamo trattati alcuni nei nostri report e attualmente stiamo seguendo una serie di soggetti (principalmente di lingua cinese) attivi nella regione in questo momento. Non sono però a conoscenza di attività che possano portare a seri problemi.

Intervista a Ivan Kwiatkowski

– Abbiamo sentito che Anonymous ha affermato di aver deturpato siti web russi, e alcuni siti sono stati effettivamente deturpati. Credi che queste azioni realizzate da “Anonymous” siano legate al movimento di 15 anni fa?

– Credo che Anonymous abbia smesso di essere un vero e proprio movimento molti anni fa. Sebbene possa esistere ancora un certo “hacktivismo” che utilizza questo marchio, è indiscutibile che le APT abbiano utilizzato questo nome per intraprendere le proprie operazioni di guerra informatica.

Di norma, credo che quando i ricercatori cercano di capire quale gruppo possa essere responsabile di un attacco, questi non dovrebbero mai prendere in considerazione l’auto-attribuzione ma concentrarsi esclusivamente sugli elementi tecnici.

– Alcuni governi europei consigliano ai loro cittadini di sbarazzarsi dei prodotti Kaspersky. Sembra però che la Francia stia cercando di essere il più neutrale possibile. È a causa delle elezioni? Oppure la gente in Francia ha davvero un atteggiamento diverso nei confronti del conflitto in Ucraina?

– Penso che non si tratti tanto del popolo francese quanto delle istituzioni del Paese. L’ANSSI, l’agenzia nazionale francese per la sicurezza dei sistemi informativi, ha sempre cercato di mantenere una posizione neutrale nella maggior parte delle questioni. Al di là di questo, credo che la Francia condivida la stessa percezione del resto d’Europa nei confronti del conflitto ucraino. Credetemi, durante il periodo elettorale nessun politico vuole essere percepito come un simpatizzante di Vladimir Putin.

– Com’è la comunicazione del Team GReAT con il resto del mondo nel campo dell’infosec? Alcune organizzazioni stanno tagliando i ponti con Kaspersky. Come influirà tutto questo sul vostro lavoro?

– Il problema principale per noi riguarda le aziende statunitensi che ci fornivano alcuni servizi. Stanno pensando di tagliare i ponti con noi o hanno già limitato il nostro accesso ai loro strumenti. Questo influisce sulla nostra capacità di condurre le nostre ricerche quotidiane.

Per quanto riguarda le comunicazioni con i colleghi del settore, sì, alcuni di loro hanno smesso di parlarci. Per fortuna però la maggior parte dei rapporti personali che abbiamo con molti altri ricercatori non si è vista intaccata.

Nel complesso, è chiaro che un minore scambio di informazioni riduce la capacità dell’intero settore di svolgere bene il proprio lavoro.

– Come comunicano tra loro gli esperti del team GReAT? Avete incontri regolari nella vita reale? Vi recate a Mosca per una birra con i colleghi?

– Onestamente, le cose ultimamente sono state difficili. Siamo un team che lavora completamente a distanza e le varie regioni hanno le loro riunioni settimanali per coordinare il lavoro. Quando sono entrato in azienda c’era almeno un grande incontro all’anno, oltre al Security Analyst Summit, che era presenziale. Tuttavia, a causa della pandemia, è un po’ che non si organizzano nessuno di questi eventi.

Inoltre, mi recavo regolarmente a Mosca per trascorrere un po’ di tempo con i colleghi russi del team, ma non mi è chiaro se potrò continuare a farlo. Spero che troveremo un modo per vederci, perché sono sempre stati viaggi fantastici.

Consigli