De toenemende populariteit van encryptie heeft een schaduwzijde. Malware wordt namelijk veel moeilijker op te sporen wanneer het via versleutelde verbindingen tracht toe te slaan. Wat is er tegen versleutelde malware te doen? We spraken daarover met Michel Schaalje van beveiligingsbedrijf Cisco.

De trend van versleuteling zet door. Onderzoeksbureau Gartner voorspelt bijvoorbeeld dat dit jaar meer dan tachtig procent van al het internetverkeer versleuteling heeft. Versleuteld malafide verkeer is echter heel lastig te ontdekken, en daarmee lastig te bestrijden. Criminelen versleutelen hun malware daarom steeds vaker om virusscanners en bedrijfsbeveiligingen om de tuin te leiden. Volgens beveiligingsbedrijf Cisco duurt het voor bedrijven gemiddeld tussen de 100 en 200 dagen voor zij ongeoorloofd ssl-verkeer ontdekken in hun netwerken.

Michel Schaalje is directeur security bij Cisco. Het netelige vraagstuk van versleutelde malware neemt hij vrij koel op. “Encryptie is bedoeld om verkeer veiliger te maken. Nu zie je het tegenovergestelde ook gebeuren. Maar ja, dat kun je eigenlijk van alles wel zeggen. Als er een nieuwe technologie op de markt komt, dan is het bijna gegarandeerd dat iemand het ook voor malafide doeleinden gebruikt.”

Volgens Schaalje is de opkomst van versleutelde malware geen nieuwe ontwikkeling, maar wel een die recent een flinke vlucht heeft genomen. “We zien in het algemeen een grote stijging in versleuteld internetverkeer, en daarmee dus ook in kwaadaardig verkeer.” Hij vindt het zelf een eenvoudig verklaarbare ontwikkeling. “Criminelen proberen nu eenmaal altijd onder de radar te blijven. Als encryptie daarbij helpt is dat een logische stap.” De opkomst van Let’s Encrypt is daarbij belangrijk. “Certificaten met ‘signatures’ zijn nu spotgoedkoop en veel beschikbaar. Daar maken criminelen dankbaar gebruik van.”

Bedrijfsstructuur

Voor criminelen is het steeds vaker noodzaak om hun verkeer te versleutelen, als zij effect willen hebben. Anderzijds, zegt Schaalje, is er ook het feit dat online beveiliging niet stilstaat. “Bij organisaties wordt de beschermmuur steeds beter. Bedrijven maken vaker gebruik van een architectuurbenadering voor hun beveiliging.”

Hij doelt daarmee op het feit dat bedrijven niet alleen geld pompen in nieuwe en betere hard- en software, maar hun hele digitale bedrijfsstructuur onder de loep nemen en werknemers en afdelingen beter laten samenwerken. “Je moet daarom als crimineel slimmer zijn om onder de radar te blijven. Ze verzinnen daarom steeds meer nieuwe methodes om ergens binnen te dringen.”

©PXimport

De meeste versleuteling in malware vindt plaats in ssl-verkeer. Het gaat meestal niet om de ‘payload’ (het gedeelte van de malware dat daadwerkelijk schade aanbrengt), maar om de weg die de malware aflegt om bij een doelwit te komen. Met name het verkeer naar een ‘command and control’-server is vaak versleuteld, zegt Schaalje.

“Als je dat weet te verbergen, kun je vaak meer impact hebben die ook langer duurt.” Het duurt dan bijvoorbeeld langer voor malafide verkeer wordt opgemerkt. De encryptie maakt het moeilijk om in een netwerkanalyse te zien of verkeer naar een legitieme bron gaat (een normale website die iemand gewoon nodig heeft voor zijn werk) of naar een malafide server die allerlei bedrijfsgeheimen verzamelt.

Vormen van versleutelde malware

Aanvallers volgen met de inzet van versleutelde malware de trends in cybersecurity. Ransomware is bijvoorbeeld nog steeds een belangrijke drijfveer. Inmiddels is echter ook cryptojacking steeds populairder, en blijven andere vormen van cybercrime zoals spionage of gegevensdiefstal altijd populair.

Versleuteling in malware richt zich dus niet specifiek op één doel. Verschillende rapporten noemen verschillende doelen. In een rapport van Zscaler van vorig jaar staat bijvoorbeeld dat zestig procent van alle malware via ssl of tls in 2017 bestond uit banking trojans. Slechts een kwart van alle aanvallen zou bestaan uit ransomware, en cryptojacking werd toen nog helemaal niet genoemd.

Toch ziet Michel Schaalje een nieuwe vorm van geavanceerde malware opkomen. Die kan de vorm aannemen van ransomware, maar het uiteindelijke doel van zo’n virus is wezenlijk anders. “Zeker vorig jaar zagen we de opkomst van ‘destruction of service’. Denk daarbij aan aanvallen zoals WannaCry en (Not)Petya. Die vermomden zich weliswaar als ransomware, maar de aanvallers hadden niet het doel er geld mee te verdienen. Ze wilden er juist infrastructuren of bedrijven mee platleggen.”

©PXimport

Voor zulke aanvallen wordt gebruik gemaakt van verschillende zogenoemde ‘obfuscatiemethodes’: manieren om de daadwerkelijke daders te verbergen. De hackers maken dan bijvoorbeeld gebruik van de ‘supply chain’, oftewel andere softwaremakers die weer leveren aan het bedrijf. Vaak hebben bedrijven die hoger in de supply chain staan een minder geavanceerde beveiliging; deze zijn dus makkelijker te infecteren.

Dat geldt ook, of zelfs juist, voor aanvallen die gebruik maken van encryptie. Omdat het lastiger is die tegen te houden, is het makkelijker voor hackers om kleine bedrijven te infecteren.

Beveiligingsbedrijven moeten overstappen op een nieuwe methode om deze vorm van malware tegen te houden, maar de industrie zoekt nog steeds naar het juiste antwoord. “Antivirus is niet meer voldoende”, zegt Schaalje. “Die detecteert verkeer alleen achteraf, terwijl het al op een systeem staat. Dan is het eigenlijk al te laat.” Zeker als je het verkeer niet kunt uitlezen, kan er op dat moment van alles in het systeem gebeuren. “Het liefst wil je daarom realtime kunnen detecteren.”

Oplossingen

Beveiligingsbedrijven stappen steeds vaker over op machine learning en kunstmatige intelligentie om dergelijke aanvallen af te slaan. “Met AI kun je rariteiten in het verkeer zien, en patronen herkennen. Juist als dat foutieve patronen zijn is dat handig.”

Je kunt daarbij de parallel trekken met fingerprinting. Fingerprinting is een identificatiemethode waarbij een uniek id wordt gekoppeld aan een gebruiker (of, in dit geval, malware). Dat gebeurt op een combinatie van technische specificaties en gedragspatronen. Het is een techniek waar juist kunstmatige intelligentie veel kan betekenen. Door het verkeer te analyseren zie je patronen in de grootte van datapakketjes, metadata, de omvang van het verkeer, timestamps ... Die kunnen vaak redelijk goed aangeven wanneer je te maken hebt met malafide verkeer.

Steeds meer beveiligingsbedrijven zien daar de meerwaarde van in, al staat de ontwikkeling ervan nog in de kinderschoenen. Sterker nog, Cisco is op dit moment één van de weinige bedrijven die machine learning al actief toepast buiten de laboratoria om. Het bedrijf ontwikkelde een tool met de ietwat ongeïnspireerde naam Encrypted Traffic Analytics (afgekort ETA), die door klanten van bepaalde routers van het bedrijf kan worden bijgekocht als extra service - met de kanttekening dat al het geanalyseerde verkeer via Cisco loopt.

©PXimport

Vooralsnog doet de dienst redelijk simpele analyses. Die draaien om dingen als zelf ondertekende certificaten, een goede aanwijzing dat er iets verborgen wordt in het pakket dat liever anoniem had moeten blijven. Ook probeert de tool links te leggen met onversleuteld verkeer dat naar dezelfde bestemming loopt. Gaat dat naar een server die niet wordt herkend (of die niet legitiem lijkt), dan gaat er een streep doorheen.

Je kunt zulke machine learning alleen effectief inzetten als je enorme hoeveelheden data hebt. Hoe meer data er worden ingeladen en geanalyseerd, hoe slimmer de algoritmes worden en hoe makkelijker malware kan worden ontdekt - vandaar de verzameling van data door de eerste groepen gebruikers van ETA. Dat wordt aangevuld met handmatige analyses door teams van experts. De meeste securitybedrijven hebben die; het bekende Thalos Security is bijvoorbeeld onderdeel van Cisco, maar ook antivirusbedrijven als ESET, Kaspersky of McAfee maken gebruik van laboratoria waar malware handmatig wordt uitgepluisd door experts.

Uitdagingen

Het grote probleem waar zulke machine learning-algoritmes nu nog tegenaan lopen is het relatief hoge aantal ‘false positives’, resultaten die als malware worden aangemerkt terwijl het eigenlijk om legitiem verkeer gaat. Van de ene kant kun je beter net iets te veel legitiem verkeer aanmerken als malafide dan andersom, maar in de praktijk maakt dat het werk van bedrijven erg onpraktisch.

Schaalje zegt wel dat machine learning niet dé eindoplossing is. “Als wij het inzetten zie je dat criminelen er langzaam ook naartoe gaan. Die gebruiken het dan ook. Nu is het nog vrij ingewikkeld en duur om AI in te zetten maar in de toekomst wordt dat steeds toegankelijker.” Bovendien hebben landen die achter malware zitten ook veel middelen tot hun beschikking.

Het is heel lastig om versleutelde malware tegen te gaan – althans, als je het als op zichzelf staand probleem bekijkt. Het is een negatief bij-effect van de op zich wenselijke popularisering van encryptie. Veel bedrijven geven zelf aan dat ze voor het specifieke probleem van malware-encryptie niet goed beschermd zijn (hetzelfde A10 Networks-rapport dat we eerder noemden onderzocht dat ook). 79 procent van de ondervraagden dacht toen dat het versleutelde malware op hun eigen server kon detecteren. Slechts 17 procent zei er goed op voorbereid te zijn.

Schaalje denkt dat het probleem echter breder is en dat bedrijven zich het beste kunnen wapenen door een bredere beveiliging op te zetten. “Het is lastig te zeggen of bedrijven ‘wel of niet klaar zijn’ om zich tegen dit specifieke probleem te wapenen. Bedrijven zijn zich er steeds vaker bewust van dat er een grote kans is dat zij ooit slachtoffer worden van malware, vrijwel niemand denkt meer ‘dit is geen probleem voor ons’ of ‘ik ben niet interessant om iets te halen’. Iedereen weet dat hij de volgende kan zijn en je ziet dat mensen daar de juiste maatregelen tegen proberen te nemen.”

Die maatregelen zijn dan ook vooral een goede voorbereiding, met een goede analyse van hoe gegevens en systemen worden beveiligd en welke protocollen er zijn als er iets mis gaat.

Op zoek naar een leuk cadeau voor moeder? Maak niet de fout om aan te komen met wasmiddel, een stofzuiger of iets anders uit de categorie 'nuttig', maar verras haar met iets waar ze écht blij van wordt. We hebben voor jou een selectie gemaakt van vijf föhns en stijltangen die door andere gebruikers gewaardeerd worden met minimaal een 8. Zo laat je haar (haar) deze Moederdag echt shinen!

DYSON Airwrap I.D. Straight + Wavy Multistyler

De Dyson Airwrap I.D. is een veelzijdige 6-in-1 multistyler die droogt, krult, golft, gladmaakt, volume geeft en pluizig haar temt. Dankzij intelligente warmte- en luchtstroomregeling hoef je je geen zorgen te maken over (hitte)beschadiging van je haar. Het conische Airwrap-opzetstuk met taps toelopende punt maakt het mogelijk om dichter bij de haaraanzet te stylen. In de praktijk betekent dat: strakkere krullen met behoud van volume en veerkracht. Handig: via bluetooth kun je het apparaat koppelen aan de MyDyson-app voor gepersonaliseerde stylinginstellingen.

BaByliss Hydro Fusion 2100 (D773DE)

De BaByliss Hydro Fusion 2100 is een krachtige föhn met een vermogen van 2100 watt, uitgerust met geavanceerde plasmatechnologie en een dubbel ionensysteem. Deze technologie hydrateert het haar en vermindert pluizigheid tijdens het drogen, wat resulteert in glad en glanzend haar. Met een gewicht van slechts 420 gram en een 2,5 meter lange kabel is deze föhn licht en gebruiksvriendelijk. De meegeleverde diffuser is ideaal voor het definiëren van natuurlijke krullen en textuur.

Remington ONE Dry & Style (D6077)

De Remington ONE Dry & Style is een veelzijdige föhn met een 2000 watt motor die luchtstromen tot 120 km/u genereert voor snel drogen. Dankzij de Thermacare-sensor wordt de luchttemperatuur gereguleerd om het haar te beschermen tegen oververhitting. Met acht warmte- en snelheidsinstellingen kun je de föhn aanpassen aan jouw haartype. De vier meegeleverde opzetstukken, waaronder een diffuser en een flyaway-tamer, maken het mogelijk om verschillende stijlen te creëren.

Philips StyleCare Prestige BHB876/00

De Philips StyleCare Prestige BHB876/00 is een automatische krultang met een slimme krultechnologie die het haar automatisch oprolt en krult. Met drie temperatuurinstellingen (170°C, 190°C en 210°C), drie timerinstellingen (8s, 10s, 12s) en drie instelbare krulrichtingen kun je verschillende krulstijlen creëren, van losse golven tot strakke krullen - Philips zelf heeft het over 27 verschillende looks. De verticale grip en de langere cilinder maken het mogelijk om meer haar in één keer te stylen. De keratine-keramische coating beschermt het haar tegen hittebeschadiging.

Rowenta Infinite Looks 14-in-1 (CF4231)

De Rowenta Infinite Looks 14-in-1 is een alles-in-één multistyler die het mogelijk maakt om te krullen, stijlen, volume toe te voegen en meer. Met een conische krultang, een 32 mm ronde verwarmde borstel en een 2-in-1 stijltang/krimper kun je eindeloos variëren in haarstijlen. De keramische coating zorgt voor glad en glanzend haar. De set wordt geleverd met diverse accessoires, waaronder haarclips en een opbergtas, voor gebruiksgemak en veelzijdigheid.

Vorig jaar introduceerde Xiaomi met de 14 Ultra een moderne camerasmartphone, en met de Xiaomi 15 Ultra zien we dat de fabrikant flink aan verfijning doet. Gigantische stappen vooruit hoef je echter niet te verwachten. Maar dat geldt gelukkig ook voor het prijskaartje: ook dat is niet gigantisch gestegen.

Dat gezegd hebbende kost de Xiaomi 15 Ultra nog steeds 1499 euro, maar daar krijg je dan 16 GB aan werkgeheugen en 512 GB aan interne opslagruimte voor terug. Koppel dat aan de Qualcomm Snapdragon 8 Elite-chipset, waarmee onder meer ook de Galaxy S25 Ultra en Zenfone 12 zijn uitgerust, en je houdt een indrukwekkend pakket over. Maar eerlijk is eerlijk, daar betaal je dan ook een flinke duit voor. En we vonden de OnePlus 13 destijds al prijzig…

Over de processor hebben we inmiddels veel geschreven in andere recensies. De cpu is extreem krachtig en eigenlijk overgekwalificeerd voor dagelijkse dingen als mailen, bellen of WhatsAppen. Zwaardere taken vormen dan ook geen probleem: – er zal geen Android-game zijn die hier niet soepel op draait. Die rekenkracht heeft wel een nadeel. Onder hoge belasting wordt de chipset gloeiendheet, en die warmte verspreidt zich over het hele toestel.

©Wesley Akkerman

Prestaties dalen onder druk, maar het gebruik blijft soepel

Daar hebben meerdere premium smartphones van dit moment last van. Geen enkele Elite-telefoon kan het hoofd koel houden. Anders dan bij andere smartphones met dezelfde processor lijkt het erop dat Xiaomi de prestaties afknijpt. Vrijwel direct nadat we het toestel onder druk zetten, zakken de prestaties naar tachtig procent van het vermogen. Dat blijft een kwartier stabiel, waarna ze verder zakken – maar in de praktijk merk je daar weinig van.

Het grote oled-paneel van 6,7 inch is net zo high-end als de processor en vrijwel gelijk aan dat van de 14 Ultra. De verschillen zijn klein: een sterkere beschermlaag die beter tegen krassen en vallen zou moeten beschermen, en een iets hogere piekhelderheid van 3200 nits in plaats van 3000. Kleuren ogen rijk en natuurlijk, en dankzij de hoge verversingssnelheid voelt alles soepel aan.

©Wesley Akkerman

©Wesley Akkerman

Snel en uitgebreid

De accu heeft wel een boost gekregen. Xiaomi maakt gebruik van een relatief nieuwe batterijtechnologie (met meer siliciumcarbide, net als de OnePlus 13) om meer vermogen in de accu te stoppen. Dit keer is dat iets meer dan 5400 mAh. Daarmee houd je het twee dagen uit op een volle accu, afhankelijk van wat je doet. Opladen gaat nog altijd razendsnel met 90 watt via de kabel en 80 watt draadloos. Met de juiste oplader heb je het toestel binnen 40 minuten vol.

Net als zijn voorganger draait ook de Xiaomi 15 Ultra op HyperOS, dit keer gebaseerd op Android 15. De software is snel en overzichtelijk, maar lijkt in de praktijk nog altijd op het oude MIUI. Je krijgt bovendien te maken met wat overbodige apps en een beperkte updatebeleid (slechts vier upgrades). Het systeem biedt wel voldoende ruimte voor personalisatie. Zo kun je dit keer meer doen met het vergrendelscherm, maar op een Galaxy S25 is het aantal opties uitgebreider.

©Wesley Akkerman

©Wesley Akkerman

120x

AI-mogelijkheden, alleen met een account

En net zoals op veel andere smartphones kom je ook op de Xiaomi 15 Ultra flink wat AI-opties tegen. Het gros daarvan werkt op basis van Google Gemini. Dit is dan ook de standaard-assistent die je tegenkomt wanneer je de powerknop ingedrukt houdt. Verder beschikt de smartphone over de handige zoekfunctie Circle to Search. Uiteraard moet je dan wel inloggen met een Google-account, anders kun je daar geen gebruik van maken.

Nu zullen veel mensen dat standaard doen. Maar helaas moet je óók inloggen met een Xiaomi-account als je de exclusieve AI-toestelopties wilt gebruiken. Als je dat doet, houd er dan rekening mee dat niet alles vlekkeloos werkt. Je hebt altijd een internetverbinding nodig, je moet plugs-in downloaden en je moet rekening houden met AI-fouten. De opvulfunctie (een AI-functie waarmee je een deel van een foto kunt laten opvullen, bijvoorbeeld wanneer je iets weghaalde, zoals een persoon of boom) laat duidelijke softwarefouten zien; je kunt het beter bij de opties houden die Google standaard aanbiedt.

©Wesley Akkerman

4,3x

©Wesley Akkerman

2x

Dat mooie camerasysteem

Net zoals bij de Xiaomi 14 Ultra draait het bij de Xiaomi 15 Ultra natuurlijk allemaal om het camerasysteem. Dat is waar een groot deel van die 1500 euro naartoe gaat. Net als bij de voorganger kun je ook nu kiezen uit twee duidelijke modi: Leica Vivid of Authentic. Met de eerste optie ogen foto's wat meer verzadigd en geschikt voor sociale media, terwijl de tweede mogelijkheid beelden op een veel natuurlijke manier vastlegt.

Binnen de overzichtelijke camera-app tref je behoorlijk veel opties aan waarmee je foto's precies zo kunt maken zoals je wilt. Toegegeven, op een Sony Xperia 1-model tref je meer knopjes en opties aan, maar we zijn van mening dat Xiaomi een mooie middenweg vindt tussen functionaliteit en ontwerp. Je raakt niet snel verdwaald binnen de app, aangezien alles netjes en op logische plekken neergezet is. Kudos, want dat is ook wel eens anders.

©Wesley Akkerman

1x

©Wesley Akkerman

1x

200 megapixel

Ten opzichte van de 14 Ultra is er niet ontzettend veel veranderd. Begrijp ons niet verkeerd, dat bedoelen we niet negatief. De 14 Ultra maakt immers immens mooie foto's en bij de 15 Ultra is dat niet anders. Nieuw is dit keer de periscooplens van 200 megapixel, die tot 4,3 keer optisch kan inzoomen. Dat is iets lager dan de vijf keer op de vorige Ultra, maar dit keer zijn de sensor en de resolutie hoger en is de opening sneller. Dat levert in de praktijk betere foto's op.

De andere drie camera's beschikken over 50 megapixel en presteren grotendeels hetzelfde. Het systeem kiest veelal automatisch de juiste brandpuntafstanden voor je wanneer je wat instellingen aanpast, waardoor je behoorlijk gemakkelijk mooie foto's maakt. Het reageert bovendien bijzonder snel. Je kunt heel snel een kiekje ergens van maken. Echter, foto's openen gaat dan wat trager – het is duidelijk dat er nog flink wat nabewerking plaatsvindt.

©Wesley Akkerman

2x

©Wesley Akkerman

4,3x

Mooie foto's

Over het algemeen maakt de Xiaomi 15 Ultra mooi belichte foto's met een fijn en subtiel contrast, waar kleuren precies vastgelegd worden zoals in het echt (in de Authentic-modus, waar we het meest mee gespeeld hebben). De groothoekcamera is de minst sterke van het stel, met iets eenvoudigere specificaties en zonder optische beeldstabilisatie. Toch kun je er prima mee uit de voeten. Zeker als je even stil blijft staan, levert ook deze lens gewoon mooie beelden op.

Ook is het jammer dat de variabele diafragma-opening van de Xiaomi 14 Ultra is verdwenen. In plaats daarvan krijg je nu een vaste f/1.63-opening. Die zorgt voor een korte scherptediepte, waardoor je soms onbedoeld veel waas in beeld krijgt. Tegelijkertijd levert dat juist een sterk diepte-effect op, wat handig is als je daar bewust naar zoekt. Portretmodus is daardoor minder vaak nodig. Afhankelijk van wat je belangrijk vindt, kan dit dus ook positief uitpakken.

©Wesley Akkerman

10x

Het beste systeem?

Het systeem doet an sich niets onder voor de concurrentie. Sterker nog: waarschijnlijk is dit de beste smartphonecamera-ervaring van dit moment. Dat komt door de grote hoeveelheid opties en de algemene camerakwaliteit, waar we bijna niets over te klagen hebben. Ook niet in het donker. Het systeem laat genoeg licht door voor foto's die gedetailleerd en kleurrijk ogen. Daarnaast legt het details in de schaduw ook goed vast.

Tegelijk met de Xiaomi 15 Ultra brengt het bedrijf wederom een nieuwe fotografiekit op de markt. Voor zover wij hebben kunnen zien is dit hetzelfde product als van de Xiaomi 14 Ultra. De kit biedt extra ringen, een powerbank en een cameraknop en kost 199 euro. Het is leuk om te zien dat Xiaomi hier in investeert, want het zou je ervaring kunnen verbeteren. Maar echt essentieel vinden we het pakket niet. Extra lenzen moet je helaas zelf nog apart kopen.

©Wesley Akkerman

0,5x

Xiaomi 15 Ultra kopen?

Xiaomi speelt het dit jaar op veilig, en dat is op zich geen bezwaar. De stap van de 14 Ultra naar de 15 Ultra is echter klein, waardoor een upgrade voor bestaande gebruikers weinig toevoegt. Bekende minpunten blijven: een relatief beperkt updatebeleid, vooraf geïnstalleerde apps en AI-functies die niet overtuigen. Verder wordt de Snapdragon 8 Gen 3 (Elite)-chipset flink heet bij hoge belasting – maar dat is meer een Qualcomm-probleem. Geen enkele smartphonefabrikant lijkt dat probleem op te kunnen lossen. Kies je voor de 15 Ultra, dan krijg je wel een krachtige camerasmartphone die heel wat in zijn mars heeft.