إيفان كوياتكوفسكي:”الأمن السيبراني هو مجال تعثرت فيه عن طريق الصدفة”

قابل إيفان كوياتكوفسكي، الباحث الأمني الأول مع فريق Kaspersky العالمي للبحث والتحليل.

 

يعيش إيفان في كليرمون فيران في وسط فرنسا. ويكتب روايات خيالية، ويمارس القفز بالمظلات في بعض الأحيان، ويريد أن تكون حياته ذكرى لا تُنسى كل يوم. وهو أيضًا عضو في فريق البحث والتحليل العالمي (GReAT)، مجموعة كاسبرسكي المكونة من كبار الخبراء الذين كشفوا عن هجمات Carbanak وCozy Bear وEquation والعديد من مصادر التهديد الأخرى وبرامجهم الضارة المتطورة في جميع أنحاء العالم.

– إيفان، بالنظر إلى اسمك، لم يسعنٍ إلا أن أبدأ بهذا السؤال: هل لديك بعض الجذور السلافية؟ 

– تقريبًا. اسمي موروث من جدي إلى جانب والدي. يأتي اسم العائلة “كوياتكوفسكي” من بولندا، ولكن من المضحك أنه لم يكن ابنه: فقد كان طفلًا متبنى واسمه “الحقيقي” غير معروف، وكذلك أصله. لذلك في حين أن هناك بالفعل جذورًا سلافية في مكان ما، فإن طبيعتها التفصيلية ضاعت إلى الأبد.

– تستكشف البرامج الضارة ومجموعات القراصنة. كيف تمكنت من الدخول في مثل هذه المهنة؟ أشك في أنها كانت مدرجة في المقررات الجامعية.

– سابقًا لم يكن هناك أي مناهج للأمن السيبراني، ناهيك عن الفصول الدراسية حول تحليل البرامج الضارة وما شابه ذلك. الأمن السيبراني هو مجال تعثرت فيه عن طريق الصدفة.

 مقابلة مع إيفان كوياتكوفسكي

حوالي عام 2008، أثناء دراستي للحصول على درجة علمية في علوم الكمبيوتر، اعتقدت أنني سأعمل في مجال الذكاء الاصطناعي. كنت على وشك المغادرة  إلى فانكوفر للتدريب، واضطررت إلى إنهاء اشتراكي في الإنترنت لأنني لم أكن أرغب في الاستمرار في الدفع بينما كنت في الخارج. وتواصلت مع شركة مزود خدمة الإنترنت الخاص بي وشرحت الموقف. أخبروني أن أرسل لهم رسالة (كان هذا قبل شهر من مغادرتي)، وسيتناولون تسوية كل شيء.

لذلك أرسلت لهم رسالة، ولم يمر سوى بضعة أيام — ولم يعد لدي اتصال بالإنترنت. لم يحدث في تاريخ مزودي خدمة الإنترنت أن تم التعامل مع طلب العميل بهذه الكفاءة! ولكن بالنسبة لطالب علوم الكمبيوتر، كان قضاء شهر بدون إنترنت أمرًا لا يمكن تصوره. ومع ذلك، لم يتمكن مزود خدمة الإنترنت الخاص بي من استعادة الوصول — أو، على الأرجح، لم يرغبوا في ذلك. لذلك بدأت في البحث في أمان الواي فاي من أجل… اختطاف وصلة إنترنت من الجيران مؤقتًا حتى مغادرتي، بطبيعة الحال.

في ذلك الوقت، كان بروتوكول التشفير الذي استخدمه الجميع — WEP — غير آمن للغاية. ولكن بعد أن تذوقت أمن الكمبيوتر لأول مرة (بدلاً من ذلك — عدم وجوده)، علمت على الفور أنني سأستمر في البحث في هذا المجال لسنوات قادمة. وشعرت أنه من المعقول أن تنشئ مهنة منه بدلًامن أن تُعتقل للقيام ببحث غير مرغوب فيه مستقبلًا.

وفورًا تخليت عن الذكاء الاصطناعي تقريبًا، وبدأت أتعلم الأمن السيبراني بمفردي، بالإضافة إلى دراستي. وبعد أن حصلت على شهادتي، تمكنت من التقدم للحصول على وظيفة في هذا المجال — وبقيت فيها منذ ذلك الحين!

– من المضحك أن تقول ذلك، نظرًا لأن السؤال التالي الذي على قائمتي كان: هل من الممكن لشخص ليس مخترقًا في أساسه أن يكون باحثًا أمنيًا؟ 

– أعتقد أنها وظيفة تتطلب الكثير مِنْ الشغفِ والتفاني والتي عادةً ما تجْذبُ الناسَ المثابرينَ جدًا. وهي سمة تشكل جزءًا كبيرًا جدًا من روح المخترق.

مقابلة مع إيفان كوياتكوفسكي

– كيف وصلت إلى Kaspersky؟

– كنت أعمل في شركات صغيرة الحجم تقدم خدمات متعلقة بأمن المعلومات في باريس. كان عملاً مثيرًا للاهتمام، لكنني شعرت أنني وصلت إلى نقطة أردت فيها أن يحدث عملي فرقًا، وشعرت أن الانتقال إلى مجال مكافحة التهديدات هو الطريقة الصحيحة لتحقيق ذلك.

اخترت Kaspersky في عام 2018، مباشرة بعد الحملة الإعلامية السلبية المكثفة التي تحملتها الشركة. أخبرني حدسي أنه لا بد وأن فريق الدفاع السيبراني الذي تمكن من جعل الكثير من الناس غاضبين أن يقوموا بشيء صحيح. وكوني جزءًا من هذا الفريق الآن، يمكنني أن أؤكد أنني كنت على حق!

– حيث قال الناس في FireEye مرة ما إنهم يستخدمون التمييز التقديري عندما يتعلق الأمر بالكشف العلني عن البرامج الضارة:

أنهم لا يندفعون للإبلاغ علنا عن البرامج الضارة إذا كانت من صنع جهة حكومية أمريكية.بالنسبة لشركة أمريكية، فهو موقف مفهوم. ولكن ماذا عن GReAT؟ فريقك دولي يضم بعض الباحثين من روسيا وبعضهم من الغرب وبعضهم من الدول الآسيوية… ومن جميع أنحاء العالم. كيف يمكنك تسوية مثل هذه التساؤلات، إذا واجهت أيًا منها؟

– ليس لدي أي شكوك معينة حول إجراء أبحاث على البرامج الضارة التي من المحتمل أن تكون من أصول روسية أو أمريكية أو فرنسية. ولكن حتى لو كان لدي، هناك العديد من الآخرين في فريق GReAT الدولي الذين سيسعدون بالعمل على هذه الجهات الفاعلة للتهديد. وبهذا المعنى، لا توجد أي حدود لأي مخترق يمكننا تعقبه.

للتعمق أكثر قليلًا، أعتقد أنه يجب أن يكون هناك فصل واضح بين الهجوم والدفاع. في بعض الأحيان يكون لدى الدول القومية أسباب مشروعة للقيام بهجمات إلكترونية (على سبيل المثال: في مكافحة الإرهاب) وأحيانًا لا يكون لديهم أسباب (سرقة الملكية الفكرية). لا أحد منا في GReAT مؤهل ليكون الحكم على العمليات المشروعة. وأن نكون في هذا الموقف سيضعنا في عالم مليء بالأذى والمعضلات.

مقابلة مع إيفان كوياتكوفسكي

أعتقد أن الطريقة الصحيحة لرؤية هذه المسألة هي اقتباس ما قاله الفيلسوف مونتيسكيو من القرن الثامن عشر: “القوة توقف القوة”. تمارس الدول قوتها ونحن كشركة دفاع سيبراني لدينا القوة على جعل حياتهم أصعب. وبما أننا موجودون فعليهم أن يفكروا مرتين قبل إطلاق العمليات الهجومية. ولأننا نفرض التكاليف، فإن قوتها تظل تحت السيطرة ولا يمكن إساءة استخدامها ــ أو على الأقل ليس بنفس القدر. وهذا سبب جيد بما فيه الكفاية بالنسبة لي لتبرير إجراء البحوث على جميع الأنشطة الإلكترونية — بغض النظر عن أصولها.

أعتقد أن وجود Kaspersky في سوق مكافحة التهديدات أمر بالغ الأهمية، ولا يجب تحت أي ظرف من الظروف السماح للبائع الوحيد غير المنحاز أن يموت. آمل أن نتجاوز جميعًا هذا ونستمر في العمل على جميع التهديدات المستمرة المتطورة (APT) — بغض النظر عن مصدر الهجمات. نحن باحثون متساوون في الفرص!

– عقد فريق GReAT ندوة عبر الإنترنت في مارس، مع القيام بتحليل الهجمات الإلكترونية على أوكرانيا:

HermeticWiper, WisperGate, Pandora… ولكن في الوقت نفسه، كانت هناك موجة من الهجمات التي تستهدف المنظمات الروسية: هجمات wipers (الماسحات)، وهجمات حجب الخدمة (DDoS)، والتصيد الاحتيالي. ومع ذلك، لا نرَى أي منشورات خاصة من GReAT حول تلك الهجمات. لماذا؟ 

– هو في الغالب مسألة حجم. كانت الهجمات الإلكترونية ضد أوكرانيا واسعة النطاق وظاهرة للغاية لأنها كانت تهدف إلى إحداث آثار تخريبية: تدمير البيانات وإطلاق برامج الفدية وما إلى ذلك. ويتمتع العديد من منافسينا أيضًا برؤية جيدة في أوكرانيا؛ بل وأحيانًا ما يتعاونون مما يسمح بالحصول على بيانات دقيقة للغاية حول ما يحدث في البلاد. والذي بدوره يؤدي إلى تغطية إعلامية كبيرة.

والواقع أن بعض الهجمات تستهدف روسيا، ولكنها تحظى بقدر أقل من الاهتمام. لقد غطينا بعضهم في تقاريرنا الخاصة. ونتتبع عددًا من الجهات الفاعلة (الناطقة بالصينية في المقام الأول) النشطة في المنطقة في الوقت الحالي. لكنني لست على علم بأي أنشطة هدّامة خطيرة.

مقابلة مع إيفان كوياتكوفسكي

– لقد سمعنا عن مجموعة القرصنة Anonymous التي تدعي أنهم محوا مواقع إلكترونية روسية وشوهوها وبعض المواقع تم تشويهها ومحوها بالفعل. هل تعتقد أن إجراءات Anonymous هذه تتعلق بالحركة التي تبلغ من العمر 15 عامًا؟ 

– أعتقد أن مجموعة Anonymous توقفوا عن كونهم حركات شعبية منذ سنوات عديدة. في حين أنه لا يزال هناك بعض عمليات الاختراق الحقيقية باستخدام هذه العلامة التجارية، فمن المؤكد أن التهديدات المستمرة المتطورة قد تخفّت أيضًا في هذه الشخصية لشن عمليات حربية معلوماتية في بعض الأحيان.

كقاعدة عامة، أعتقد أنه يجب على الباحثين عدم أخذ الإسناد الذاتي في الاعتبار، والتركيز فقط على العناصر الفنية عند محاولة معرفة المجموعة التي يمكن أن تكون مسؤولة عن هجوم. 

– تطلب بعض الحكومات الأوروبية من مواطنيها التخلص من منتجات Kaspersky. ولكن يبدو أن فرنسا تحاول أن تكون محايدة قدر الإمكان. هل هذا بسبب الانتخابات؟ أم أن الناس في فرنسا لديهم بعض المواقف والآراء المختلفة تجاه الصراع الأوكراني؟

– أعتقد أن الأمر يتعلق بالشعب الفرنسي أكثر من مؤسسات الدولة. لطالما سعت الهيئة التنظيمية للأمن الإلكتروني (ANSSI)، إلى الحفاظ على موقف محايد في معظم الأمور. وإلى جانب ذلك، أعتقد أن فرنسا تشاطر بقية أوروبا نفس التصور عندما يتعلق الأمر بالصراع الأوكراني. وصدقني، يعني موسم الانتخابات أنه لا يوجد سياسي يريد أن يُنظر إليه على أنه متعاطف مع فلاديمير بوتين.

-ماذا عن اتصال GReAT مع بقية كلمة infosec (أمن المعلومات)؟ تقطع بعض المنظمات علاقاتها مع Kaspersky. كيف سيؤثر ذلك على عملك؟

– ترتبط القضية الرئيسية بالنسبة لنا بالشركات الأمريكية التي كانت تقدم لنا بعض الخدمات. إنهم يفكرون في قطع العلاقات معنا أو قاموا بالفعل بتقييد وصولنا إلى أدواتهم. ويؤثر هذا في قدرتنا على إجراء أبحاثنا اليومية.

بالنسبة للتبادلات مع أقران الصناعة، نعم بعضهم لن يتحدث إلينا بعد الآن. إلا أن معظم العلاقات الشخصية التي تربطنا بالباحثين الآخرين لم تتأثر.

بشكل عام، من الواضح أن تقليل تبادل المعلومات يقلل من قدرة الصناعة بأكملها على تلبية مهمتها.

– كيف يتواصل خبراء GReAT مع بعضهم البعض؟ هل تعقدون اجتماعات منتظمة في الحياة الحقيقية؟ هل تزور موسكو لشرب البيرة مع زملائك في الفريق؟ 

– بصراحة، كانت الأمور صعبة لفترة من الوقت. نحن فريق بعيد تمامًا، وسيكون للأقسام المختلفة اجتماعات أسبوعية خاصة بها لتنسيق العمل. في البداية عندما انضممت إلى الشركة، كان هناك اجتماع كبير واحد على الأقل سنويًا، بالإضافة إلى قمة محللي الأمن، والتي كانت تُعقد بشكل شخصي. ولكن بسبب كوفيد لم يُعقد أي منهما منذ فترة.

اعتدت أيضا الذهاب إلى موسكو بشكل منتظم لقضاء بعض الوقت مع الأعضاء الروس في الفريق، ولكن من غير الواضح ما إذا كان هذا لا يزال خيارًا. آمل أن نجد طريقة لرؤية بعضنا البعض لأن تلك كانت دائمًا رحلات مذهلة.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!