De toenemende populariteit van encryptie heeft een schaduwzijde. Malware wordt namelijk veel moeilijker op te sporen wanneer het via versleutelde verbindingen tracht toe te slaan. Wat is er tegen versleutelde malware te doen? We spraken daarover met Michel Schaalje van beveiligingsbedrijf Cisco.

De trend van versleuteling zet door. Onderzoeksbureau Gartner voorspelt bijvoorbeeld dat dit jaar meer dan tachtig procent van al het internetverkeer versleuteling heeft. Versleuteld malafide verkeer is echter heel lastig te ontdekken, en daarmee lastig te bestrijden. Criminelen versleutelen hun malware daarom steeds vaker om virusscanners en bedrijfsbeveiligingen om de tuin te leiden. Volgens beveiligingsbedrijf Cisco duurt het voor bedrijven gemiddeld tussen de 100 en 200 dagen voor zij ongeoorloofd ssl-verkeer ontdekken in hun netwerken.

Michel Schaalje is directeur security bij Cisco. Het netelige vraagstuk van versleutelde malware neemt hij vrij koel op. “Encryptie is bedoeld om verkeer veiliger te maken. Nu zie je het tegenovergestelde ook gebeuren. Maar ja, dat kun je eigenlijk van alles wel zeggen. Als er een nieuwe technologie op de markt komt, dan is het bijna gegarandeerd dat iemand het ook voor malafide doeleinden gebruikt.”

Volgens Schaalje is de opkomst van versleutelde malware geen nieuwe ontwikkeling, maar wel een die recent een flinke vlucht heeft genomen. “We zien in het algemeen een grote stijging in versleuteld internetverkeer, en daarmee dus ook in kwaadaardig verkeer.” Hij vindt het zelf een eenvoudig verklaarbare ontwikkeling. “Criminelen proberen nu eenmaal altijd onder de radar te blijven. Als encryptie daarbij helpt is dat een logische stap.” De opkomst van Let’s Encrypt is daarbij belangrijk. “Certificaten met ‘signatures’ zijn nu spotgoedkoop en veel beschikbaar. Daar maken criminelen dankbaar gebruik van.”

Bedrijfsstructuur

Voor criminelen is het steeds vaker noodzaak om hun verkeer te versleutelen, als zij effect willen hebben. Anderzijds, zegt Schaalje, is er ook het feit dat online beveiliging niet stilstaat. “Bij organisaties wordt de beschermmuur steeds beter. Bedrijven maken vaker gebruik van een architectuurbenadering voor hun beveiliging.”

Hij doelt daarmee op het feit dat bedrijven niet alleen geld pompen in nieuwe en betere hard- en software, maar hun hele digitale bedrijfsstructuur onder de loep nemen en werknemers en afdelingen beter laten samenwerken. “Je moet daarom als crimineel slimmer zijn om onder de radar te blijven. Ze verzinnen daarom steeds meer nieuwe methodes om ergens binnen te dringen.”

©PXimport

De meeste versleuteling in malware vindt plaats in ssl-verkeer. Het gaat meestal niet om de ‘payload’ (het gedeelte van de malware dat daadwerkelijk schade aanbrengt), maar om de weg die de malware aflegt om bij een doelwit te komen. Met name het verkeer naar een ‘command and control’-server is vaak versleuteld, zegt Schaalje.

“Als je dat weet te verbergen, kun je vaak meer impact hebben die ook langer duurt.” Het duurt dan bijvoorbeeld langer voor malafide verkeer wordt opgemerkt. De encryptie maakt het moeilijk om in een netwerkanalyse te zien of verkeer naar een legitieme bron gaat (een normale website die iemand gewoon nodig heeft voor zijn werk) of naar een malafide server die allerlei bedrijfsgeheimen verzamelt.

Vormen van versleutelde malware

Aanvallers volgen met de inzet van versleutelde malware de trends in cybersecurity. Ransomware is bijvoorbeeld nog steeds een belangrijke drijfveer. Inmiddels is echter ook cryptojacking steeds populairder, en blijven andere vormen van cybercrime zoals spionage of gegevensdiefstal altijd populair.

Versleuteling in malware richt zich dus niet specifiek op één doel. Verschillende rapporten noemen verschillende doelen. In een rapport van Zscaler van vorig jaar staat bijvoorbeeld dat zestig procent van alle malware via ssl of tls in 2017 bestond uit banking trojans. Slechts een kwart van alle aanvallen zou bestaan uit ransomware, en cryptojacking werd toen nog helemaal niet genoemd.

Toch ziet Michel Schaalje een nieuwe vorm van geavanceerde malware opkomen. Die kan de vorm aannemen van ransomware, maar het uiteindelijke doel van zo’n virus is wezenlijk anders. “Zeker vorig jaar zagen we de opkomst van ‘destruction of service’. Denk daarbij aan aanvallen zoals WannaCry en (Not)Petya. Die vermomden zich weliswaar als ransomware, maar de aanvallers hadden niet het doel er geld mee te verdienen. Ze wilden er juist infrastructuren of bedrijven mee platleggen.”

©PXimport

Voor zulke aanvallen wordt gebruik gemaakt van verschillende zogenoemde ‘obfuscatiemethodes’: manieren om de daadwerkelijke daders te verbergen. De hackers maken dan bijvoorbeeld gebruik van de ‘supply chain’, oftewel andere softwaremakers die weer leveren aan het bedrijf. Vaak hebben bedrijven die hoger in de supply chain staan een minder geavanceerde beveiliging; deze zijn dus makkelijker te infecteren.

Dat geldt ook, of zelfs juist, voor aanvallen die gebruik maken van encryptie. Omdat het lastiger is die tegen te houden, is het makkelijker voor hackers om kleine bedrijven te infecteren.

Beveiligingsbedrijven moeten overstappen op een nieuwe methode om deze vorm van malware tegen te houden, maar de industrie zoekt nog steeds naar het juiste antwoord. “Antivirus is niet meer voldoende”, zegt Schaalje. “Die detecteert verkeer alleen achteraf, terwijl het al op een systeem staat. Dan is het eigenlijk al te laat.” Zeker als je het verkeer niet kunt uitlezen, kan er op dat moment van alles in het systeem gebeuren. “Het liefst wil je daarom realtime kunnen detecteren.”

Oplossingen

Beveiligingsbedrijven stappen steeds vaker over op machine learning en kunstmatige intelligentie om dergelijke aanvallen af te slaan. “Met AI kun je rariteiten in het verkeer zien, en patronen herkennen. Juist als dat foutieve patronen zijn is dat handig.”

Je kunt daarbij de parallel trekken met fingerprinting. Fingerprinting is een identificatiemethode waarbij een uniek id wordt gekoppeld aan een gebruiker (of, in dit geval, malware). Dat gebeurt op een combinatie van technische specificaties en gedragspatronen. Het is een techniek waar juist kunstmatige intelligentie veel kan betekenen. Door het verkeer te analyseren zie je patronen in de grootte van datapakketjes, metadata, de omvang van het verkeer, timestamps ... Die kunnen vaak redelijk goed aangeven wanneer je te maken hebt met malafide verkeer.

Steeds meer beveiligingsbedrijven zien daar de meerwaarde van in, al staat de ontwikkeling ervan nog in de kinderschoenen. Sterker nog, Cisco is op dit moment één van de weinige bedrijven die machine learning al actief toepast buiten de laboratoria om. Het bedrijf ontwikkelde een tool met de ietwat ongeïnspireerde naam Encrypted Traffic Analytics (afgekort ETA), die door klanten van bepaalde routers van het bedrijf kan worden bijgekocht als extra service - met de kanttekening dat al het geanalyseerde verkeer via Cisco loopt.

©PXimport

Vooralsnog doet de dienst redelijk simpele analyses. Die draaien om dingen als zelf ondertekende certificaten, een goede aanwijzing dat er iets verborgen wordt in het pakket dat liever anoniem had moeten blijven. Ook probeert de tool links te leggen met onversleuteld verkeer dat naar dezelfde bestemming loopt. Gaat dat naar een server die niet wordt herkend (of die niet legitiem lijkt), dan gaat er een streep doorheen.

Je kunt zulke machine learning alleen effectief inzetten als je enorme hoeveelheden data hebt. Hoe meer data er worden ingeladen en geanalyseerd, hoe slimmer de algoritmes worden en hoe makkelijker malware kan worden ontdekt - vandaar de verzameling van data door de eerste groepen gebruikers van ETA. Dat wordt aangevuld met handmatige analyses door teams van experts. De meeste securitybedrijven hebben die; het bekende Thalos Security is bijvoorbeeld onderdeel van Cisco, maar ook antivirusbedrijven als ESET, Kaspersky of McAfee maken gebruik van laboratoria waar malware handmatig wordt uitgepluisd door experts.

Uitdagingen

Het grote probleem waar zulke machine learning-algoritmes nu nog tegenaan lopen is het relatief hoge aantal ‘false positives’, resultaten die als malware worden aangemerkt terwijl het eigenlijk om legitiem verkeer gaat. Van de ene kant kun je beter net iets te veel legitiem verkeer aanmerken als malafide dan andersom, maar in de praktijk maakt dat het werk van bedrijven erg onpraktisch.

Schaalje zegt wel dat machine learning niet dé eindoplossing is. “Als wij het inzetten zie je dat criminelen er langzaam ook naartoe gaan. Die gebruiken het dan ook. Nu is het nog vrij ingewikkeld en duur om AI in te zetten maar in de toekomst wordt dat steeds toegankelijker.” Bovendien hebben landen die achter malware zitten ook veel middelen tot hun beschikking.

Het is heel lastig om versleutelde malware tegen te gaan – althans, als je het als op zichzelf staand probleem bekijkt. Het is een negatief bij-effect van de op zich wenselijke popularisering van encryptie. Veel bedrijven geven zelf aan dat ze voor het specifieke probleem van malware-encryptie niet goed beschermd zijn (hetzelfde A10 Networks-rapport dat we eerder noemden onderzocht dat ook). 79 procent van de ondervraagden dacht toen dat het versleutelde malware op hun eigen server kon detecteren. Slechts 17 procent zei er goed op voorbereid te zijn.

Schaalje denkt dat het probleem echter breder is en dat bedrijven zich het beste kunnen wapenen door een bredere beveiliging op te zetten. “Het is lastig te zeggen of bedrijven ‘wel of niet klaar zijn’ om zich tegen dit specifieke probleem te wapenen. Bedrijven zijn zich er steeds vaker bewust van dat er een grote kans is dat zij ooit slachtoffer worden van malware, vrijwel niemand denkt meer ‘dit is geen probleem voor ons’ of ‘ik ben niet interessant om iets te halen’. Iedereen weet dat hij de volgende kan zijn en je ziet dat mensen daar de juiste maatregelen tegen proberen te nemen.”

Die maatregelen zijn dan ook vooral een goede voorbereiding, met een goede analyse van hoe gegevens en systemen worden beveiligd en welke protocollen er zijn als er iets mis gaat.

Een smartphonehoesje is meer dan een accessoire. Het beschermt je telefoon tegen schade en maakt het gebruik makkelijker. Door de enorme variatie in modellen, materialen en extra functies kan het lastig zijn om een keuze te maken. In dit artikel lees je waar je op moet letten bij het kiezen van een hoesje en welke mogelijkheden je allemaal hebt.

Lees ook: Waarom dat hoesje om je telefoon toch echt handig is

Het type hoesje dat je kiest, hangt af van hoe je je telefoon gebruikt en tot in hoeverre je je toestel wilt beschermen. Een bumperhoesje is een beschermrand die om de zijkanten van je smartphone zit, terwijl de voor- en achterkant vrij blijven. Dit type hoesje beschermt de randen van je toestel tegen stoten en vallen, maar biedt minder bescherming voor het scherm en de achterkant. Een backcover beschermt alleen de achterkant en zijkanten van je telefoon, maar zorgt er wel voor dat je het slanke ontwerp van je toestel blijft zien. Is dat voor jou minder belangrijk en wil je juist zoveel mogelijk bescherming? Dan is een bookcase of wallet case een goede keuze. Dit type hoesje omsluit je hele telefoon en biedt vaak ruimte voor pasjes of geld. Als je zowel de voor- als achterkant wilt beschermen, kun je ook een flipcase overwegen, die verticaal opent. Een insteekhoesje, ook wel pouch genoemd, is een beschermhoes waarin je je smartphone schuift wanneer je deze niet gebruikt. Een opbergzakje zeg maar. In de dagelijkse praktijk zul je deze niet snel gebruiken, maar als je bijvoorbeeld op vakantie gaat, of je telefoon meeneemt in je tas tussen andere spullen, dan kan het handig zijn. Je weet namelijk zeker dat je telefoon in een puch goed beschermd is tegen vuil en krassen.

Van siliconen tot leer

Het materiaal van een hoesje bepaalt niet alleen de uitstraling, maar ook hoe goed het beschermt. Siliconen en TPU zijn flexibel en schokabsorberend. Daarnaast zijn ze een beetje stroef, waardoor ze minder snel uit je handen of van de bank kunnen glijden. Wel is het zo dat met name siliconen wat sneller stof aantrekken. Wanneer je je telefoon vooral meeneemt in je broekzak of tas, is dit materiaal dus misschien net wat minder praktisch. Hard kunststof is stevig en lichtgewicht, maar kan barsten of scheuren bij een flinke klap of val. Leer, of het nu echt of kunstleer is, straalt luxe uit en biedt goede bescherming. Echt leer wordt mooier na verloop van tijd. Kunstleer niet, maar dit hoef je wel weer minder te onderhouden dan echt leer. Voor maximale stevigheid kun je kiezen voor aluminium of roestvrij staal, hoewel dit je telefoon zwaarder kan maken en minder flexibel is.

©picsmart

Hardcase versus softcase

Telefoonhoesjes zijn grofweg onder te verdelen in twee varianten: hardcover en softcover, elk met hun eigen kenmerken. Hardcover hoesjes staan bekend om hun stevige constructie, die uitstekende bescherming biedt tegen zware schokken en vallen. Ze behouden hun vorm goed, maar zijn vaak duurder, minder flexibel en voelen minder comfortabel aan in je hand.

Softcover hoesjes zijn lichter, flexibeler en vaak goedkoper. Ze liggen prettig in de hand en passen gemakkelijk in een broekzak of tas. Het zachte materiaal biedt goede schokdemping, maar kan sneller beschadigd raken en slijten. Ook kunnen softcovers na verloop van tijd verkleuren.

Speciale hoesjes voor specifieke situaties

Naast standaardmodellen zijn er ook speciale hoesjes die extra bescherming bieden. Waterdichte hoesjes zijn ideaal als je je telefoon wilt beschermen tegen vocht, stof en zand, bijvoorbeeld tijdens het sporten of op het strand. Veel van deze hoesjes hebben een IP-certificering, zoals IP67 of IP68, wat aangeeft hoe goed ze bestand zijn tegen water en stof. Shockproof hoesjes zijn ontworpen om vallen en stoten op te vangen, met schokabsorberende materialen en verstevigde hoeken. Rugged cases combineren water-, stof- en schokbescherming en zijn geschikt voor extreme omstandigheden, zoals op de bouwplaats of tijdens outdooractiviteiten.

Extra functies

Veel hoesjes hebben handige extra's. Het meest bekend zijn hoesjes met ruimte voor je bank- of creditcards. Er zijn ook modellen waarin je bankbiljetten kwijt kunt. Andere hoesjes hebben bijvoorbeeld geïntegreerde standaards waardoor je je telefoon makkelijk kunt neerzetten; ideaal om filmpjes te kijken of voor online vergaderingen. Ook heel handig zijn hoesjes met een ingebouwde powerbank. Met zo'n battery case weet je zeker dat je een hele dag door kunt met je smartphone. Heb je een iPhone, dan is een MagSafe-compatibel hoesje misschien handig.

©YALCIN SONAT

Waar let je op bij de aankoop?

Bij het kiezen van een hoesje is de pasvorm belangrijk. Zorg dat het hoesje naadloos aansluit op jouw telefoon. Let ook op extra bescherming voor het scherm en de camera, zoals verhoogde randen. Houd rekening met de dikte en het gewicht van het hoesje, vooral als je een slank ontwerp belangrijk vindt. Controleer daarnaast of alle functies van je telefoon, zoals de knoppen en poorten, makkelijk toegankelijk zijn.

Conclusie

Het kiezen van een smartphonehoesje is meer dan een kwestie van smaak. Denk goed na over hoe en waar je je telefoon gebruikt. Zoek je maximale bescherming tegen vallen of juist een bescheiden hoesje zodat het design van je smartphone zo goed mogelijk zichtbaar blijft? Zijn extra's, zoals ruimte voor pasjes, belangrijk voor je? Heb je een voorkeur voor een bepaald materiaal? Het aanbod van smartphonehoesjes is enorm. Door voor jezelf goed te weten wat je precies wilt, maak je het jezelf een stuk gemakkelijker!

Wie afgelopen seizoen de wedstrijden van Nederlandse teams in het Europees voetbal wilde kijken, moest dat doen via Ziggo – op de publieke netten zijn deze wedstrijden namelijk niet meer te zien. Je hoefde daarvoor geen  klant bij de provider te zijn, maar je moest je wél registeren. Na ingrijpen van het Commissariaat voor de Media vervalt deze registratie nu.

Wie afgelopen seizoen de wedstrijden van Nederlandse teams in het Europees voetbal wilde kijken, moest dat doen via Ziggo – op de publieke netten zijn deze wedstrijden namelijk niet meer te zien. Je hoefde daarvoor geen  klant bij de provider te zijn, maar je moest je wél registeren. Na ingrijpen van het Commissariaat voor de Media vervalt deze registratie nu.

De UEFA-competities vallen deels onder de evenementenlijst, wat betekent dat deze wedstrijden voor minimaal 75% van de Nederlandse huishoudens gratis en zonder drempels toegankelijk moeten zijn. Het Commissariaat voor de Media beschouwt verplichte registratie, waarbij persoonsgegevens als naam, e-mailadres postcode, huisnummer en mobiele telefoonnummer gedeeld moeten worden, als een te hoge drempel. Hierover ontving het meldingen van kijkers die het aanmaken van een account als een obstakel ervaarden. Ook belangenorganisaties spraken hun zorgen uit, met name over de toegankelijkheid voor digitaal minder vaardige mensen, zoals ouderen. Na onderzoek heeft het Commissariaat laten weten dat de verplichte registratie niet voldeed aan de regels uit de Mediawet.

Dat betekent dus dat je vanaf 21 januari, wanneer het UEFA-voetbalseizoen wordt hervat, wedstrijden van Nederlandse clubs kunt streamen via Ziggo Go zonder eerst een account aan te maken. De wedstrijden zijn nu direct toegankelijk via de app op je smart-tv, laptop, tablet en smartphone. Registreren blijft wel mogelijk voor wie wedstrijden buiten Nederland wil streamen.

Voetbalfans die via Ziggo Sport Free de wedstrijden van Nederlandse clubs streamen, kunnen nu ook genieten van meer voetbalcontent. Het populaire Ziggo Sport Highlights-programma, waarin alle wedstrijden van een avond worden samengevat, is voortaan ook via streaming beschikbaar.

Het UEFA-voetbalseizoen gaat op 21 januari verder met onder andere de Champions League-wedstrijd Rode Ster Belgrado-PSV (21.00 uur). Op 22 januari speelt Feyenoord thuis tegenBayern München (21.00 uur). Beide wedstrijden zijn live te zien via Ziggo Sport Free, Ziggo Sport (kanaal 14) en Ziggo Sport Totaal.

Lees ook: Je Android-tablet of smartphone koppelen aan je tv