Ivan Fransa’nın tam ortasında yer alan Clermont-Ferrand’da yaşıyor. Fantastik romanlar yazıyor, ara sıra skydiving yapıyor, yaşamındaki her günün akılda kalıcı olmasını istiyor. Tüm bunların yanı sıra, Kaspersky’nin dünya çapında Carbanak, Cozy Bear ve Equation gibi birçok tehdit aktörünü ve bu aktörlerin karmaşık kötü amaçlı yazılımlarını ortaya çıkaran üst düzey uzman grubu Global Araştırma ve Analiz Ekibi’nin (GReAT) de bir üyesi.
– Ivan, adını görünce sormadan edemiyorum: Slav kökenli misin?
– Sayılırım. Adım babamın babasından geliyor. Soyadım “Kwiatkowski” Polonya’dan geliyor ama dedemin gerçek soyadı değil. Küçükken evlat edinilmiş, “gerçek” soyadı ve kökeni bilinmiyor. Yani bir Slavlık olsa da tam olarak nasıl olduğunu bilemiyoruz.
– Kötü amaçlı yazılımları ve hacker gruplarını araştırıyorsun. Bu mesleğe nasıl başladın? Üniversitelerde böyle bir ders olduğunu sanmıyorum.
– Öğrencilik yıllarımda kötü amaçlı yazılım analizi gibi dersleri bırakın, siber güvenlikle ilgili herhangi bir eğitim içeriği yoktu. Siber güvenlik tesadüfen girdiğim bir alan.
2008 civarında, Bilgisayar Bilimleri okurken, yapay zeka alanında çalışacağımı düşünüyordum. Bir staj için Vancouver’a gidecektim ve yurt dışındayken ödemeye devam etmek istemediğim için internet aboneliğimi sonlandırmam gerekti. İnternet servis sağlayıcımla iletişime geçtim ve durumu açıkladım. Onlara bir mektup göndermemi, gerisini halledeceklerini söylediler (bu ülkeden ayrılmadan bir ay kadar önceydi).
Mektubu gönderdim ve birkaç gün sonra internetim kesildi. Tarihte hiçbir servis sağlayıcı bir talebi bu kadar hızlı yerine getirmemiştir! Fakat bir Bilgisayar Bilimleri öğrencisi olarak bir ayı internetsiz geçirmem mümkün değildi. Servis sağlayıcı tekrar internet erişimi sağlayamadı ya da muhtemelen sağlamak istemedi. Ben de gidiş tarihime kadar komşulardan birinin internetini kaçak kullanmak için Wi-Fi güvenliğini araştırmaya başladım.
O zamanlar herkesin kullandığı şifreleme protokolü olan WEP hiç güvenli değildi. Böylece bilgisayar güvenliği (daha doğrusu güvenlik eksikliği) ile ilgili ilk deneyimimi yaşamış oldum ve uzun yıllar boyunca bu alanda araştırmalar yapmaya devam edeceğimi hemen anladım. Ayrıca bu alanda istenmeyen araştırmalar yaptığım için tutuklanmaktansa bunu bir kariyere dönüştürmek daha mantıklıydı.
Yapay zekayı hemen bıraktım ve diğer derslerimin yanında kendi kendime siber güvenlik öğrenmeye başladım. Mezun olduktan sonra bu alanda bir işe başvurdum ve o günden beri bu alanda çalışıyorum.
– Bunu iyi ki anlattınız çünkü sıradaki sorum şu olacaktı: Sizce hacker ruhuna sahip olmayan biri güvenlik araştırmacısı olabilir mi?
– Bence bu çok fazla tutku ve kendini adamayı gerektiren bir iş. Bu da genellikle inatçı insanları kendine çekiyor. İnatçılık da hacker ruhunun büyük bir parçası.
– Kaspersky’ye nasıl katıldınız?
– Paris’te bilgi güvenliğiyle ilgili hizmetler sunan küçük ölçekli şirketlerde çalışmıştım. İlginç işlerdi ama artık yaptığım işin bir fark yaratmasını istediğim noktaya ulaştığımı hissettim. Tehdit istihbaratı alanına geçmek, bunu yapmak için iyi bir yol gibi geldi.
Kaspersky’yi 2018’de şirketin karşı karşıya kaldığı şiddetli negatif medya kampanyasından sonra seçtim. Sezgilerime göre, bu kadar fazla kişiyi kızdıran bir siber savunma ekibi bir şeyleri doğru yapıyor olmalıydı. Şimdi o ekibin bir parçası olarak haklı olduğumu görüyorum.
– FireEye’dakiler bir keresinde kötü amaçlı yazılımları ifşa ederken ihtiyatlı davrandıklarını, kötü amaçlı yazılım ABD resmi kurumlarından biri tarafından geliştirildiyse halka duyurmakta aceleci olmadıklarını söylemişlerdi. Bu bir Amerikan şirketi için anlaşılabilir bir durum. Peki GReAT’de işler nasıl yürüyor? Uluslararası bir ekipsiniz, araştırmacıların bazıları Rusya’dan, bazıları Batı’dan, bazıları Asya ülkelerinden. Dünyanın her yerinden araştırmacılarınız var. Bu tür konulara nasıl yaklaşıyorsunuz?
– Rus, Amerikan veya Fransız kaynaklı olması muhtemel kötü amaçlı yazılımları araştırmak konusunda herhangi bir çekince hissetmiyorum. Ancak hissetseydim bile uluslararası GReAT ekibinde bu tehdit aktörleri üzerinde memnuniyetle çalışacak birçok başka kişi var. Bu açıdan izini sürebileceğimiz saldırganlar konusunda hiçbir sınırlamamız yok.
Konunun biraz daha derinine inmem gerekirse saldırı ve savunma arasında net bir ayrım olması gerektiğini düşünüyorum. Ulus devletlerin bazen siber saldırılar yürütmek için meşru sebepleri olabilir (örneğin, terörizmle savaş), bazen de olmayabilir (fikri mülkiyet hırsızlığı). GReAT’de hiçbirimiz hangi operasyonların meşru olduğu konusunda belirleyici olabilecek niteliğe sahip değiliz. Kendimizi bu pozisyona koymak sıkıntıları ve ikilemleri beraberinde getirir.
Bence bu konuya doğru yaklaşmanın yolu, 18. yüzyıl filozofu Montesquieu’yü alıntılayarak söylüyorum, “gücün gücü durdurması”. Devletler güçlerini kullanıyor, biz de siber savunmacılar olarak onların işini zorlaştıracak güce sahibiz. Biz var olduğumuz sürece saldırı operasyonları düzenlerken iki defa düşünmeleri gerekecek. Çünkü biz bunun karşılığında bir bedel ödemelerine sebep oluyoruz. Böylece güçleri kontrol altında oluyor ve bu güçlerini yanlış yönde kullanamıyorlar (ya da en azından çok yanlış yönde kullanamıyorlar). Bu da bana göre kaynağı ne olursa olsun tüm siber aktiviteleri araştırmanın haklı olduğunu düşünmek için yeterli bir sebep.
Bence Kaspersky’nin tehdit istihbaratı pazarındaki varlığı kritik önem taşıyor ve taraflı olmayan tek sağlayıcının saf dışı kalmasına hiçbir koşulda izin verilmemeli. Umarım hepimiz bunu atlatacağız ve saldırılar nereden gelirse gelsin tüm APT’ler üzerinde çalışmaya devam edeceğiz. Bizler ayrım yapmayan araştırmacılarız!
– GReAT ekibi Mart’ta düzenlediği webinar’da Ukrayna’ya yönelik siber saldırıların analizine yer verdi: HermeticWiper, WisperGate, Pandora… Fakat aynı zamanda Rus kuruluşlarını hedef alan bir saldırı dalgası da vardı: Siliciler, DDoS, hedef odaklı kimlik avı saldırıları gibi. Yine de GReAT’in bu saldırılar hakkında özel yayınlarını görmedik. Neden?
– Bu aslında bir hacim meselesi. Ukrayna’ya yönelik siber saldırılar devasa boyuttaydı ve hedefleri yıkıcı etkiler yaratmak olduğu için fazlasıyla görünürdüler. Veri yok etme, fidye yazılımı vb. Rakiplerimizin de Ukrayna’daki görünürlüğü yüksek; bazen onlarla işbirliği içinde bile çalıştık, bu da ülkede tam olarak ne olup bittiğine dair daha net veriler elde etmemizi sağladı. Bu da bunların medyada çok fazla yer almasına yol açtı.
Rusya’yı hedef alan bazı saldırılar da oldu ama onlar bu kadar dikkat çekmedi. Bazılarına özel raporlarımızda yer verdik. Bölgede şu anda aktif olan (çoğunlukla Çince konuşan) çok sayıda aktörü izliyoruz. Fakat bildiğim kadarıyla ciddi anlamda yıkıcı herhangi bir aktivite yok.
– Anonymous’ın Rus web sitelerine zarar veren bazı saldırıları üstlendiğini duyduk. Bazı sitelere gerçekten zarar da verildi. Bu “Anonymous” eylemlerinin 15 yıllık geçmişi olan hareketle bağlantısı olduğunu düşünüyor musunuz?
– Ben Anonymous’ın tabandan gelen bir hareket olmaktan yıllar önce çıktığını düşünüyorum. Hala bu markayı kullanan gerçek “hacktivizm” eylemleri olsa da ara sıra APT’lerin de kendi bilgi savaşlarını yürütmek için bu kimliğe büründüğü yadsınmaz bir gerçek.
Ben prensip olarak şuna inanıyorum: Araştırmacılar bir saldırıdan hangi grubun sorumlu olduğunu bulmaya çalışırken saldırıyı kimin üstlendiğini dikkate almadan yalnızca teknik unsurlara odaklanmalı.
– Avrupa’da bazı hükumetler vatandaşlarına Kaspersky ürünleri kullanmamalarını söylüyor. Ancak Fransa mümkün olduğunca tarafsız kalmaya çalışıyor. Bu seçim yüzünden mi? Yoksa Fransa’daki insanlar Ukrayna’daki çatışma hakkında farklı bir duruşa mı sahip?
– Bence bu Fransızlardan ziyade ülkenin kurumlarıyla ilgili bir durum. Siber güvenlik düzenleme kurumu ANSSI çoğu meselede tarafsız pozisyonunu korumaya çalışıyor. Bunun dışında bence Fransa da Ukrayna’daki çatışmalar konusunda Avrupa’nın geri kalanıyla aynı algıyı paylaşıyor. Seçim dönemimde hiçbir politikacı Vladimir Putin’e sempati duyuyormuş gibi algılanmak istemez.
– Peki GReAT’in bilgi güvenliği dünyasının geri kalanıyla iletişimi ne olacak? Bazı kuruluşlar GReAT ile bağlarını koparıyor. Bu işinizi nasıl etkileyecek?
– Bizim için esas mesela bize bazı hizmetler sağlayan ABD şirketleriyle ilgili. Bu şirketler ya bizimle bağlarını koparmayı düşünüyor ya da halihazırda araçlarına erişimlerimizi kısıtladı. Bu da günlük araştırmalarımızı yürütme becerimizi etkiliyor.
Sektördeki meslektaşlarımızla fikir alışverişine gelince, evet, bazıları artık bizimle konuşmuyor. Yine de çoğunlukla diğer araştırmacılarla kişisel ilişkilerimiz etkilenmedi.
Genel olarak bakarsak daha az bilgi alışverişi olması tüm endüstrinin misyonunu yerine getirme becerisini azaltacaktır.
– GReAT uzmanları birbiriyle nasıl iletişim kuruyor? Gerçek hayatta düzenli toplantılarınız oluyor mu? Moskova’ya gelip ekip arkadaşlarınızla bir bira içiyor musunuz?
– Doğrusu işler bir süredir zor. Biz tamamen uzaktan çalışan bir ekibiz ve farklı bölgelerin iş koordinasyonu için kendi haftalık toplantıları var. Şirkete ilk katıldığımda yılda en az bir defa büyük bir toplanma oluyordu, Güvenlik Analistleri Toplantısı da yüz yüze gerçekleşiyordu. Fakat Covid dolayısıyla bir süredir ikisi de yapılamıyor.
Ayrıca ekibin Rus üyeleriyle vakit geçirmek için düzenli olarak Moskova’ya da giderdim ama bunu tekrar ne zaman yapabileceğimiz de bir muamma. Umarım birbirimizi görmenin bir yolunu buluruz çünkü bunlar harika seyahatlerdi.