De toenemende populariteit van encryptie heeft een schaduwzijde. Malware wordt namelijk veel moeilijker op te sporen wanneer het via versleutelde verbindingen tracht toe te slaan. Wat is er tegen versleutelde malware te doen? We spraken daarover met Michel Schaalje van beveiligingsbedrijf Cisco.

De trend van versleuteling zet door. Onderzoeksbureau Gartner voorspelt bijvoorbeeld dat dit jaar meer dan tachtig procent van al het internetverkeer versleuteling heeft. Versleuteld malafide verkeer is echter heel lastig te ontdekken, en daarmee lastig te bestrijden. Criminelen versleutelen hun malware daarom steeds vaker om virusscanners en bedrijfsbeveiligingen om de tuin te leiden. Volgens beveiligingsbedrijf Cisco duurt het voor bedrijven gemiddeld tussen de 100 en 200 dagen voor zij ongeoorloofd ssl-verkeer ontdekken in hun netwerken.

Michel Schaalje is directeur security bij Cisco. Het netelige vraagstuk van versleutelde malware neemt hij vrij koel op. “Encryptie is bedoeld om verkeer veiliger te maken. Nu zie je het tegenovergestelde ook gebeuren. Maar ja, dat kun je eigenlijk van alles wel zeggen. Als er een nieuwe technologie op de markt komt, dan is het bijna gegarandeerd dat iemand het ook voor malafide doeleinden gebruikt.”

Volgens Schaalje is de opkomst van versleutelde malware geen nieuwe ontwikkeling, maar wel een die recent een flinke vlucht heeft genomen. “We zien in het algemeen een grote stijging in versleuteld internetverkeer, en daarmee dus ook in kwaadaardig verkeer.” Hij vindt het zelf een eenvoudig verklaarbare ontwikkeling. “Criminelen proberen nu eenmaal altijd onder de radar te blijven. Als encryptie daarbij helpt is dat een logische stap.” De opkomst van Let’s Encrypt is daarbij belangrijk. “Certificaten met ‘signatures’ zijn nu spotgoedkoop en veel beschikbaar. Daar maken criminelen dankbaar gebruik van.”

Bedrijfsstructuur

Voor criminelen is het steeds vaker noodzaak om hun verkeer te versleutelen, als zij effect willen hebben. Anderzijds, zegt Schaalje, is er ook het feit dat online beveiliging niet stilstaat. “Bij organisaties wordt de beschermmuur steeds beter. Bedrijven maken vaker gebruik van een architectuurbenadering voor hun beveiliging.”

Hij doelt daarmee op het feit dat bedrijven niet alleen geld pompen in nieuwe en betere hard- en software, maar hun hele digitale bedrijfsstructuur onder de loep nemen en werknemers en afdelingen beter laten samenwerken. “Je moet daarom als crimineel slimmer zijn om onder de radar te blijven. Ze verzinnen daarom steeds meer nieuwe methodes om ergens binnen te dringen.”

©PXimport

De meeste versleuteling in malware vindt plaats in ssl-verkeer. Het gaat meestal niet om de ‘payload’ (het gedeelte van de malware dat daadwerkelijk schade aanbrengt), maar om de weg die de malware aflegt om bij een doelwit te komen. Met name het verkeer naar een ‘command and control’-server is vaak versleuteld, zegt Schaalje.

“Als je dat weet te verbergen, kun je vaak meer impact hebben die ook langer duurt.” Het duurt dan bijvoorbeeld langer voor malafide verkeer wordt opgemerkt. De encryptie maakt het moeilijk om in een netwerkanalyse te zien of verkeer naar een legitieme bron gaat (een normale website die iemand gewoon nodig heeft voor zijn werk) of naar een malafide server die allerlei bedrijfsgeheimen verzamelt.

Vormen van versleutelde malware

Aanvallers volgen met de inzet van versleutelde malware de trends in cybersecurity. Ransomware is bijvoorbeeld nog steeds een belangrijke drijfveer. Inmiddels is echter ook cryptojacking steeds populairder, en blijven andere vormen van cybercrime zoals spionage of gegevensdiefstal altijd populair.

Versleuteling in malware richt zich dus niet specifiek op één doel. Verschillende rapporten noemen verschillende doelen. In een rapport van Zscaler van vorig jaar staat bijvoorbeeld dat zestig procent van alle malware via ssl of tls in 2017 bestond uit banking trojans. Slechts een kwart van alle aanvallen zou bestaan uit ransomware, en cryptojacking werd toen nog helemaal niet genoemd.

Toch ziet Michel Schaalje een nieuwe vorm van geavanceerde malware opkomen. Die kan de vorm aannemen van ransomware, maar het uiteindelijke doel van zo’n virus is wezenlijk anders. “Zeker vorig jaar zagen we de opkomst van ‘destruction of service’. Denk daarbij aan aanvallen zoals WannaCry en (Not)Petya. Die vermomden zich weliswaar als ransomware, maar de aanvallers hadden niet het doel er geld mee te verdienen. Ze wilden er juist infrastructuren of bedrijven mee platleggen.”

©PXimport

Voor zulke aanvallen wordt gebruik gemaakt van verschillende zogenoemde ‘obfuscatiemethodes’: manieren om de daadwerkelijke daders te verbergen. De hackers maken dan bijvoorbeeld gebruik van de ‘supply chain’, oftewel andere softwaremakers die weer leveren aan het bedrijf. Vaak hebben bedrijven die hoger in de supply chain staan een minder geavanceerde beveiliging; deze zijn dus makkelijker te infecteren.

Dat geldt ook, of zelfs juist, voor aanvallen die gebruik maken van encryptie. Omdat het lastiger is die tegen te houden, is het makkelijker voor hackers om kleine bedrijven te infecteren.

Beveiligingsbedrijven moeten overstappen op een nieuwe methode om deze vorm van malware tegen te houden, maar de industrie zoekt nog steeds naar het juiste antwoord. “Antivirus is niet meer voldoende”, zegt Schaalje. “Die detecteert verkeer alleen achteraf, terwijl het al op een systeem staat. Dan is het eigenlijk al te laat.” Zeker als je het verkeer niet kunt uitlezen, kan er op dat moment van alles in het systeem gebeuren. “Het liefst wil je daarom realtime kunnen detecteren.”

Oplossingen

Beveiligingsbedrijven stappen steeds vaker over op machine learning en kunstmatige intelligentie om dergelijke aanvallen af te slaan. “Met AI kun je rariteiten in het verkeer zien, en patronen herkennen. Juist als dat foutieve patronen zijn is dat handig.”

Je kunt daarbij de parallel trekken met fingerprinting. Fingerprinting is een identificatiemethode waarbij een uniek id wordt gekoppeld aan een gebruiker (of, in dit geval, malware). Dat gebeurt op een combinatie van technische specificaties en gedragspatronen. Het is een techniek waar juist kunstmatige intelligentie veel kan betekenen. Door het verkeer te analyseren zie je patronen in de grootte van datapakketjes, metadata, de omvang van het verkeer, timestamps ... Die kunnen vaak redelijk goed aangeven wanneer je te maken hebt met malafide verkeer.

Steeds meer beveiligingsbedrijven zien daar de meerwaarde van in, al staat de ontwikkeling ervan nog in de kinderschoenen. Sterker nog, Cisco is op dit moment één van de weinige bedrijven die machine learning al actief toepast buiten de laboratoria om. Het bedrijf ontwikkelde een tool met de ietwat ongeïnspireerde naam Encrypted Traffic Analytics (afgekort ETA), die door klanten van bepaalde routers van het bedrijf kan worden bijgekocht als extra service - met de kanttekening dat al het geanalyseerde verkeer via Cisco loopt.

©PXimport

Vooralsnog doet de dienst redelijk simpele analyses. Die draaien om dingen als zelf ondertekende certificaten, een goede aanwijzing dat er iets verborgen wordt in het pakket dat liever anoniem had moeten blijven. Ook probeert de tool links te leggen met onversleuteld verkeer dat naar dezelfde bestemming loopt. Gaat dat naar een server die niet wordt herkend (of die niet legitiem lijkt), dan gaat er een streep doorheen.

Je kunt zulke machine learning alleen effectief inzetten als je enorme hoeveelheden data hebt. Hoe meer data er worden ingeladen en geanalyseerd, hoe slimmer de algoritmes worden en hoe makkelijker malware kan worden ontdekt - vandaar de verzameling van data door de eerste groepen gebruikers van ETA. Dat wordt aangevuld met handmatige analyses door teams van experts. De meeste securitybedrijven hebben die; het bekende Thalos Security is bijvoorbeeld onderdeel van Cisco, maar ook antivirusbedrijven als ESET, Kaspersky of McAfee maken gebruik van laboratoria waar malware handmatig wordt uitgepluisd door experts.

Uitdagingen

Het grote probleem waar zulke machine learning-algoritmes nu nog tegenaan lopen is het relatief hoge aantal ‘false positives’, resultaten die als malware worden aangemerkt terwijl het eigenlijk om legitiem verkeer gaat. Van de ene kant kun je beter net iets te veel legitiem verkeer aanmerken als malafide dan andersom, maar in de praktijk maakt dat het werk van bedrijven erg onpraktisch.

Schaalje zegt wel dat machine learning niet dé eindoplossing is. “Als wij het inzetten zie je dat criminelen er langzaam ook naartoe gaan. Die gebruiken het dan ook. Nu is het nog vrij ingewikkeld en duur om AI in te zetten maar in de toekomst wordt dat steeds toegankelijker.” Bovendien hebben landen die achter malware zitten ook veel middelen tot hun beschikking.

Het is heel lastig om versleutelde malware tegen te gaan – althans, als je het als op zichzelf staand probleem bekijkt. Het is een negatief bij-effect van de op zich wenselijke popularisering van encryptie. Veel bedrijven geven zelf aan dat ze voor het specifieke probleem van malware-encryptie niet goed beschermd zijn (hetzelfde A10 Networks-rapport dat we eerder noemden onderzocht dat ook). 79 procent van de ondervraagden dacht toen dat het versleutelde malware op hun eigen server kon detecteren. Slechts 17 procent zei er goed op voorbereid te zijn.

Schaalje denkt dat het probleem echter breder is en dat bedrijven zich het beste kunnen wapenen door een bredere beveiliging op te zetten. “Het is lastig te zeggen of bedrijven ‘wel of niet klaar zijn’ om zich tegen dit specifieke probleem te wapenen. Bedrijven zijn zich er steeds vaker bewust van dat er een grote kans is dat zij ooit slachtoffer worden van malware, vrijwel niemand denkt meer ‘dit is geen probleem voor ons’ of ‘ik ben niet interessant om iets te halen’. Iedereen weet dat hij de volgende kan zijn en je ziet dat mensen daar de juiste maatregelen tegen proberen te nemen.”

Die maatregelen zijn dan ook vooral een goede voorbereiding, met een goede analyse van hoe gegevens en systemen worden beveiligd en welke protocollen er zijn als er iets mis gaat.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we binnen een bepaald thema naar zulke deals. Ben je op zoek naar een betaalbaar sporthorloge? Vandaag hebben we vijf interessante modellen voor je gespot.

Xiaomi Smart Band 9

De onlangs verschenen Xiaomi Smart Band 9 is goedkoop en kent ook nog eens verrassend veel functies. Dit langwerpige sporthorloge is in de kleurstellingen zilver-wit, zwart en roze verkrijgbaar. Het amoledscherm van 1,62 inch biedt voldoende ruimte om diverse gegevens te tonen. Dankzij een respectabele resolutie van 192 × 490 pixels verschijnt alle informatie scherp in beeld – denk daarbij aan stappen, verbrande calorieën, weersverwachting en natuurlijk de tijd. Alle functies zijn via het aanraakscherm bereikbaar, want de Smart Band 9 heeft geen fysieke knoppen. De waterdichte behuizing weegt maar 15,8 gram (zonder bandje).

Kies in het menu tussen ruim 150 sportmodi en start vervolgens de training. Tijdens de inspanning kun je jouw hartslag in de gaten houden. Je koppelt de Smart Band 9 via bluetooth eenvoudig aan een smartphone. Laat het mobiele toestel vervolgens in je broek- of jaszak zitten, want inkomende notificaties verschijnen rechtstreeks op je pols. Een prettige eigenschap is dat je het scherm ook op zonovergoten plekken nog prima kunt lezen. Aan de hand van een lichtsensor kiest deze smartwatch automatisch de juiste helderheid. Ten slotte is de beschikbaarheid van meer dan tweehonderd wijzerplaten een leuk extraatje.

Garmin Instinct 2

Met deze relatief goedkope smartwatch van Garmin houd je nauwlettend jouw sportieve prestaties in de gaten. Je kunt de Instinct 2 zowel binnen als buiten dragen, want de robuuste behuizing is waterdicht tot een diepte van honderd meter. Op het ronde display van 176 × 176 pixels zie je onder meer de actuele hartslag, het aantal gezette stappen en de huidige snelheid. Er zijn ook een hoogtemeter en elektrisch kompas geïntegreerd. Onder leiding van diverse sport-apps doe je uiteenlopende trainingen. Je kunt bovendien na elke nacht de uitgebreide slaapmonitor bekijken.

Wanneer het sporthorloge met een smartphone is verbonden, zie je inkomende pushnotificaties voorbijkomen. De Instinct 2 bevat een energiezuinig zwart-witscherm. Dat komt de accuduur ten goede! De fabrikant claimt dan ook een batterijduur van zo'n 28 dagen in de smartwatchmodus. Het hier besproken model heeft een horlogekast van 45 millimeter. Als alternatief kun je een vergelijkbaar sporthorloge met een horlogekast van 40 millimeter kopen, de Garmin Instinct 2S.

Garmin Forerunner 255 Music

Ren, wandel of fiets je met een lekker muziekje nét wat steviger door? De Garmin Forerunner 255 Music is hiervoor bij uitstek geschikt. Je kunt namelijk nummers van Spotify, Deezer of YouTube Music downloaden en in het geheugen van deze smartwatch opslaan. Laat dus tijdens trainingen voortaan je smartphone thuisliggen en bedien de muziek vanaf je pols. Je hebt voor deze functie trouwens wel een betaald abonnement bij een van de genoemde muziekdiensten nodig. De Forerunner 255 Music heeft een horlogekast van 46 millimeter. Kies tussen een zwarte en witte uitvoering.

Op het ruime 1,3inch-kleurenscherm van 260 × 260 pixels zijn er een heleboel functies toegankelijk. Denk onder andere aan een calorieënteller, hartslagmeter, bloedzuurstofmeter, slaapmonitor, snelheidsmeter, stappenteller en stopwatch. De Forerunner 255 Music toont ook meldingen van een verbonden smartphone. Krijg je bijvoorbeeld een WhatsApp-bericht, dan gaat de weerbestendige behuizing kortstondig trillen. Tot slot gebruik je deze veelzijdige smartwatch ook om contactloos te betalen.

Lees ook: Dit zijn de 9 sporten waarmee je het makkelijkst afvalt

Polar Pacer Pro

Zoek je een licht sporthorloge met zéér veel functies? Kijk dan eens naar de Polar Pacer Pro. Wegens het gewicht van 41 gram voel je dit apparaatje amper zitten. In de horlogekast van 45 millimeter is er een 1,2inch-kleurenscherm van 240 × 240 pixels verwerkt. Het display is voorzien van Gorilla Glass en gaat dus niet zomaar stuk. Verder is de behuizing waterdicht tot een diepte van vijftig meter. In het menu staan er ruim 150 sportprofielen voor je klaar. Fijn is dat deze smartwatch ook allerlei 'exotische' sporten ondersteunt, zoals (kite)surfen, rolschaatsen en skiën. Zodra je een keuze hebt gemaakt, monitort de Pacer Pro diverse sportieve prestaties.

Onder de motorkap bevindt zich een gps-chip, zodat deze smartwatch overal ter wereld je locatie kan bepalen. Handig is dat je routes van de bekende app Komoot kunt synchroniseren. Kijk voor routeaanwijzingen voortaan op je pols. Verder werkt de Pacer Pro ook naadloos met de veelgebruikte sport-app Strava samen. Hoewel Polar in zijn eigen webwinkel een tarief van 349,90 euro hanteert, vragen diverse andere bekende webshops minder dan tweehonderd euro. Kies tussen de kleurstellingen zwart, wit en goud.

Samsung Galaxy Fit3

De Samsung Galaxy Fit3 schaf je voor minder dan zes tientjes aan! Dit goedkope sporthorloge is te koop in de kleurstellingen zwart, zilver-wit en roze. Ondanks zijn lage prijskaartje toont het langwerpige 1,6inch-amoledscherm van 256 × 402 pixels diverse gegevens. Zo zie je hoeveel stappen je hebt gezet. De achterzijde van de horlogekast heeft ook nog sensoren om je bloedzuurstof en hartslag te meten. Druk aan de zijkant op de homeknop en kies uit ruim honderd sportoefeningen. De Galaxy Fit3 analyseert desgewenst ook je slaapgedrag. Maak je onverhoopt een lelijke uitglijder? Dankzij valdetectie schakelt de polsassistent jouw SOS-contactpersonen in.

Dit lichtgewicht sporthorloge van 18,5 gram neem je overal mee naartoe. De IP68-gecertificeerde behuizing is namelijk volledig waterdicht. Verbind de Galaxy Fit3 via bluetooth met een smartphone voor nog meer functies. Je kunt dan bijvoorbeeld de muziekweergave bedienen en zien wie er belt. De smartwatch toont ook inkomende berichten. De oplaadbare batterij van 208 mAh gaat op een enkele acculading volgens Samsung tot dertien dagen mee.

Dat een wasmachine zonder moeite vuile was schoon krijgt, spreekt voor zich. Toch kan een kleine natuurlijke hulp extra verschil maken. Geen chemisch middel, maar iets wat je waarschijnlijk al in huis hebt: citroensap. Dat zorgt voor een frissere was, een schonere trommel en een beter onderhouden machine.

Hoewel de meeste wasmachines hun werk prima doen, kun je ze met een beetje citroensap een handje helpen. Dit natuurlijke zuur werkt verrassend effectief tegen vuil, kalk en bacteriën. Hieronder lees je vijf manieren waarop citroen je was én je machine schoner, frisser en duurzamer maakt.

1. Verwijdert zeepresten

Na het wassen blijft er vaak wat wasmiddel of wasverzachter achter in de trommel of in je kleding. Het gevolg? Je wasmachine kan muf gaan stinken, net zoals de was die uit zo'n machine komt. Een scheutje citroensap in het bakje voor de wasverzachter helpt om die resten los te weken. Zo blijft je wasmachine schoon en ruikt je was écht fris.

2. Neutraliseert nare geuren

Citroensap werkt licht antibacterieel en neutraliseert geuren. Dat is vooral handig bij sportkleding, handdoeken of keukenlinnen dat snel minder fris ruikt. Citroen maakt je was dus niet alleen schoner, maar ook frisser.

©africa-studio.com (Olga Yastremska and Leonid Yastremskiy)

3. Werkt tegen hard water

Woon je in een gebied met hard water, dan merk je dat wasmiddel minder goed schuimt en kleding stugger aanvoelt. Citroenzuur bindt kalkdeeltjes, waardoor het water zachter wordt en het wasmiddel beter zijn werk doet. Zo bescherm je zowel je kleding als de binnenkant van je machine tegen kalkaanslag.

🍋 Onderhoudstip: laat eens per maand een lege wasmachine draaien op 60 graden met een scheut citroensap. Zo voorkom je kalkaanslag en blijft de binnenkant fris.

4. Houdt wit écht wit

Citroensap heeft een mild blekend effect dat witte kleding helderder maakt zonder het risico van verkleuring. Vooral fijn voor lakens, T-shirts en handdoeken. Anders dan chloor is citroensap veilig voor de meeste stoffen* en vriendelijker voor je huid én het milieu.

5. Zorgt voor zachtere kleding

Heb je snel last van wasverzachter of vind je de geur te sterk? Citroensap verzacht het water op een natuurlijke manier, zonder kunstmatige toevoegingen. Zo blijft je kleding soepel en zacht, ook zonder de synthetische stoffen die in veel wasverzachters zitten. Dat is prettiger voor gevoelige huid én beter voor het milieu, omdat er minder chemische resten in het afvalwater terechtkomen.