top of page
Search
Writer's pictureAdam Claes
Jun 24, 20215 min read

Achter de schermen met het hoofd van Kaspersky's GReAT

Costin Raiu werkt sinds 2000 voor Kaspersky, eerst als Chief Security Expert die verantwoordelijk is voor het onderzoek in de EEMEA-regio. Hij werd in 2010 benoemd tot directeur van ons Global Research and Analysis Team (GReAT). Tijdens zijn tijd bij Kaspersky leidde hij het onderzoek van het bedrijf naar enkele van de meest bekende cyberbedreigingscampagnes in de recente geschiedenis, van de zeer destructieve computerworm Stuxnet to the Dukes geavanceerde aanhoudende dreiging, waarvan werd aangenomen dat deze zich in 2014 had gericht op het Witte Huis en het Amerikaanse ministerie van Buitenlandse Zaken. In ons gesprek met Costin besprak hij de carrière van een beveiligingsonderzoeker, inclusief de uitdagingen en voordelen, zoals evenals wat advies voor nieuwkomers in het veld.




Hoe ben je je carrière in cybersecurity begonnen?


Ik ben er vrij zeker van dat ik per ongeluk in cybersecurity ben beland. Het was begin jaren negentig en het netwerk van mijn middelbare school was aangevallen met een computervirus dat bekend staat als slechte sectoren. Helaas was geen van de beschikbare antivirusprogramma's op dat moment in staat om het virus op te schonen, dus de leraren die wisten dat ik enige computerervaring had, vroegen of ik er een antivirusprogramma voor kon maken. Zo heb ik mijn eerste antivirus gemaakt en sindsdien vragen mensen me of ik ze een op maat gemaakt antwoord op hun problemen kan geven. En met de tijd evolueerde het naar een krachtiger antivirusprogramma. Zo raakte ik geïnteresseerd in computerbeveiliging.


Wat maakt onderzoek succesvol?


Ik veronderstel dat het iets revolutionairs of anderszins unieks zou moeten zijn, iets dat nog nooit eerder is genoemd en dat het potentieel heeft om een groot aantal gebruikers en anderen te beïnvloeden. Als we een nieuw soort aanval ontdekken, zoals een aanval op de toeleveringsketen van hardware of een geavanceerd persistentiemechanisme dat een van de programmeersubroutines op laag niveau van uw computer vervangt door kwaadaardige code, zal het onderzoek effectief zijn.


Hier is een terugkeer naar de jaren negentig. Het was voordat de wereld op de hoogte was van beveiligingsfouten en zero-day exploits. En er was toen niet veel onderzoek naar kernel-exploitatie. Ik heb dit verder onderzocht en ontdekte een zero-day kwetsbaarheid in de Windows-kernel waardoor iedereen zijn privileges zou kunnen verhogen en het systeem zou kunnen compromitteren. Toen probeerde ik het aan Microsoft te melden, maar er waren op dat moment geen goede rapportagemethoden beschikbaar. Het was bijna moeilijk om iemand te vinden die de bug zou toegeven en het echt zou oplossen. Na enkele maanden van e-mails hebben ze de kwetsbaarheid eindelijk erkend.


Hoe neem je APT's?


We hebben geen vaste strategie, waardoor de onderzoekers meer flexibiliteit hebben. Je hebt snel geen namen meer als je je aan een heel specifiek strak schema houdt, zoals een indextabel met een beperkt aantal elementen. Een ding dat we proberen te vermijden, is het gebruik van de voorgestelde naam van de virusauteurs. Het werkt niet altijd, maar het concept om de virusontwikkelaar niet te eren door de naam te gebruiken die ze aanbieden, bestaat al sinds de begindagen van computer-antivirusonderzoeksbureaus. Je moet het een naam geven die het tegenovergestelde effect heeft, omdat dit hen ervan kan weerhouden om meer virussen te maken.


Wat was de gekste ontdekking die je hebt gedaan?


Het gebeurde slechts een paar dagen voor mijn verjaardag in april 2015. Toen ik een bericht kreeg van een van mijn collega's, was het laat in de nacht, misschien elf uur. "We werken aan iets ingewikkelds", verklaarde hij. "Het is heel groot, heel gevaarlijk en heel, heel ernstig." "Je weet dat het elf uur is, serieus, is dit een soort grap?" riep ik uit. Ik ging naar bed omdat ik er niet van overtuigd was dat het serieus was, en ik werd de volgende ochtend om 7 uur wakker. Toen ik om 7 uur mijn computer aanzette, was die persoon online. Dit was niet normaal voor hem. Hij werkt tot laat, maar is zelden voor 12.00 of 13.00 uur op internet. Dus ik stuurde hem een bericht met de vraag: "Hé, wat is er?" "Wat doe je om 7.00 uur op?" 'Ik werk aan het probleem, aan het materiaal van gisteravond,' zei hij. "Ok, geef me wat details en stuur me een voorbeeld", schreef ik.


We begonnen het te onderzoeken en het bleek behoorlijk ingewikkeld en ingewikkeld te zijn. Het was tussen de 600 en 800 KB groot en het kostte veel moeite om erachter te komen wat het deed. Ik nam eerst aan dat het een soort van onbedoelde of willekeurige infectie was, maar het werd al snel duidelijk dat dit niet het geval was; het was Duqu 2, zoals het uiteindelijk werd genoemd.


Wat is het leukste aan het werk van een beveiligingsonderzoeker?


Het leukste aan mijn werk is dat je nooit weet wat je op een bepaalde dag gaat krijgen. Twintig jaar geleden verzamelden we ongeveer één nieuw stukje malware per dag. Het aantal nieuwe malware-samples per dag nadert nu de half miljoen. Ook het aantal geavanceerde aanvallen neemt toe.


Het is zowel zorgwekkend als fascinerend voor iemand die op het gebied van computerbeveiliging werkt. We zijn bezorgd dat cyberwapens in opkomst zijn en dat gewone gebruikers, zoals degenen die internet alleen gebruiken om te winkelen, e-mails te verzenden of films te kijken, de dupe worden. Aan de andere kant is dit een boeiend onderwerp voor ons. "Moge je in spannende tijden leven", zegt een oud Chinees spreekwoord. Ik kan je vertellen dat de tijd waarin we nu leven misschien wel de meest opwindende in de geschiedenis van computerbeveiliging is.


Hoe overwin je de uitdagingen?


Ik veronderstel dat verschillende mensen over de hele wereld verschillende oplossingen ontdekken. Er is kunstmatige intelligentie, die heel nuttig is, evenals automatisering en robotica, die ons helpen bij het beter beheren en identificeren van risico's. Aan de andere kant zullen samenwerking en informatie-uitwisseling tussen onderzoekers over de hele wereld waarschijnlijk de kern vormen van het oplossen van dit probleem. Sinds de begindagen van computerbeveiliging pleit de Computer AntiVirus Onderzoekers Organisatie (CARO) voor het delen van informatie tussen vertrouwde partijen, en dit is hoe we de groeiende dreiging van computervirussen effectiever kunnen bestrijden. Verschillende coöperatieve groepen hebben dit de afgelopen jaren naar een nieuw niveau getild.


Welk advies kunt u geven aan nieuwkomers op het gebied van cyberbeveiliging?


Als ik opnieuw zou beginnen op het gebied van computerbeveiliging, zou ik zeker beginnen met het leren van een programmeertaal zoals C of C++, en daarna verder gaan met reverse engineering en het opsporen van bedreigingen, hoogstwaarschijnlijk met behulp van YARA. Aan de ene kant is reverse engineering altijd nuttig voor uitzoeken hoe bedreigingen werken en verschillende soorten malware ontleden. YARA daarentegen helpt u bij het verbeteren van uw verzameling van bedreigingen, informatie over bedreigingen, het detecteren van nieuwe soorten malware en het correleren van alle aspecten van een aanval.


Doe mee met webinars, GEWELDIGE Ideeën en de Security Analyst Summit (SAS) online tot veiligere tijden aanbreken. Ik wil jullie daar allemaal zien, en als de pandemie eenmaal voorbij is, hoop ik iedereen persoonlijk te zien.Neem bij problemen contact met mij op via Bellen Kaspersky Klantenservice.


2 views0 comments

Comments

bottom of page