Zagrebačka tvrtka ReversingLabs slovi za jednu od najboljih u svijetu kada je riječ o kibernetičkoj sigurnosti, poglavito u osiguranju opskrbnih softverskih lanaca. Jednostavno, softverski instalacijski paket koji prođe kontrolu inženjera tvrtke koju su osnovali Mario Vuksan i Tomislav Peričin sasvim je sigurno bez malwarea ili drugih štetnih komponenti. Erik Thoen potpredsjednik je ReversingLabsa za proizvode koji se tvrtki pridružio nakon dvadesetoljetne karijere u razvoju softvera. Diplomirao je i doktorirao elektrotehniku i računarstvo na glasovitom MIT-u. S njim smo razgovarali u zagrebačkom uredu, u koji će nakon pandemije mnogo češće dolaziti.
– Prije MIT-a išao sam na fakultet Swarthmore, gdje sam upoznao Marija, s kojim sam ostao u kontaktu. Potom sam radio u nekoliko tehnoloških tvrtki, a posljednjih nekoliko godina u kibernetičkoj sigurnosti. ReversingLabsu privuklo me to što se bavi jedinstvenom tehnologijom i odmah sam uvidio da za takvu novu tehnologiju postoji i veliko tržište. I to je ono što radim posljednjih nekoliko godina. Priču o ReversingLabsu vjerojatno znate, u početku su bili koncentrirani samo na malware, a danas su se razvili u tvrtku koja vlada sigurnošću lanca dobave softvera. A tu je situacija bitno opasnija jer se softver plasiran kroz lanac, u slučaju da nosi maliciozan kod, širi od njegova izdavača pa do svakoga tko koristi taj softver, svi su u opasnosti da budu napadnuti. Oni su sa svojom temeljnom tehnologijom došli u situaciju da treba prepoznavati kada je malware usađen u vrlo komplicirane softvere, kao što je to bio slučaj sa SolarWindsom. I u tome su se izvještili toliko da obavljaju takav zadatak bolje od bilo koga u svijetu. Prilika je bila tu, imate tehnologiju koju su razvili Tomislav i Mario, a gotovo svaka moderna kompanija radi nekakav softver i gotovo svatko te softvere kupuje. Tako su tržište zapravo svi, golemo je! Ovo je doista savršeno vrijeme za rad u kibernetičkoj industriji.
I nije vas iznenadilo da takvo znanje može doći iz Hrvatske?
Vjerojatno sam i ja bio u toj kategoriji, onih koji nisu vjerovali da takvo znanje može postojati u Hrvatskoj. No, jedna od stvari koja se ovdje doista dobro radi jest da se školuju kadrovi koji se kao potencijal prepoznaju još za studija te se dodatno usavršavaju, a onda ide učenje tehnologije koju tvrtka razvija. A danas je područje kibernetičke sigurnosti doista jedinstvena vještina pa zaista trebate ljude koji su za nju zainteresirani. Nema ih puno na tržištu; ako ih dobijete, treba im dati alat da se dalje razvijaju. U ReversingLabsu su dosta dobri u nalaženju upravo takvih ljudi, od kojih onda nastaje cijeli lanac znanja. Zapošljavamo pojedince velikog potencijala i educiramo ih za naše područje kibernetičke sigurnosti. I to nisu samo programeri nego i cijela lepeza ljudi sa specijaliziranim znanjima. Imamo tako ovdje program managere koji odlučuju o strategiji, dizajnere korisničkog iskustva... A ReversingLabs postao je poznata i prepoznatljiva tvrtka, kibernetička sigurnost jako je tražena i za nju će uvijek biti tržišta, pa sve više ljudi želi doći. Ovdje možemo ponuditi velike prilike za razvoj i napredovanje. Više u Americi doista ne pitaju kakva je to tvrtka ReversingLabs.
Znači, u Americi niste imali problem sa zapošljavanjem?
Ne, mreža nam je sada čak jako rasprostranjena iako je i dalje više ljudi u Hrvatskoj nego u SAD-u. Jedino je fokus drukčiji: želite li razgovarati o razvoju, onda je adresa Hrvatska, a ako želite o prodaji i marketingu, onda je to SAD. I to je dobro jer riječ je o razlikama koje se dopunjuju. U hrvatskom uredu ljudi se često oduševe detaljima, poput ovih figurica različitih malwarea, dizajnima na zidovima koje su naši djelatnici izrađivali sami, polude, primjerice, za naljepnicama. I po tome se razlikujemo od stotina marketinških agencija koje dolaze iz Silicijske doline, zbog tog našeg jedinstvenog karaktera.
Kako se točno sklopi i odvija suradnja s velikim korporacijama, ali i s vladinim institucijama poput Pentagona ili nečega sličnoga?
Jasno, svaka korporacija ili vladina agencija ima drukčiji pristup. Primjerice, niz je dijelova vladine administracije uvjeren kako je napad na SolarWinds zapravo bio napad na njih jer i jest zahvatio velik broj tih entiteta. I vlada je odgovorila stvarajući širok spektar okvira i zahtjeva u vezi sa sigurnosti softverskih materijala koje koriste. To još nisu zakoni ili službene regulative, ali u tijeku je stvaranje standarda za analiziranje svega što ulazi u softvere koji se koriste u vladi i drugdje. Tu je predvodnik vlada, ali je vrlo vjerojatno kako će te standarde koristiti i šira poduzetnička zajednica, jednostavno zato što svi imaju isti problem. Stvari su se u tom smislu promijenile, pa vi zapravo više i ne prodajete svoj proizvod, oni prepoznaju problem i traže za njega rješenje, za koje sada postoje zahtjevi i standardi. Redovito dobivamo ista pitanja od poduzetnika i administracije, koji se sada boje da ne naprave pogrešku i dopuste da ih se napadne. A brane se prateći te standarde te koristeći se našim alatima, koji im obranu omogućavaju na lak način. K tome, imamo najveći bazu malwarea u svijetu, s kojom možemo usporediti bilo što u softverskom lancu što bi bilo sumnjivo. Više nije potrebna detaljna tehnološka diskusija, sada se raspravlja o tome kako ćemo se braniti. Sada se te prijetnje znatno bolje razumiju.
Danas postoje jake hakerske zajednice koje snažno podupiru njihove države kao što su Iran, Kina, Rusija. Kako se ostaje ispred njih u kibernetičkoj sigurnosti?
Prije SolarWindsa imali ste vrhunske tehnološke kompanije koje su koristile naša rješenja za kontrolu svojih lanaca opskrbe softverom. Sada za te kompanije znatno pojednostavljujemo taj proces, kao i za sve druge ljude. Pristup je sada proaktivan, postoji svijest o opasnosti te se za nju traže rješenja. Veliko je zanimanje organizacija koje smatraju da su jako izložene. I to se zaključuje logično jer, primjerice, nakon ruskog napada na Ukrajinu javilo nam se puno kompanija koje su ili imale ogranak u Ukrajini ili su imale ugovornog partnera u toj zemlji, pa je bilo očito, bili oni već napadnuti ili ne, da postoji opasnost. Puno su proaktivniji u tom smislu, više se procjenjuju rizici koje takve situacije nose.
Može li se prepoznati odakle je napad ili malware došao?
Prepoznati to može biti vrlo izazovno. U nekim slučajevima hakeri čak i žele da ih prepoznate, no uglavnom ne žele. Tako se koristimo neizravnim informacijama, kod kojih je i dalje teško sa stopostotnom sigurnošću reći odakle je napad došao. Kod nekih napada, poput upravo onog na SolarWinds, prilično je sigurno tko je to bio, kod drugih je to puno teže otkriti. I to je cijelo novo područje kojim se nastoji ovladati, postići konzistentnost u praćenju, uočiti određene šablone da bi se ta sigurnost povećala. K tome, hakeri se i stalno prilagođavaju jer je hakiranje unosan posao na više načina, a i oni sami vrlo su kreativni. Primjerice, često se koriste open source kodom gdje haker ukrade osobne podatke nekog programera, logira se, stavi backdoor, a svi i dalje koriste taj komad koda za svoje softvere i tako se taj backdoor širi praktično nepregledno. A postoji niz takvih sofisticiranih tehnika na koje stalno nailazimo. Nedavno smo prepoznali Icon Burst kod kojih se hacker koristio tipfelerom u imenu paketa u kojem su bile ikone gdje se pri traženju pravog paketa prvo pojavljivao onaj hakirani. Korištenje tako jednostavnog paketa otvorilo je ozbiljnu rupu u sigurnosti onih koji su ga koristili ne sumnjajući. Slično je i s e-mailovima ili lažnim internetskim stranicama koji doista izgledaju kao originali, a skrivaju prijetnju. Zato je naša taktika da rastavljamo konačan proizvod u kojem tražimo određene šablone ponašanja. Jednostavno gledamo obrnuto, nama je svaki komad softvera, bez obzira na to čemu je namijenjen i tko ga je napravio te radi li ispravno ili ne, pokvaren, gledamo ga kritički. A ta ponašanja mogu biti slanje podataka na neku neočekivanu lokaciju, poput Rusije. Očito je da tu nešto doista može biti pogrešno. Cilj je tih napada stvoriti točku kontrole i eksfiltracije, staviti nešto što sjedi u kolektivnoj domeni, prikuplja informacije i šalje ih van ili ih, u slučaju ransomwarea, zaključava. Niz je razloga zašto bi netko to radio, a isto tako treba jako puno vremena da se shvati kako vam je u softveru takav element.
Je li bilo i ozbiljnijih napada od onog na SolarWinds?
Ne otkrivamo javnosti baš sve što pronađemo; u nekim slučajevima kada je riječ o javno dostupnim paketima, izvijestit ćemo o tome, katkad i dati kontekst, pogotovo ako se radi o open sourceu. Ali ima i slučajeva kada je riječ o vrlo poznatim organizacijama čiji softver vjerojatno imate i na vlastitom računalu. Tada ćemo reći kako smo nešto pronašli i vrlo uskoro pojavit će se neki patch, problem se potiho tako riješi. SolarWinds je bio zanimljiv jer je bio tako javan, svi su za to znali, bila je to i javno objavljena informacija u bilanci gdje su se izjasnili o šteti koja je nastala, o financijskom učinku, djelovanju na cijene njihovih dionica, prodaju, bio je to golem utjecaj na njihove financije u to vrijeme. Tomislav je o tome napisao odličan post na blogu. Sada koriste naše alate, znači da su prepoznali što im se dogodilo i kakav to problem može biti. A oni su u vrijeme napada već imali izuzetno dobre alate za kibernetičku sigurnost, imali su i najmodernije standarde funkcioniranja, no ta je vrsta napada za njih bila nova. Dosta tih alata nije bilo napravljeno da reagira na takvo što. I zbog toga smo toliko drukčiji. I dalje trebate imati sve te alate, ali isto tako trebate obratiti pozornost na stvari poput malwarea, ponašanja softvera, to je priroda tih novih napada.
Što je s mobilnim uređajima, svi ih imaju, Android je open source, pa nisu li to uređaji pod najvećom prijetnjom?
Naša tehnologija pokriva najširi spektar. Podupiremo sve, i one koji rade softvere za Windows, Mac ili iOS, Android... U mobilnom ima više varijanti, a i mnoge će organizacije imati više platformi na kojima rade, ne samo jednu. Primjerice, banke će imati aplikacije za mobilno bankarstvo koje će raditi na više platformi pa je jasno koliko moraju paziti jer će pogreška utjecati na tisuće korisnika. Često imaju i SAS infrastrukturu za provođenje plaćanja, pa onda i internetsku stranicu za online bankarstvo. Najčešće je to miks. Želite li sve imati pod kontrolom, mi to možemo, pokrivamo sve masovne platforme.
Jeste li imali slučaj da niste uspjeli, da vam je malware pobjegao? Može li se takvo što dogoditi?
Od korisnika i od javnosti dobivamo jako puno povratnih informacija. Tu je i naša golema baza malwarea, pa iz tih razloga velik broj tvrtki s područja kibernetičke sigurnosti dolazi k nama kako bi i same utvrdile vlastitu sigurnost. To ide do te mjere da ćete i na sajmovima vidjeti kako u prezentacijama upravo te tvrtke navode primjere kada su pronašle malware u nekom softveru, a to su zapravo uspjele koristeći našu tehnologiju. Imamo tako pristup cijeloj gomili proizvoda koje rade druge tvrtke, a razlog zbog kojega dolaze kod nas jest to što imamo najbolji sustav prepoznavanja malwarea s uvjerljivo najboljim omjerom lažno pozitivnih detekcija koji postoji. Odnosno, najbolje prepoznajemo je li nešto malware ili nije. To nam omogućuje i pristup tim drugim bazama podataka drugih kompanija. Ništa nije savršeno, ali mi smo najbolje što možete dobiti, zbog toga što se provjere obavljaju automatizirano, ali i manualno svaki put kada postoji i najmanja sumnja.
Jeste li imali nekih nemogućih zahtjeva klijenata?
Uh, pa to je prilično podugačak popis! Ne bih rekao da je bilo baš nemogućih, ali svakako da je trebalo uložiti golemu količinu vremena da se ti zahtjevi obrade. Ima tu uobičajenih zahtjeva poput kako da učine softver dostupnim na što je moguće sigurniji način, da se to i pojednostavi, napravi vizualizacija podataka. No, rijetko smo dobili softver koji baš nismo razumjeli. No, ti se zahtjevi stalno i mijenjaju pa tako i svoju tehnologiju moramo neprestano unapređivati. Kako doznajemo za nove prijetnje, možemo svoj engine prilagoditi da ih bolje prepoznaje. Isto to i s novim formatima, koji su često samo malo različiti od prethodnih. Takve se stvari odvijaju upravo ovdje u Hrvatskoj.
Koliko je umjetna inteligencija primjenjiva u kibernetičkoj sigurnosti ili je zapravo opasnija ako je više koristite?
Usko smo usmjereni na određene tehnologije koje nam pomažu da pronađemo i prepoznamo malware. Dosta se koristimo strojnim učenjem, ali uvijek se tim alatima usredotočujemo na prepoznavanje malwarea. U široj kibernetičkoj zajednici ljudi kudikamo više koriste takve tehnologije za prepoznavanje prijetnji te je vrlo često da se koriste informacijama koje im mi dajemo, a onda ih stavljaju u veće sustave da bi pronašli šablone, informacije iz više drugih sustava. Koriste ih za pretraživanje velikih baza podataka, gdje traže šablone i međusobne korelacije koje čovjek sam ne bi našao. Mi se koncentriramo na prepoznavanje pojedinih malwarea u konkretnim slučajevima. Izazov je za te tehnologije uvježbati ih da izbjegavaju lažne dojave jer ako je sustav podešen da reagira na svaki izlazak podataka iz, primjerice, vašeg maila pa vam ga blokira, a riječ je zapravo o bezopasnom mailu, onda je to za vas neugodno. Takve tehnologije imaju puno potencijala, no uvježbati ih na pravi način od kritične je važnosti.
Koliki je izazov za ReversingLabs pronaći prave ljude u Americi, gdje su svi automatski privučeni imenima giganata poput Applea ili Googlea?
U kibernetičkoj sigurnosti doista je u ovom trenutku velika potražnja za kadrovima. Uočili smo nekoliko stvari. Jedna je da ljudi prije svega prepoznaju velika imena, primjerice Microsoft i Amazon imaju velike odjele za kibernetičku sigurnost. No, kako smo mi manja i vrlo dinamična kompanija, kadrovi iz velikih kompanija često i nisu idealni kandidati za nas. K tome, ti giganti plaćaju enormne svote, time su podigli prosjek plaća u kibernetičkoj sigurnosti u neslućene visine. Tako se i pomirite s time da to ne možete pratiti, pa igramo na to da se ovdje ukazuju prilike koje će mladi kandidati teško dobiti u tako velikim kompanijama. Usto, ovdje u Hrvatskoj ReversingLabs ima bolju prepoznatljivost nego u Americi. Tamo nas poznaju u odabranim krugovima, netko tko tek počinje možda još ne. Ali to je naša prednost, zbog naše duge povezanosti s industrijom sigurnosti u tim nas krugovima jako dobro znaju. Mi smo kompanija s golemim potencijalom, vidljivost je ovih vrsta napada sve veća, sve više i više ljudi razumije koliko je to važno. To je nešto što jako igra za nas, uključenje u priču o SolarWindsu također, sada nas sve više prepoznaje i šira javnost.
Kakav vam je dojam o ljudima u Hrvatskoj?
Pa, kada kompanije u Americi zapošljavaju, kandidati stalno postavljaju različita pitanja. A u Hrvatskoj ne govore ništa, a znam da imaju gomilu pitanja. I onda moram biti uporan – zar doista nemate pitanja? Povremeno uspijem od nekoga izvući da ispadne gomila pitanja, ali ostaje dojam da su ljudi ovdje ipak nešto rezerviraniji. Sada je malo drukčije jer se gotovo svaki dan čujemo i vidimo putem videopoziva pa se stvorio izravniji odnos. Počeo sam raditi u ReversingLabsu baš u vrijeme pandemije, no sada planiram dolaziti redovitije, barem svaki kvartal. Također treba reći da se kvalitetniji odnos teško može uspostaviti na daljinu bez obzira na tehnologije koje su nam danas na raspolaganju.
Kako vam se svidjela Hrvatska sada kada napokon možete redovito dolaziti u Zagreb?
Prije dolaska razmišljao sam o tome što bih kupio svojem timu, što je ljudima u Hrvatskoj zanimljivo. Tada nisam znao da je med ovdje vrlo popularna stvar! Shvatio sam to u jednom razgovoru s Mariom uvidjevši da on voli med, pa mi je poslao teglicu i rekao mi kako je ovdje med vrlo važna stvar. I onda sam kušao niz vrsta hrvatskog meda, a iz Amerike donio različite vrste tamošnjeg. Pogotovo je upalilo s onim od lavande! Druga je stvar šljivovica, zajedno s drugim rakijama koje ovdje imate, nisam još naučio sva imena. To je također bilo sjajno. U restoranu u koji su me odveli kušao sam jednu vrstu slatkovodne jegulje kakvih navodno imate puno u nekim krajevima s lavandom, što je bilo sjajno, sljedeće je obećanje da će me voditi u neki od mesnih restorana, za koje sam razumio kako ih ovdje imate zaista puno. Na gomile mesa! To jedva čekam, još mi nisu rekli gdje točno idemo. Hrana je ovdje doista zanimljiva, pa volim sve kušati. •