ID.nl logo
Huis

Versleutelde malware blijft langer onontdekt

De toenemende populariteit van encryptie heeft een schaduwzijde. Malware wordt namelijk veel moeilijker op te sporen wanneer het via versleutelde verbindingen tracht toe te slaan. Wat is er tegen versleutelde malware te doen? We spraken daarover met Michel Schaalje van beveiligingsbedrijf Cisco.

De trend van versleuteling zet door. Onderzoeksbureau Gartner voorspelt bijvoorbeeld dat dit jaar meer dan tachtig procent van al het internetverkeer versleuteling heeft. Versleuteld malafide verkeer is echter heel lastig te ontdekken, en daarmee lastig te bestrijden. Criminelen versleutelen hun malware daarom steeds vaker om virusscanners en bedrijfsbeveiligingen om de tuin te leiden. Volgens beveiligingsbedrijf Cisco duurt het voor bedrijven gemiddeld tussen de 100 en 200 dagen voor zij ongeoorloofd ssl-verkeer ontdekken in hun netwerken.

Michel Schaalje is directeur security bij Cisco. Het netelige vraagstuk van versleutelde malware neemt hij vrij koel op. “Encryptie is bedoeld om verkeer veiliger te maken. Nu zie je het tegenovergestelde ook gebeuren. Maar ja, dat kun je eigenlijk van alles wel zeggen. Als er een nieuwe technologie op de markt komt, dan is het bijna gegarandeerd dat iemand het ook voor malafide doeleinden gebruikt.”

Volgens Schaalje is de opkomst van versleutelde malware geen nieuwe ontwikkeling, maar wel een die recent een flinke vlucht heeft genomen. “We zien in het algemeen een grote stijging in versleuteld internetverkeer, en daarmee dus ook in kwaadaardig verkeer.” Hij vindt het zelf een eenvoudig verklaarbare ontwikkeling. “Criminelen proberen nu eenmaal altijd onder de radar te blijven. Als encryptie daarbij helpt is dat een logische stap.” De opkomst van Let’s Encrypt is daarbij belangrijk. “Certificaten met ‘signatures’ zijn nu spotgoedkoop en veel beschikbaar. Daar maken criminelen dankbaar gebruik van.”

Bedrijfsstructuur

Voor criminelen is het steeds vaker noodzaak om hun verkeer te versleutelen, als zij effect willen hebben. Anderzijds, zegt Schaalje, is er ook het feit dat online beveiliging niet stilstaat. “Bij organisaties wordt de beschermmuur steeds beter. Bedrijven maken vaker gebruik van een architectuurbenadering voor hun beveiliging.”

Hij doelt daarmee op het feit dat bedrijven niet alleen geld pompen in nieuwe en betere hard- en software, maar hun hele digitale bedrijfsstructuur onder de loep nemen en werknemers en afdelingen beter laten samenwerken. “Je moet daarom als crimineel slimmer zijn om onder de radar te blijven. Ze verzinnen daarom steeds meer nieuwe methodes om ergens binnen te dringen.”

©PXimport

De meeste versleuteling in malware vindt plaats in ssl-verkeer. Het gaat meestal niet om de ‘payload’ (het gedeelte van de malware dat daadwerkelijk schade aanbrengt), maar om de weg die de malware aflegt om bij een doelwit te komen. Met name het verkeer naar een ‘command and control’-server is vaak versleuteld, zegt Schaalje.

“Als je dat weet te verbergen, kun je vaak meer impact hebben die ook langer duurt.” Het duurt dan bijvoorbeeld langer voor malafide verkeer wordt opgemerkt. De encryptie maakt het moeilijk om in een netwerkanalyse te zien of verkeer naar een legitieme bron gaat (een normale website die iemand gewoon nodig heeft voor zijn werk) of naar een malafide server die allerlei bedrijfsgeheimen verzamelt.

Vormen van versleutelde malware

Aanvallers volgen met de inzet van versleutelde malware de trends in cybersecurity. Ransomware is bijvoorbeeld nog steeds een belangrijke drijfveer. Inmiddels is echter ook cryptojacking steeds populairder, en blijven andere vormen van cybercrime zoals spionage of gegevensdiefstal altijd populair.

Versleuteling in malware richt zich dus niet specifiek op één doel. Verschillende rapporten noemen verschillende doelen. In een rapport van Zscaler van vorig jaar staat bijvoorbeeld dat zestig procent van alle malware via ssl of tls in 2017 bestond uit banking trojans. Slechts een kwart van alle aanvallen zou bestaan uit ransomware, en cryptojacking werd toen nog helemaal niet genoemd.

Toch ziet Michel Schaalje een nieuwe vorm van geavanceerde malware opkomen. Die kan de vorm aannemen van ransomware, maar het uiteindelijke doel van zo’n virus is wezenlijk anders. “Zeker vorig jaar zagen we de opkomst van ‘destruction of service’. Denk daarbij aan aanvallen zoals WannaCry en (Not)Petya. Die vermomden zich weliswaar als ransomware, maar de aanvallers hadden niet het doel er geld mee te verdienen. Ze wilden er juist infrastructuren of bedrijven mee platleggen.”

©PXimport

Voor zulke aanvallen wordt gebruik gemaakt van verschillende zogenoemde ‘obfuscatiemethodes’: manieren om de daadwerkelijke daders te verbergen. De hackers maken dan bijvoorbeeld gebruik van de ‘supply chain’, oftewel andere softwaremakers die weer leveren aan het bedrijf. Vaak hebben bedrijven die hoger in de supply chain staan een minder geavanceerde beveiliging; deze zijn dus makkelijker te infecteren.

Dat geldt ook, of zelfs juist, voor aanvallen die gebruik maken van encryptie. Omdat het lastiger is die tegen te houden, is het makkelijker voor hackers om kleine bedrijven te infecteren.

Beveiligingsbedrijven moeten overstappen op een nieuwe methode om deze vorm van malware tegen te houden, maar de industrie zoekt nog steeds naar het juiste antwoord. “Antivirus is niet meer voldoende”, zegt Schaalje. “Die detecteert verkeer alleen achteraf, terwijl het al op een systeem staat. Dan is het eigenlijk al te laat.” Zeker als je het verkeer niet kunt uitlezen, kan er op dat moment van alles in het systeem gebeuren. “Het liefst wil je daarom realtime kunnen detecteren.”

Oplossingen

Beveiligingsbedrijven stappen steeds vaker over op machine learning en kunstmatige intelligentie om dergelijke aanvallen af te slaan. “Met AI kun je rariteiten in het verkeer zien, en patronen herkennen. Juist als dat foutieve patronen zijn is dat handig.”

Je kunt daarbij de parallel trekken met fingerprinting. Fingerprinting is een identificatiemethode waarbij een uniek id wordt gekoppeld aan een gebruiker (of, in dit geval, malware). Dat gebeurt op een combinatie van technische specificaties en gedragspatronen. Het is een techniek waar juist kunstmatige intelligentie veel kan betekenen. Door het verkeer te analyseren zie je patronen in de grootte van datapakketjes, metadata, de omvang van het verkeer, timestamps ... Die kunnen vaak redelijk goed aangeven wanneer je te maken hebt met malafide verkeer.

Steeds meer beveiligingsbedrijven zien daar de meerwaarde van in, al staat de ontwikkeling ervan nog in de kinderschoenen. Sterker nog, Cisco is op dit moment één van de weinige bedrijven die machine learning al actief toepast buiten de laboratoria om. Het bedrijf ontwikkelde een tool met de ietwat ongeïnspireerde naam Encrypted Traffic Analytics (afgekort ETA), die door klanten van bepaalde routers van het bedrijf kan worden bijgekocht als extra service - met de kanttekening dat al het geanalyseerde verkeer via Cisco loopt.

©PXimport

Vooralsnog doet de dienst redelijk simpele analyses. Die draaien om dingen als zelf ondertekende certificaten, een goede aanwijzing dat er iets verborgen wordt in het pakket dat liever anoniem had moeten blijven. Ook probeert de tool links te leggen met onversleuteld verkeer dat naar dezelfde bestemming loopt. Gaat dat naar een server die niet wordt herkend (of die niet legitiem lijkt), dan gaat er een streep doorheen.

Je kunt zulke machine learning alleen effectief inzetten als je enorme hoeveelheden data hebt. Hoe meer data er worden ingeladen en geanalyseerd, hoe slimmer de algoritmes worden en hoe makkelijker malware kan worden ontdekt - vandaar de verzameling van data door de eerste groepen gebruikers van ETA. Dat wordt aangevuld met handmatige analyses door teams van experts. De meeste securitybedrijven hebben die; het bekende Thalos Security is bijvoorbeeld onderdeel van Cisco, maar ook antivirusbedrijven als ESET, Kaspersky of McAfee maken gebruik van laboratoria waar malware handmatig wordt uitgepluisd door experts.

Uitdagingen

Het grote probleem waar zulke machine learning-algoritmes nu nog tegenaan lopen is het relatief hoge aantal ‘false positives’, resultaten die als malware worden aangemerkt terwijl het eigenlijk om legitiem verkeer gaat. Van de ene kant kun je beter net iets te veel legitiem verkeer aanmerken als malafide dan andersom, maar in de praktijk maakt dat het werk van bedrijven erg onpraktisch.

Schaalje zegt wel dat machine learning niet dé eindoplossing is. “Als wij het inzetten zie je dat criminelen er langzaam ook naartoe gaan. Die gebruiken het dan ook. Nu is het nog vrij ingewikkeld en duur om AI in te zetten maar in de toekomst wordt dat steeds toegankelijker.” Bovendien hebben landen die achter malware zitten ook veel middelen tot hun beschikking.

Het is heel lastig om versleutelde malware tegen te gaan – althans, als je het als op zichzelf staand probleem bekijkt. Het is een negatief bij-effect van de op zich wenselijke popularisering van encryptie. Veel bedrijven geven zelf aan dat ze voor het specifieke probleem van malware-encryptie niet goed beschermd zijn (hetzelfde A10 Networks-rapport dat we eerder noemden onderzocht dat ook). 79 procent van de ondervraagden dacht toen dat het versleutelde malware op hun eigen server kon detecteren. Slechts 17 procent zei er goed op voorbereid te zijn.

Schaalje denkt dat het probleem echter breder is en dat bedrijven zich het beste kunnen wapenen door een bredere beveiliging op te zetten. “Het is lastig te zeggen of bedrijven ‘wel of niet klaar zijn’ om zich tegen dit specifieke probleem te wapenen. Bedrijven zijn zich er steeds vaker bewust van dat er een grote kans is dat zij ooit slachtoffer worden van malware, vrijwel niemand denkt meer ‘dit is geen probleem voor ons’ of ‘ik ben niet interessant om iets te halen’. Iedereen weet dat hij de volgende kan zijn en je ziet dat mensen daar de juiste maatregelen tegen proberen te nemen.”

Die maatregelen zijn dan ook vooral een goede voorbereiding, met een goede analyse van hoe gegevens en systemen worden beveiligd en welke protocollen er zijn als er iets mis gaat.

▼ Volgende artikel
Review Samsung Galaxy Z Fold 7 – Praktischer dan ooit
© Wesley Akkerman
Huis

Review Samsung Galaxy Z Fold 7 – Praktischer dan ooit

Met een prijskaartje van minimaal 2100 euro is de opvouwbare Samsung Galaxy Z Fold 7 een van de duurste smartphones van dit moment. En daar waar de vorige edities een beetje 'meer van hetzelfde waren', voelt de Z Fold 7 wel degelijks anders door zijn sierlijke ontwerp. Heeft Samsung nog meer aangepast of veranderd? Je leest het in deze review.

Uitstekend
Conclusie

De Galaxy Z Fold 7 is een indrukwekkende opvolger van de Z Fold 6. Het dunnere, lichtere ontwerp en het bredere buitenscherm maken hem praktischer dan ooit. De schermen zijn prachtig, de prestaties top en de nieuwe 200MP-camera is een forse upgrade. De hoge prijs van 2100 euro is echter moeilijk te negeren, zeker gezien de matige 3x zoom en de batterij die geen uitblinker is. Bovendien verschilt de ervaring, op het ontwerp na, ook niet zo heel veel van het voorgaande model en heeft Samsung ook niet alle problemen van de voorganger aangepakt.

Plus- en minpunten
  • Bijzonder verfijnd ontwerp
  • Grotere schermen
  • Dichtgeklapt ook goed te gebruiken
  • Hoofdcamera van 200 megapixel
  • Dunner en lichter dan ooit
  • Goede prestaties
  • De prijs...
  • Batterijduur moet echt beter
  • Support voor S Pen verdwenen
  • Slechts 3x optische zoom

De aanpassingen die Samsung heeft doorgevoerd in de Galaxy Z Fold 7 zijn vooral praktisch van aard. Het voornaamste ontwerpverschil zit in de afmetingen en het gewicht: zo is het toestel merkbaar dunner en lichter dan de Z Fold 6. In dichtgeklapte toestand is de dikte gereduceerd van 12,1 mm naar 8,9 mm en opengevouwen van 5,6 mm naar 4,2 mm. Ook het gewicht is afgenomen, van 239 gram naar 215 gram. Op papier zijn dit misschien kleine verschillen, maar in de praktijk is de foldable vederlicht en haast papierachtig dun.

Daarnaast zijn de oled-schermen aangepast voor beter dagelijks gebruik. Het smalle 6,3-inch buitenscherm van de Z Fold 6 is vervangen door een breder 6,5-inch scherm met een iets meer conventionele beeldverhouding van 21:9. Dit zorgt ervoor dat je gemakkelijker typt en apps met één hand bedient, zonder dat je het toestel steeds open hoeft te klappen. Ook het binnenscherm is wat vergroot: van 7,6 inch naar een ruimer 8-inch paneel. De schermranden zijn daarbij iets dunner geworden, waardoor het geheel moderner oogt dan ooit.

©Wesley Akkerman

©Wesley Akkerman

©Wesley Akkerman

©Wesley Akkerman

Praktischer dan ooit

De Galaxy Z Fold 7 is duidelijk ontworpen om het vouwbare concept toegankelijker en praktischer te maken voor een breder publiek. Door het toestel dunner en lichter te maken en vooral het buitenscherm een normale beeldverhouding te geven, is de Z Fold 7 een smartphone die praktischer is dan zijn voorganger. Het is niet langer een niche-apparaat dat je moet openklappen voor basistaken. De combinatie van grotere schermen, een bijna onzichtbare vouw en een extreem hoge helderheid maakt het een indrukwekkend media- en multitasking-apparaat voor dagelijks gebruik.

De beeldkwaliteit van beide schermen is uitstekend. Met een piekhelderheid van meer dan 2000 nits zijn de displays zelfs in direct zonlicht perfect af te lezen. De kleuren zijn levendig en hebben iets meer verzadiging dan concurrerende modellen, waardoor beelden en kleuren echt van het scherm spatten. Beide panelen hebben een soepele 120Hz-verversingssnelheid, die zich automatisch aanpast om de batterij te sparen wanneer dat kan. Lees je een WhatsApp-bericht of artikel, dan gaat de snelheid omlaag om onnodig batterijverbruik te voorkomen.

10x

3x

2x

1x

Galaxy Z Fold 7 in de praktijk

De Galaxy Z Fold 7 profileert zich als een krachtpatser, dankzij een licht opgevoerde Snapdragon-processor (Snapdragon 8 Elite) en een ruime hoeveelheid werkgeheugen. Dit vertaalt zich in een soepele ervaring, of je nu zware games speelt of drie apps tegelijk draait met de Multi Window-functie. Hierdoor voelt het toestel als een echt productiviteits- en entertainmentapparaat dat is ontworpen voor de meest veeleisende gebruiker. Het toestel kan soms wel wat warm worden, maar dat komt meer door Qualcomm dan door Samsung.

In de praktijk levert de batterij genoeg stroom voor een volledige werkdag, al is-ie geen uitblinker bij intensief gebruik. Gelukkig laadt de batterij met de juiste adapter (niet meegeleverd) in een half uur voor de helft op. Het toestel is verder toekomstbestendig met support voor de nieuwste standaarden zoals wifi 7 en bluetooth 5.4, die zorgen voor snelle en stabiele verbindingen. De geïntegreerde AI is handig voor functies als Circle to Search, maar is daarnaast niet feilloos en maakt soms fouten, waardoor je er nog niet op kunt vertrouwen.

0,6x

0,6x

1x

2x

Forse camera-upgrade

De Galaxy Z Fold 7 heeft een forse camera-upgrade gekregen dankzij een nieuwe 200MP-hoofdsensor, vergelijkbaar met die in de S25 Ultra. Dit zorgt voor een kwaliteitsverbetering ten opzichte van de Fold 6. Het hoge aantal megapixels maakt het mogelijk om ver in te zoomen op een foto en hem bij te snijden veel zonder detailverlies. Overdag presteert de camera uitstekend met levendige en vooral warme kleuren die hun mannetje staan. Ook 's nachts blijven de foto's verrassend scherp, al doen 'gewone' smartphones het wellicht nog iets beter op dit gebied. Een unieke functie is verder de mogelijkheid om de krachtige 200MP-hoofdcamera te gebruiken voor selfies, waarbij je het coverscherm als zoeker benut.

Naast de hoofdsensor zijn er nog meer verbeteringen. De ultragroothoeklens heeft nu autofocus, waardoor je nu indrukwekkende macrofoto's van dichtbij kunt maken. Ook de selfiecamera's zijn merkbaar verbeterd, met een grotere kijkhoek voor groepsfoto's.

Niet alles is er echter op vooruitgegaan. De telelens blijft steken op 3x optische zoom en dat voelt inmiddels wat mager, zeker vergeleken met de 5x zoom die andere topmodellen bieden.

3x

10x

Macrostand.

Lange ondersteuning

De Galaxy Z Fold 7 draait op Android 16 met Samsungs One UI 8, dat vol zit met slimme AI-upgrades. Gemini Live is verbeterd en kan nu tegelijkertijd spraak, camera-input en scherminfo verwerken. Functies zoals Circle to Search zijn uitgebreid; zo kun je tijdens het gamen realtime tips krijgen. De exclusieve, geavanceerde video-editor benut het grote scherm volledig, waardoor je video's met meerdere lagen kunt bewerken. Het toestel wordt ondersteund met zeven jaar aan software- en beveiligingsupdates, waarmee Samsung samen met Google marktleider is.

Samsung Galaxy Z Fold 7 kopen?

De Galaxy Z Fold 7 is een indrukwekkende opvolger van de Z Fold 6. Het dunnere, lichtere ontwerp en het bredere buitenscherm maken hem praktischer dan ooit. De schermen zijn prachtig, de prestaties top en de nieuwe 200MP-camera is een forse upgrade. De hoge prijs van 2100 euro is echter moeilijk te negeren, zeker gezien de matige 3x zoom en de batterij die geen uitblinker is. Bovendien verschilt de ervaring, op het ontwerp na, ook niet zo heel veel van het voorgaande model en heeft Samsung ook niet alle problemen van de voorganger aangepakt.

▼ Volgende artikel
Dit is waarom No Frost eigenlijk onmisbaar is bij inbouw-vriezers
© Kirill Sirotiouk
Huis

Dit is waarom No Frost eigenlijk onmisbaar is bij inbouw-vriezers

Als je je vriezer wilt ontdooien, trek je eerst de stekker eruit. Laat je 'm aanstaan, dan blijft het apparaat koelen en smelt het ijs nauwelijks. Bij een vrijstaand model is dat zo gebeurd, maar bij een inbouw-vriezer ligt dat anders. De plint moet los, het apparaat moet naar voren, en pas dan kun je bij het stopcontact. Gedoe dus. Wil je een inbouw-vriezer, dan kun je dus het beste kiezen voor een model met No Frost. Maar wat is dat eigenlijk, en hoe werkt het?

In dit artikel lees je:
  • Wat No Frost precies doet
  • Waarom No Frost een must is, zeker bij inbouw-vriezers
  • Of er nadelen zitten aan No Frost
  • Wat het verschil is met Low Frost

Wat doet No Frost precies?

In een vriezer zonder No Frost ontstaat na verloop van tijd een ijslaag op de binnenwanden. Dat komt door vochtige lucht die binnenkomt elke keer dat je de deur opent. Daardoor gaan de lades minder soepel open en dicht, vriezen verpakkingen vast en stijgt het energieverbruik zonder dat je het meteen doorhebt.

No Frost voorkomt dat. In plaats van het vocht te laten condenseren en bevriezen, circuleert er droge, koude lucht door de vriezer dankzij een ingebouwde ventilator. Die onttrekt actief vocht aan de lucht in het vriesdeel, waardoor ijsvorming helemaal uitblijft. Alles in de vriezer blijft los van elkaar, zonder dat er zich een laag ijs vormt op lades of verpakkingen.

©Tolstoy | Prozorov Andrey

Waarom No Frost juist bij inbouw zo handig is

Dat je nooit meer hoeft te ontdooien is prettig, maar No Frost heeft nog een paar duidelijke voordelen. Een vriezer zonder ijslaag werkt efficiënter: zodra er ijs aan de binnenwanden ontstaat, moet de compressor meer moeite doen om alles op temperatuur te houden. Dat zie je terug op je energierekening.

Bij inbouw-vriezers speelt dat nog sterker. Omdat die vriezers in een kast zijn weggewerkt, is de luchtcirculatie rond het apparaat beperkter. Warmte die normaal via de zijkanten en achterkant wordt afgevoerd, blijft langer hangen. Daardoor neemt de kans op condensvorming en dus ijsopbouw toe bij modellen zonder No Frost. Als de vriezer daardoor harder moet werken, loopt het verbruik op en verslechtert de energieprestatie – zelfs als het label op papier zuinig lijkt. Met No Frost voorkom je dat, en blijft de vriezer goed werken, ook als hij is ingebouwd.

Beter voor je eten

Ook blijft door No Frost de kwaliteit van ingevroren eten beter behouden. IJskristallen op verpakkingen en producten ontstaan bij temperatuurwisselingen en vochtophoping. Met een No Frost-systeem blijft de lucht in het vriesvak stabiel en droog. Daardoor droogt je eten minder snel uit en blijft de kwaliteit beter behouden. 

Zijn er ook nadelen?

No Frost heeft geen echte nadelen, al zijn er wel een paar dingen om rekening mee te houden. Een No Frost-vriezer gebruikt in theorie iets meer stroom door het ventilatiesysteem. In de praktijk weegt dat ruimschoots op tegen het lagere verbruik dankzij het ontbreken van ijsvorming. Ook maakt de luchtcirculatie soms een zacht zoemend geluid. Bij inbouw hoor je daar meestal weinig van, omdat het apparaat in een kast is weggewerkt. Ook ligt de prijs vaak iets hoger dan bij standaard vriezers.

Hoe zit het met Low Frost bij inbouw-vriezers?

Niet alle vriezers zonder ijsvorming zijn automatisch No Frost. Er bestaan ook modellen met Low Frost. Die werken met verdampers in de wand, waardoor er veel minder snel ijs ontstaat. Helemaal ijsvrij blijft het vriesgedeelte niet, maar ontdooien hoeft nog maar één of twee keer per jaar. Bij een vrijstaand model kan dat prima, maar bij inbouw eigenlijk niet. Want één keer per jaar ontdooien is bij een ingebouwd apparaat nog steeds onhandig. Daarom is No Frost bij inbouw eigenlijk de enige keuze waarmee je het jezelf écht makkelijk maakt.

©qwartm - stock.adobe.com

No Frost is bij inbouw geen luxe, maar logica

Het allergrootste voordeel van No Frost bij een inbouw-vriezer is natuurlijk dat de rompslomp van ontdooien je bespaard blijft. Daarnaast zorgt No Frost ervoor dat de vriezer constant blijft presteren, ook in een krappe, slecht geventileerde nis. Het voorkomt ijsvorming, houdt het energieverbruik stabiel en zorgt dat je ingevroren etenswaren zo lang mogelijk hun kwaliteit behouden. Zeker bij een inbouwmodel is No Frost dus geen luxe, maar gewoon een slimme keuze.

Nog even dit

Vriezers hebben ruimte nodig om hun warmte kwijt te kunnen. Bij No Frost-modellen is dat extra belangrijk, omdat die werken met actieve luchtstroom. Bij een vrijstaande vriezer is voldoende ruimte meestal geen probleem, maar bij inbouw-modellen is het belangrijk dat ze niet te krap worden ingebouwd. Kijk dus niet alleen naar de afmetingen van het apparaat zelf, maar controleer ook altijd hoeveel extra ruimte de fabrikant adviseert voor ventilatie. Soms is er aan de achterkant, bovenkant of onder de vriezer nog luchtcirculatie nodig. Houd daar in je keukenontwerp rekening mee, zodat de vriezer goed blijft functioneren en het energieverbruik niet oploopt. Je kunt ook altijd advies vragen bij je keukenspecialist.