روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ایوان ساکن کلرمون-فران (شهری واقع در مرکز) فرانسه است. او رمان‌های فانتزی می‌نویسد، گاهاً چتربازی می‌کند و دوست دارد هر روز زندگی‌اش را خاطره‌سازی کند. همچنین عضو تیم GReAT[1] نیز هست؛ گروهی متشکل از برترین متخصصینی که توانستند Carbanak، Cozy Bear، Equation و چندین عامل تهدید دیگر و نیز بدافزار پیچیده‌شان را که در سراسر جهان توزیع شده بود کشف کنند. امروز خوشحالیم که وقت خود را برای مصاحبه به ما داده است. با ما همراه بمانید.

-         ایوان وقتی اسمت را نگاه کردم اولین سوالی که برایم پیش آمد این بود که: آیا ریشه اسلاوی داری؟

-         تا حدودی. اسم من از طرف پدری برایم به ارث گذاشته شد (نام پدربزرگم است). کوئاتکوفسکی ریشه لهستانی دارد اما جالب است بدانید این اسم حتی متعلق به پدربزرگم هم نیست؛ اسم فرزندی به حضانت‌گرفته شده است که اسم واقعی خودش حتی معلوم نیست (درست مانند ریشه و اصل و نسبش). بنابراین شاید ریشه اسلاوی در آن باشد اما ماهیت دقیق این اسم همیشه یک راز باقی خواهد ماند!

-         تو بدافزارها و گروه‌های هکری را کشف می‌کنی. چطور وارد چنین حرفه‌ای شدی؟ شک دارم در دانشگاه چنین رشته دانشگاهی ارائه شده باشد.

-         آن روزها مفاد درسی برای امنیت سایبری تعریف نشده بود چه برسد به کلاس‌هایی در مورد تحلیل بدافزار و چیزهایی از این دست. امنیت سایبری حوزه‌ایست که تصادفی بدان ورود کردم.

حدود سال 2008 وقتی در دانشگاه علوم کامپیوتر می‌خواندم به فکر کار در حوزه هوش مصنوعی افتادم. داشتم برای کارآموزی ونکوور را ترک می‌کردم و مجبور بودم اشتراک اینترنتم را قطع کنم چون دلم نمی‌خواست وقتی خارج هستم مدام پول اشتراک بدهم. با ISP خود ارتباط گرفتم و وضعیت را توضیح دادم. بهم گفتند برایشان ایمیل بفرستم (این ماجرا برای یک ماه قبل از رفتن من است) و بعدش خودشان همه کارهای لازم را انجام می‌دهند. من هم همین کار را کردم و تنها چند روز بعد دیگر دسترسی اینترنت نداشتم. هرگز در تاریخ ISPها انقدر به درخواست مشتری رسیدگی نشده بود! اما برای دانشجوی علوم کامپیوتر یک ماه سر کردن بدون اینترنت غیرقابل تصور بود. با این حال ISP من نمی‌توانست دسترسی را بازیابی کند- یا شاید هم بیشتر ماجرا این بود که دلش نمی‌خواست این کار را انجام دهد. پس شروع کردم نگاه کردن به امنیت وای‌فای تا موقتاً از دسترسی داخلی همسایه‌ای تا قبل رفتنم ذره‌ای اینترنت بیرون بکشم. آن زمان پروتکل رمزگذاری که همه استفاده می‌کردند WEP بود و امنیت پایینی هم داشت. اما چون اولین باری بود که امنیت کامپیوتر را می‌چشیدم (بیشتر طعم نبود امنیت را می‌چشیدم!) این حوزه را بیشتر و بیشتر در سال‌های بعدی مورد بررسی و تحقیق قرار دادم. و خوب عقل هم حکم می‌کرد به جای دستگیر شدن برای تحقیقات ناخواسته در آینده خودم را وارد این حرفه می‌کردم. هوش مصنوعی را رها کردم و شروع کردم به خودخوانی مبانی امنیت سایبری (علاوه بر درس‌های خودم). بعد از اینکه مدرکم را گرفتم توانستم برای شغلی در این حوزه تقاضا کنم و از آن زمان تا الان در همین حوزه فعالیت دارم!

-         خیلی جالب است که این را گفتی چون سوال بعدی‌ام این بود: آیا ممکن است فردی که روحیه هکری ندارد بتواند محقق امنیتی بشود؟

-         من می‌گویم این شغلی است که به عشق و پایمردی نیاز دارد و خوب معمولاً هم افراد با پشتکار و مصمم بدین حوزه ورود پیدا می‌کنند. خصیصه‌ای که تا حد زیادی بخشی از روحیه یک هکر است.

-         چطور با کسپرسکی آشنا شدی؟

-         من در پاریس با شرکت‌های سایز کوچک فعال در حوزه خدمات امنیت اطلاعات زیاد کار کرده بودم. جالب است بدانید که آن زمان فکر می‌کردم به نقطه‌ای رسیدم که دوست دارم در کارم تفاوت ایجاد کنم و انگار روی آوردن به هوش تهدید این فرصت را در اختیارم گذاشته بود. سال 2018 بود که کسپرسکی را انتخاب کردم؛ درست بعد از آن کمپین رسانه‌ای به شدت منفی که شرکت داشت تحملش می‌کرد. شهود قلبی‌ام به من می‌گفت تیم دفاع سایبری که توانسته این هجمه را مدیریت کند حتماً دارد مسیرش را درست می‌رود. و بخشی از این تیم بودن اکنون افتخار من است و هر بار مطمئن‌تر می‌شوم که انتخابم درست بوده است.

-         بر و بچه‌های FireEye آن زمان می‌گفتند وقتی صحبت از افشای عمومی بدافزار می‌شود بسیار محتاط عمل می‌کنند: برای گزارش عمومی بدافزار اگر از سوی آژانس دولت آمریکا باشد عجله‌ای ندارند. برای یک شرکت آمریکایی این موضع غیرقابل‌درکی است. اما GReAT چه؟ تیم شما بین‌المللی است با کلی محقق از روسیه و برخی دیگر از کشورهای غربی و شرقی. تقریباً همه جای جهان. چطور چنین مسائلی را حل می‌کنید؟ اصلاً به چنین مشکلاتی برخورده بودید؟

-         من با تحقیق روی بدافزارهای احتمالاً با منشاء روسی، آمریکایی یا فرانسوی مشکلی ندارم و معذب نمی‌شوم. اما اگر هم می‌شدم افراد دیگری هم درتیم GReAT هستند که با روی باز تحقیق روی این عاملین تهدید را قبول می‌کنند. از این رو سر ردیابی مهاجمین خیلی به مشکل برنمی‌خوریم. بگذارید عمیق‌تر صحبت کنم: به گمانم باید بین دو بحث تهاجم و دفاع تفکیک‌سازی واضحی وجود داشته باشد. برخی‌اوقات دولت‌های ملی دلایل قانونی برای اجرای حملات سایبری دارند (برای مثال در مبارزه با تروریسم) و برخی‌اوقات هم نه (مانند سرقت مالکیت معنوی). هیچیک از ما در GReTA این شایستگی را ندارد که تعیین کند چه عملیات‌هایی قانونی‌ یا غیرقانونی‌اند. قرار گرفتن در چنین موضعی است که همیشه ما را با جهانی از چالش‌ها روبرو می‌کند.

فکر می‌کنم بهترین رویکرد به این مسئله نقل‌قول مونتسکیو فیلسوف قرن 18 است:

«قدرت، قدرت را متوقف می‌کند».

دولت‌ها قدرت خود را به کار می‌گیرند و ما هم به عنوان شرکت دفاع سایبری قدرت این را داریم که زندگی آن‌ها را سخت کنیم. پس قبل از اجرای عملیات‌های تهاجمی باید به حضور ما نیز در میانه میدان فکر کنند! از آنجایی که ما قدرت تحمیل هزینه داریم، قدرت آن‌ها زیر بررسی خواهد رفت و نمی‌توانند سوءاستفاده کنند- یا دست کم این کار را با دامنه بالا نمی‌توانند انجام دهند. این دلیل بسیار خوبی است برای من که تحقیق روی همه فعالیت‌های سایبری را توجیه می‌کند- فرقی هم ندارد خاستگاه آن فعالیت سایبری کجاست. به باور من وجود کسپرسکی در ازار هوش تهدید بسیار مهم است و تحت هیچ شرایطی این شرکت نباید در مسیر خود کم بیاورد. امیدوارم بتوانیم همه این موانع را از سر بگذرانیم و همچنان روی همه APTها کار کنیم- فرقی نارد حملات از کجا نشأت می‌گیرند. ما محققینی هستیم که فرصت‌هایی مساوی در اختیارمان قرار گرفته است!

-         تیم GReAT  ماه مارس وبیناری را برگزار کرد که طی آن حملات سایبری به اوکراین تحلیل شد: HermeticWiper, WisperGate, Pandora و.... اما در عین حال موجی از حملاتی که به سازمان‌های روس هم شد مانند وایپرز، DDoS و اسپیر فیشینگ نیز بررسی شد. ما نشریه خاصی از سوی GReAT در مورد این حملات ندیدیم؟ دلیلش چیست؟

-         این سوالی است که جواب طولانی‌ای دارد. حملات سایبری علیه اوکراین مقیاس بزرگی داشت و دلیلش هم آشکارا هدف آن‌ها برای اعمال اثرات مخرب بوده است: تخریب داده، باج‌افزار و غیره. بسیاری از رقبای ما نیز دید خوبی نسبت به اوکراین دارند؛ برخی‌اوقات حتی با ما همکاری می‌کنند که همین اجازه می‌دهد در مورد وقایع این کشور اطلاعات دقیق در اختیار داشته باشیم. این به پوشش رسانه‌ای مهمی منجر می‌شود. برخی حملات هم نوک پیکانشان روی روسیه است اما کمتر بدان توجه می‌شود. ما در گزارش خصوصی خود چندتایی‌شان را پوشش داده‌ایم. و در حال ردیابی تعدادی از عوامل فعال در منطقه هستیم (روی صحبتمان با کشور چین است). اما نسبت به فعالیت‌هایی با سطح جدی تخریب آگاهی ندارم.

-         شنیده‌ایم گروه هکری Anonymous وبسایت‌های روسی را تخریب کرده است و اینکه برخی سایت‌ها واقعاً تخریب شده‌اند. فکر می‌کنید این اقدامات   Anonymous به آن جنبش 15 ساله ربطی دارند؟

-         اوه به نظر من Anonymous ربطی به آن جنبش مردمی ندارد. گرچه خیلی فعالیت‌های هکری برند این گروه را یدک کشیده اما شکی نیست که APT‌ها نیز از این پرسونا برای انجام عملیات جنگ اطلاعاتی خود در مواردی استفاده کرده‌اند. به عنوان یک قاعده، من معتقدم که محققین هرگز نباید خود-انتساب[2] را در نظر بگیرند و زمانی که سعی می‌کنند بفهمند کدام گروه می‌تواند مسئول یک حمله باشد، صرفاً روی عناصر فنی تمرکز کنند.

     – برخی از دولت‌های اروپایی به شهروندان خود می‌گویند که از شر محصولات کسپرسکی خلاص شوند. اما به نظر می‌رسد فرانسه در تلاش است تا حد ممکن بی‌طرف باشد. آیا این به خاطر انتخابات است؟ یا آیا مردم فرانسه واقعاً نگرش متفاوتی در مورد درگیری اوکراین دارند؟

    - من فکر می‌کنم این موضوع بیشتر به نهادهای کشوری مربوط می‌شود تا به مردم فرانسه. ANSSI، نهاد نظارتی برای امنیت سایبری، همیشه تلاش کرده است تا در بیشتر موارد موضعی بی طرفانه داشته باشد. افزون بر این، من فکر می‌کنم که فرانسه در مورد مناقشه اوکراین، همان برداشت بقیه اروپا را داشته باشد. باور کنید، فصل انتخابات به این معناست که هیچ سیاستمداری نمی‌خواهد با ولادیمیر پوتین همدردی کند.

- در مورد ارتباط GreAT با بقیه کلمه infosec چطور؟ برخی از سازمان‌ها روابط خود را با کسپرسکی قطع می‌کنند. چه تاثیری روی کار شما خواهد داشت؟

- موضوع اصلی برای ما مربوط به شرکت‌های آمریکایی می‌شود که قبلاً برخی از خدمات را به ما ارائه می‌کردند. آنها در حال بررسی قطع روابط با ما هستند یا دسترسی ما را به ابزارهای خود محدود کرده اند. این بر توانایی ما برای انجام تحقیقات روزانه تأثیر می‌گذارد. در مورد تبادلات با همتایان صنعت، بله، برخی از آنها دیگر با ما صحبت نخواهند کرد. اگرچه در بیشتر موارد روابط شخصی ما با سایر محققان بی‌تأثیر است. به طور کلی، واضح است که تبادل اطلاعات کمتر، توانایی کل صنعت را برای انجام ماموریت خود کاهش می‌دهد.

- کارشناسان GreAT چگونه با یکدیگر ارتباط برقرار می‌کنند؟ آیا در زندگی واقعی جلسات منظمی دارید؟ بازدید از مسکو با هم تیمی ها به صرف نوشیدنی؟

- راستش را بخواهید مدتی است که اوضاع سخت شده است. ما یک تیم کاملاً ریموت هستیم و مناطق مختلف جلسات هفتگی مخصوص به خود را برای هماهنگ کردن کار خواهد داشت. وقتی برای اولین بار به شرکت ملحق شدم، حداقل یک جلسه بزرگ در سال، و همچنین نشست تحلیلگران امنیتی، که قبلاً حضوری بود، برگزار می‌شد. اما به دلیل کووید مدتی هیچ‌کدام را نداشتیم. همچنین به طور منظم به مسکو می‌رفتم تا مدتی را با اعضای روسی تیم بگذرانم، اما مشخص نیست که آیا این هنوز این گزینه وجود دارد یا نه. امیدوارم راهی برای ملاقات همدیگر پیدا کنیم زیرا این سفرهای تیمی با همکاران حسابی آدم را سر کیف می‌آورد.

[1] Global Research and Analysis Team

[2] self-attribution

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.