Ivan mora em Clermont-Ferrand, bem no centro da França. Ele escreve romances de ficção, salta de paraquedas de vez em quando e deseja que sua vida seja memorável todos os dias. Ele também é membro da Equipe de Pesquisa e Análise Global (GReAT), o grupo de especialistas da Kaspersky que descobriu Carbanak, Cozy Bear, Equation e muitos outros agentes de ameaças e seus malwares sofisticados em todo o mundo.
– Ivan, olhando para o seu nome não poderia deixar de começar com esta pergunta: você tem raízes eslavas?
– Mais ou menos. Meu nome é herdado do meu avô por parte de meu pai. O patronímico “Kwiatkowski” vem da Polônia, mas, curiosamente, nem era dele: ele era filho adotivo e seu nome “verdadeiro” é desconhecido, assim como sua origem. Por isso, embora existam raízes eslavas em algum lugar, sua natureza exata foi perdida para sempre.
– Você pesquisa grupos de malware e de hackers. Como você entrou nesta profissão? Duvido que tenha sido por meio de cursos universitários.
– Antigamente, não havia nenhum Programa de cibersegurança, muito menos aulas sobre análise de malware e afins. A cibersegurança é um assunto em que caí por acidente.
Por volta de 2008, enquanto estudava ciência da computação, pensei em trabalhar na área de inteligência artificial. Eu estava prestes a partir para Vancouver para um estágio e tive que encerrar minha assinatura de internet porque não queria continuar pagando enquanto estivesse no exterior. Entrei em contato com meu provedor e expliquei a situação. Eles me disseram para enviar uma carta (isso foi cerca de um mês antes da minha partida), e que eles cuidariam de tudo.
Então eu fiz isso, e já alguns dias depois eu não tinha mais acesso à internet. Nunca na história dos provedores uma solicitação de cliente foi tratada com tanta eficiência! Mas para um estudante de ciência da computação, passar um mês sem internet era inimaginável. No entanto, a empresa não conseguiu restaurar o acesso — ou, provavelmente, não quiseram. Então comecei a investigar a segurança do Wi-Fi para… “pegar emprestado”temporariamente o acesso à internet de um vizinho até o dia em que fosse embora.
Naquela época, o protocolo de criptografia que todos usavam – WEP – era muito inseguro. Mas, tendo experimentado pela primeira vez a segurança do computador (em vez disso, a falta dela), soube imediatamente que continuaria pesquisando esse campo nos próximos anos. E parecia mais razoável fazer disso uma carreira do que ficar preso em pesquisas não solicitadas no futuro.
Desisti da inteligência artificial quase imediatamente e comecei a aprender sobre cibersegurança por conta própria, além dos meus estudos. E depois que me formei, consegui me candidatar a um emprego na área – e permaneci nele desde então!
– É engraçado você dizer isso, já que a próxima pergunta que eu tinha na minha lista era: é possível ser um pesquisador de segurança para alguém que não é um hacker em sua essência?
– Eu diria que é um trabalho que exige muita paixão e dedicação, que costuma atrair pessoas muito persistentes. Uma característica que faz parte do espírito hacker.
– Como você chegou à Kaspersky?
– Eu trabalhava para empresas de pequeno porte que prestavam serviços relacionados à segurança da informação em Paris. Foi interessante, mas senti que havia chegado a um ponto em que queria que meu trabalho fizesse a diferença, e mudar para a inteligência de ameaças parecia o caminho certo para conseguir isso.
Escolhi a Kaspersky em 2018, logo após a campanha de mídia negativa muito intensa que a empresa vinha enfrentando. Minha intuição me disse que uma equipe de ciberdefesa que conseguiu enfrentar tantas pessoas tinha que estar fazendo algo certo. E fazendo parte desta equipe agora, posso confirmar que estava certo!
– O pessoal da FireEye disse uma vez que atua com discrição quando se trata de divulgação pública de malware: eles não se apressam em denunciar publicamente um malware se for feito por uma agência do governo dos EUA. Para uma empresa americana, é uma posição compreensível. Mas e o GReAT? Sua equipe é internacional, com alguns pesquisadores da Rússia, alguns do Ocidente, alguns de países asiáticos… de todos os lugares. Como você resolve essas questões, se é que esse tipo de situação já aconteceu?
– Não tenho escrúpulos em fazer pesquisas sobre origem de malware possivelmente russa, americana ou francesa. Mas mesmo se eu tivesse, há muitos outros na equipe internacional do GReAT que trabalhariam com prazer nesses atores de ameaças. Nesse sentido, não há limites para quais invasores podemos rastrear.
Para ir um pouco além, acho que deveria haver uma separação clara entre ataque e defesa. Às vezes, os estados-nação têm motivos legítimos para realizar ciberataques (por exemplo, no combate ao terrorismo) e às vezes não (roubo de propriedade intelectual). Nenhum de nós da GReAT está qualificado para ser o árbitro de quais operações são legítimas. Estar nessa posição nos colocaria em um mundo de conflitos e dilemas.
Acho que a maneira correta de ver essa questão é citar o filósofo do século XVIII, Montesquieu: “o poder detém o poder”. Os Estados exercem seu poder e nós, como empresa de ciberdefesa, temos o poder de tornar suas vidas mais difíceis. Desde que existimos eles têm que pensar duas vezes antes de lançar operações ofensivas. Como impomos custos, seu poder é mantido sob controle e não pode ser mal utilizado – ou pelo menos não tanto. Esta é uma razão boa o suficiente para justificar fazer pesquisas sobre todas as ciberatividades – não importa sua origem.
Acho que a existência da Kaspersky no mercado de inteligência de ameaças é crucial e, sob nenhuma circunstância, um provedor neutro deve desaparecer. Espero que todos passemos por isso e continuemos trabalhando em todos as APTs – não importa de onde venham os ataques. Somos pesquisadores como igualdade de oportunidades!
– A equipe do GReAT realizou um webinar em março, com análise de ciberataques na Ucrânia: HermeticWiper, WisperGate, Pandora… No entanto, não vemos nenhuma publicação especial do GReAT sobre esses ataques. Por quê?
– É principalmente uma questão de volume. Os ciberataques contra a Ucrânia foram em grande escala e muito visíveis devido ao fato de que visavam efeitos disruptivos: destruição de dados, ransomware, etc. Muitos de nossos concorrentes também têm boa visibilidade na Ucrânia; às vezes até colaboram, o que permite obter dados muito precisos sobre o que está acontecendo no país. Isso leva a uma cobertura significativa da mídia.
Alguns ataques têm como alvo a Rússia, mas recebem menos atenção. Nós cobrimos alguns deles em nossos relatórios privados. E estamos rastreando vários atores (principalmente de língua chinesa) ativos na região no momento. Mas não tenho conhecimento de nenhuma atividade destrutiva séria.
[interview-ivan-kwiatkowski-photo-4]
[Alt/title: Entrevista com Ivan Kwiatkowski]
– Ouvimos falar do Anonymous estar alegando ter desfigurado sites russos, e alguns sites foram realmente bagunçados. Você acredita que essas ações “Anonymous” se relacionam com o movimento de 15 anos?
– Ah, acho que o Anonymous deixou de ser um movimento de base há muitos anos. Embora ainda possa haver algum hacktivismo genuíno usando essa marca, é inquestionável que os APTs também usaram essa persona para realizar suas próprias operações de guerra de informações ocasionalmente.
Como regra, acredito que os pesquisadores nunca devem levar em conta a auto-atribuição e se concentrar apenas em elementos técnicos ao tentar descobrir qual grupo pode ser responsável por um ataque.
– Alguns governos europeus dizem aos seus cidadãos para se livrarem dos produtos Kaspersky. Mas parece que a França está tentando ser o mais neutra possível. Isso é por causa da eleição? Ou as pessoas na França realmente têm algumas atitudes diferentes sobre o conflito na Ucrânia?
– Acho que é menos sobre o povo francês do que sobre as instituições do país. A ANSSI, o órgão regulador de cibersegurança, sempre se esforçou para manter uma posição neutra na maioria dos assuntos. Além disso, acho que a França compartilha da mesma percepção que o resto da Europa quando se trata do conflito ucraniano. Acredite em mim, época de eleições significa que nenhum político quer ser visto como simpático a Vladimir Putin.
– E a comunicação do GReAT com o resto do mundo de segurança da informação? Algumas organizações estão cortando laços com a Kaspersky. Como isso afetará seu trabalho?
– O principal problema para nós está relacionado às empresas norte-americanas que costumavam nos demandar alguns serviços. Eles estão pensando em cortar os laços conosco ou já limitaram nosso acesso às ferramentas deles. Isso afeta nossa capacidade de conduzir nossa pesquisa diária.
Quanto às trocas com pares do setor, sim, alguns deles não vão mais falar com a gente. Embora, na maioria das vezes, as relações pessoais que temos com outros pesquisadores não sejam afetadas.
No geral, está claro que menos troca de informações reduz a capacidade de todo o setor de cumprir sua missão.
– Como os especialistas do GReAT se comunicam? Vocês têm reuniões regulares na vida real? Visitam Moscou para tomar uma cerveja com colegas de equipe?
– Honestamente, as coisas estão complicadas há um tempo. Somos uma equipe totalmente remota e espalhada por várias regiões do mundo, com suas próprias reuniões semanais de coordenação de trabalho. Quando entrei na empresa, havia pelo menos um grande encontro por ano, bem como o Security Analyst Summit, que costumava ser presencial. Mas, por conta da pandemia, nenhum dos dois eventos aconteceu nos últimos tempos.
Eu também costumava ir a Moscou regularmente para passar algum tempo com os membros russos da equipe, mas não é uma opção no presente. Espero que encontremos um jeito de nos vermos em breve, porque sempre foram viagens incríveis.