Costin Raiu自2000年以来一直在卡巴斯基工作,最初担任首席安全专家,负责EEMEA(EMEA是欧洲、中东和非洲的简称)地区的研究工作。2010年,Costin Raiu成为卡巴斯基全球研究与分析团队(Global Research and Analysis Team,GReAT)的总监。在卡巴斯基任职期间,他领导了公司对近期记忆中一些最臭名昭著的网络威胁活动的研究,从极具破坏性的计算机蠕虫Stuxnet到2014年的Dukes APT。本文是对对Costin采访,他谈到了安全研究员的工作、挑战和优势,并为网络安全新手提供了一些建议。
1.您是如何开始您的网络安全职业生涯的?
我可能是偶然进入网络安全领域的。那是在90年代初,我高中的网络感染了一种计算机病毒,一种名为BadSectors的非常讨厌的病毒。遗憾的是,当时市面上的杀毒产品都没有真正能够清除病毒的,所以知道我有一定计算机经验的老师问我能不能写一个杀毒软件。这就是我编写我的第一个反病毒软件的方式,从那一刻起,越来越多的人问我是否可以为他们的问题编写一个定制的解决方案。慢慢地,这变成了一种功能更强大的防病毒产品。这就是我进入计算机安全领域的方式。
2.是什么使研究工作取得成功?(笔者注:这很重要)
我想,它应该是开创性的或特别的,以前从未讨论过的新事物,并且有可能影响很多用户和其他人。如果我们识别出一种新型攻击,例如某种硬件供应链攻击,或者可能是一种复杂的持久性机制,它可以用恶意代码替换您计算机的一个低级编程子例程,那么研究就成功了。
在90年代,那是在世界知道安全漏洞和零日漏洞之前。那时对内核利用的研究并不多。我朝这个方向做了一些调查,并设法在 Windows 内核中找到了一个零日漏洞,它允许任何人提升他们的权限并破坏系统。然后我尝试向Microsoft报告它,但是当时没有很好的报告渠道。几乎不可能找到承认这个错误并实际修补它的人。在他们最终承认该漏洞之前,他们花了几个月的时间发送电子邮件。
3.您如何命名APT?
我们没有一个特定的方案,这给了研究人员更多的自由。如果你坚持一个非常具体的狭窄方案,如一个元素数量有限的索引表(笔者注:这里指微软威胁情报中心用于跟踪APT的元素周期表),你很快就会用完的名字。我们努力做的一件事是避免使用恶意软件作者建议的名称。这并不总是有效的,但从计算机反病毒研究组织的早期就有的想法是,不要通过使用他们建议的名字来尊重病毒作者。你应该使用一个具有相反效果的名字,这可能会阻止他们进一步制作恶意软件。
笔者注:
APT组织命名和APT组织归因密不可分,需要对一个国家的历史、文化、国家政策和国际关系非常非常熟悉,非常有学问和挑战的一件事情!拿海莲花来说,其中的“海”代表南海冲突,“莲花”,在民间有一种说法,是某国的国花。
4.你最疯狂的发现是什么?
那是2015年4月的一天,就在我生日的前几天。当我收到一位同事的消息时,已经很晚了,大概是晚上十一点。他说了一些大意是“我们正在研究一些复杂的东西,它非常大,非常危险,而且非常非常严重。” 我当时想“你知道现在是11点,这真的是开玩笑吗?” 我不确定它是否严重,所以我上床睡觉,第二天早上七点左右醒来。我打开电脑,你瞧,那个家伙早上7点在线,这对他来说很不寻常。他确实工作到很晚,但他通常之前从不在线,比如中午12点或下午1点,所以,我给他写了一条消息:“嘿,发生什么事了?为什么早上七点起床?” 他回答说:“我正在处理这个问题,处理昨晚的事情。” 我写道:“好的,给我一些细节,给我发一份样本。”
我们开始研究它,它相当复杂,非常复杂。它的大小在600到800KB之间,需要做大量工作才能弄清楚它的作用。我最初认为这是某种意外或随机的恶意软件,但很快就发现这不是随机事件,它就是后来被称为Duqu 2(最富有技术能力、最神秘、最强大的APT组织,https://www.antiy.com/response/Duqu-2.pdf)。
笔者注:
2015年06月10日,卡巴斯基公开披露其内网被某国政府资助的顶级APT攻破。
“坏消息是我们发现了针对我们内网的一种高级攻击。该攻击的方式不仅复杂和隐秘,甚至还利用了我们内网中的多个零日漏洞,因此我们十分确信其背后一定有某个国家政府的资助。”
https://www.kaspersky.com.cn/blog/kaspersky-lab-investigates-hacker-attack-on-its-own-network/3121/
5.安全研究人员工作中最有意思的是什么?
这份工作最有意思的是你永远不知道在某一天会发生什么。二十年前,我们过去常常每天收集大约一个新的恶意软件。现在,这个数字每天接近50万个新恶意软件样本。复杂攻击的数量也在爆炸式增长。
对于从事计算机安全工作的人来说,这既令人担忧又非常非常有趣。我们担心网络武器正在增加,受害的将是普通用户,那些只是使用互联网购物、写电子邮件或看电影的人。另一方面,这对我们来说非常非常有趣。中国有句古话:“愿你生在有趣的时代”。我可以告诉你,我们现在生活的时代可能是计算机安全史上最有趣的时代。
笔者注:
“中国有句古话:“愿你生活在有趣的时代”。无论喜欢与否,我们都生活在一个有趣的时代。这个时代充满危险与不确定性,但却又是人类历史上最富创造性的时代。
6.您如何克服挑战?
我想世界各地不同的人会找到不同的解决方案。人工智能有很大帮助,自动化和机器人可以帮助我们更有效地管理和识别威胁。但世界各地研究人员之间的合作和信息交流可能是解决这个问题的核心。计算机反病毒研究组织(Computer Antivirus Research Organization,CARO)从计算机安全的早期就提倡在可信方之间共享信息,这就是我们如何更有效地对抗日益增长的计算机病毒威胁。近年来,不同的合作团体已经将其提升到了更高的水平。
笔者注:
计算机反病毒研究组织(Computer Antivirus Research Organization,CARO)是一个成立于1990年的组织,专门研究恶意软件。年度研讨会是最大的 CARO 活动。研讨会通常由本国的一家反病毒公司组织和主办。研讨会于2007年开始,参加人数仅限于120-130名顶级反恶意软件专家。2022年研讨会由捷克反病毒公司Avast举办。
CARO官网
http://www.caro.org/
7.您对网络安全领域的新人有什么建议?
如果我要重新开始计算机安全,这是我对所有想要在计算机安全方面获得更多经验的年轻研究人员的建议:“我可能会从学习一种编程语言开始,比如C、C++,然后我会进入两个领域:逆向工程和威胁狩猎(YARA)。”一方面,逆向工程总是有助于了解威胁如何运作以及如何剖析不同的恶意软件变种。另一方面,YARA将帮助您在威胁收集、威胁情报、发现新型恶意软件以及关联攻击中的所有点方面变得更加高效。
以上原文发表于2021年6月22日
原文链接:
https://securelist.com/behind-the-scenes-with-the-head-of-kasperskys-great/102933/
访谈视频:
https://www.youtube.com/watch?v=FQxIY2qztoc&ab_channel=Kaspersky
这就完了吗???!!!
=======================================================
8.你认为你工作中最难的部分是什么?(它可以是技术上的或道德上的或其他什么)你在工作中遇到的最危险的情况是什么?
我从事计算机反病毒研究已超过22年。在2008年之前,一切都非常顺利和容易。然后几乎在一夜之间,出现了由民族国家发起的攻击。我想第一个大的是极光行动(https://en.wikipedia.org/wiki/Operation_Aurora),这入侵了谷歌、雅虎和其他公司。从那以后,我的工作变得越来越复杂,从各个方面来看都是如此。一些最棘手的事情包括:“什么时候发布报告?”,“研究什么时候真正完成?”,“只研究来自世界一侧而不是另一侧的威胁是否合乎道德”,“谁做了它”和“你为什么要发布它”。我尝试使用一个简单的系统来解决这些问题 - 我们研究并发布任何类型的威胁,无论其来源如何。当研究完成并且我们确信我们的分析很有说服力时,我们就会发布。在互联网上,回答“谁干的”有时是不可能的。。。。。。
笔者插播:
Brian和Juan:这是一个很好的问题,很少有人详细回答,部分原因是让对手知道你在归因中使用的是什么,这样他们就可以操纵完全相同的数据。几乎没有什么东西是不能伪造或操纵的,这就是为什么这个行业有时会就归因问题展开如此激烈的争论。
在归因攻击中似乎经常使用的主要部分通常集中在代码中使用的语言、编译恶意软件的时间、攻击背后的动机、目标类型、攻击期间使用的IP地址、数据所在的位置被发送到之后等等。所有这些都用于一种“矩阵”中,以确定讨论归因时的潜在参与者。以DNC攻击为例,许多专家认为攻击中使用的恶意软件以及使用的一些基础设施仅属于两个“组”。
关于Duqu 2,我们的反应与任何其他AV供应商在您的网络上发现非常先进的对手时的反应一样。。。。。。我们在枕头上尖叫了一会儿,然后开始弄清楚他们部署了什么。它部分是使用我们名为“KATA”的反APT产品的早期版本发现的。在最初的惊喜消退后,我们不得不承认倒车忍者玩得很开心 ;)
9.即将完成软件工程学位,如何做才能涉足安全领域?我的大学在这个问题上肯定没有“正式主题”,我不知道我会如何参与其中。实习?有在线课程吗?还是我必须去火腿并进行自我研究?
对我来说,安全一直是计算机科学中最有趣的方面。无论我在做什么,安全都会成为最重要的问题之一。就我而言,我在高中时开始认真对待安全问题,当时我们的网络被名为BadSectors.3428的病毒感染。那时,没有任何防病毒产品能够检测到它,所以我利用我的汇编技能将它拆开并为它编写了一个清理程序。我记得花了半天一整夜的时间来做(我很害怕我们学校的其他人会比我更快地想出一个解决方案)。
如果你喜欢安全,我建议你申请一家大型互联网安全公司的实习生。这是一个很好的机会,看看这是否是您喜欢的事情。
10.随着人工智能(AI)变得越来越普遍,我们是否正在向我们可能无法克服的威胁敞开心扉?我可能读了太多投机小说,但机器获得意识并转向人类看起来可能会发生。AI是否应该配备终止开关?您对AI有何看法?您是否认为它们可能构成威胁?
AI的主要问题之一是它的名字有点太夸张了。人工智能(到目前为止)是帮助完成各种任务的方法和算法的集合,特别是那些涉及大量数据的任务,这在互联网时代非常有趣。具有基于这些数据“学习”的能力,基本上是根据以前的结果改进他们的结果,使得这些算法随着时间的推移在特定任务中真正表现出色。
现在,从那里转向自我意识是另一回事。在我看来,我们离那里还很远,但对于外部观察者来说,它可能看起来像是我们经常使用的服务数量,而且看起来非常聪明,这可能看起来像真正的智能。看看“中国盒子”实验就明白了,但在这一点上,这可能更像是一个哲学问题,而不是技术问题。
11.我如何在计算机安全(网络)领域建立职业生涯?军队是个好办法吗?
我想这在很大程度上取决于你住在哪里。在以色列,军队,尤其是 8200 部队被视为计算机安全事业成功的起点。在其他地方,正规教育,如麻省理工学院,效果很好。
就我个人而言,经验最有效。我建议您申请在一家安全公司实习,并开始从现实世界中学习安全。不幸的是,如今太多的正规教育系统远远落后于现实世界中正在发生的事情。我见过有人以计算机科学学位完成大学学业,但是,他们不知道任何实用的安全性,只了解5-10年的理论。
12.自从DNC事情开始以来,有一个问题一直困扰着我:是否真的可以“公平”地肯定地说那次袭击是RU国家支持的袭击?
因为这似乎是一个关于攻击归因的可能性的问题,让我从技术术语上解决它。基本上,“是”和“否”。归因的问题(以及我们说这很难的原因)是许多技术指标可以被伪造或操纵,以使研究人员脱离真正的攻击者的踪迹。我们将发表一篇关于发生这种情况的案例的论文(Wave your false flags! Deception tactics muddying attribution in targeted attacks,https://www.virusbulletin.com/virusbulletin/2016/11/vb2016-paper-wave-your-false-flags-deception-tactics-muddying-attribution-targeted-attacks/)。
也就是说,这并不是说这是一个完全匿名的行为。研究人员一直指出的事实是,所使用的恶意软件是已知的,并且聚集到两个特定的组(我们称之为CozyDuke和Sofacy),这两个组已知是说俄语的,并且为这两个组使用已知的命令和控制基础设施团体。我理解怀疑和讨论的内容,但从技术角度来看,这是非常合理的。
13.你认为Stuxnet真的是由一个像纪录片零日描绘的那样在NSA办公室周围穿着黄色连帽斗篷的人开发的吗?
那是我见过的最可怕的黑客形象。我假设它是通过途中的一些扭曲重建的。这可能让那个人(如果他存在的话)笑得心脏病发作。我认为 Stuxnet 很可能是由几个人共同完成的。他们可能很奇怪,可能是反社会的,但非常专注于最终目标。这对他们来说很可能很有趣,而不仅仅是命令。
纪录片零日(Zero Days 2016)/《零日网路战》
https://www.imdb.com/title/tt5446858/
https://www.bilibili.com/video/BV1Jv41167bk/
14.让我们谈谈动机。是什么让您日复一日地从事恶意软件研究?我想你们每个人都有比“我们让 APT保持警惕”更深刻或更个性化的原因是处于研究的前沿,玩最坏的病毒,还是其他原因?
哦,伙计。。。。。。你会从我们每个人那里得到不同的答案,我敢肯定。没有人渴望在公开论坛上进行治疗师会议,但我会尽可能诚实,希望不会让自己难堪。有多种动机。其一,我喜欢与才华横溢的人一起工作。团队中的每个人在各方面都比我更聪明、更能干。这是每天的谦逊学习练习,也是让我参与工作的挑战。到那时,当你陷入困境一段时间然后取得重大突破时,它会让人上瘾,工作与生活的平衡是一件很难维持的事情(向那些与孩子和家人一起做这件事的人致敬)。
另外值得一提的是,我觉得GReAT在做的工作是有历史价值的。作为间谍文学和历史的忠实拥护者,我认为私人实体从未有过这样的时间可以将自己注入间谍空间的口袋并见证如此多的东西,了解如此多的东西并塑造该空间以更好地保护一大片目标。它感觉很重要,很有意义,很难放手。
15.你们是怎么进入这个领域的?这是一直让我感兴趣的事情。从事这样的职业需要哪些必要技能?
好奇心驱使着我们大多数人。在另一门科学中,比方说在物理学中,好奇心促使人们解释和陈述物理定律。其他人来尝试打破模型,找出它的弱点和行不通的地方。有些人破坏事物以利用弱点,并以其他人的痛苦为代价非法致富。我们拥有相同的技能,但觉得正在发生的事情是不对的,我们不能坐以待毙,我们会采取行动阻止他们。
要想在信息安全领域谋得一份职业,当物理定律(或技术设计)在你的控制之下时,你会被你可以做的魔法所催眠。很快,您就会意识到您正在阅读新型书籍,并且Google不再根据您的搜索习惯来识别您的个人资料。
学习如何在公共场合写作、演讲;了解历史和政治;对音乐和艺术感兴趣。这至少会让你成为一个更完整的人,并开启你的可能性。技术来来去去,深厚的知识永远存在。
以上原文:
https://www.reddit.com/r/IAmA/comments/4uueqa/we_are_kaspersky_labs_global_research_analysis/
全文完。
往期精选
围观
热文
热文