De toenemende populariteit van encryptie heeft een schaduwzijde. Malware wordt namelijk veel moeilijker op te sporen wanneer het via versleutelde verbindingen tracht toe te slaan. Wat is er tegen versleutelde malware te doen? We spraken daarover met Michel Schaalje van beveiligingsbedrijf Cisco.

De trend van versleuteling zet door. Onderzoeksbureau Gartner voorspelt bijvoorbeeld dat dit jaar meer dan tachtig procent van al het internetverkeer versleuteling heeft. Versleuteld malafide verkeer is echter heel lastig te ontdekken, en daarmee lastig te bestrijden. Criminelen versleutelen hun malware daarom steeds vaker om virusscanners en bedrijfsbeveiligingen om de tuin te leiden. Volgens beveiligingsbedrijf Cisco duurt het voor bedrijven gemiddeld tussen de 100 en 200 dagen voor zij ongeoorloofd ssl-verkeer ontdekken in hun netwerken.

Michel Schaalje is directeur security bij Cisco. Het netelige vraagstuk van versleutelde malware neemt hij vrij koel op. “Encryptie is bedoeld om verkeer veiliger te maken. Nu zie je het tegenovergestelde ook gebeuren. Maar ja, dat kun je eigenlijk van alles wel zeggen. Als er een nieuwe technologie op de markt komt, dan is het bijna gegarandeerd dat iemand het ook voor malafide doeleinden gebruikt.”

Volgens Schaalje is de opkomst van versleutelde malware geen nieuwe ontwikkeling, maar wel een die recent een flinke vlucht heeft genomen. “We zien in het algemeen een grote stijging in versleuteld internetverkeer, en daarmee dus ook in kwaadaardig verkeer.” Hij vindt het zelf een eenvoudig verklaarbare ontwikkeling. “Criminelen proberen nu eenmaal altijd onder de radar te blijven. Als encryptie daarbij helpt is dat een logische stap.” De opkomst van Let’s Encrypt is daarbij belangrijk. “Certificaten met ‘signatures’ zijn nu spotgoedkoop en veel beschikbaar. Daar maken criminelen dankbaar gebruik van.”

Bedrijfsstructuur

Voor criminelen is het steeds vaker noodzaak om hun verkeer te versleutelen, als zij effect willen hebben. Anderzijds, zegt Schaalje, is er ook het feit dat online beveiliging niet stilstaat. “Bij organisaties wordt de beschermmuur steeds beter. Bedrijven maken vaker gebruik van een architectuurbenadering voor hun beveiliging.”

Hij doelt daarmee op het feit dat bedrijven niet alleen geld pompen in nieuwe en betere hard- en software, maar hun hele digitale bedrijfsstructuur onder de loep nemen en werknemers en afdelingen beter laten samenwerken. “Je moet daarom als crimineel slimmer zijn om onder de radar te blijven. Ze verzinnen daarom steeds meer nieuwe methodes om ergens binnen te dringen.”

©PXimport

De meeste versleuteling in malware vindt plaats in ssl-verkeer. Het gaat meestal niet om de ‘payload’ (het gedeelte van de malware dat daadwerkelijk schade aanbrengt), maar om de weg die de malware aflegt om bij een doelwit te komen. Met name het verkeer naar een ‘command and control’-server is vaak versleuteld, zegt Schaalje.

“Als je dat weet te verbergen, kun je vaak meer impact hebben die ook langer duurt.” Het duurt dan bijvoorbeeld langer voor malafide verkeer wordt opgemerkt. De encryptie maakt het moeilijk om in een netwerkanalyse te zien of verkeer naar een legitieme bron gaat (een normale website die iemand gewoon nodig heeft voor zijn werk) of naar een malafide server die allerlei bedrijfsgeheimen verzamelt.

Vormen van versleutelde malware

Aanvallers volgen met de inzet van versleutelde malware de trends in cybersecurity. Ransomware is bijvoorbeeld nog steeds een belangrijke drijfveer. Inmiddels is echter ook cryptojacking steeds populairder, en blijven andere vormen van cybercrime zoals spionage of gegevensdiefstal altijd populair.

Versleuteling in malware richt zich dus niet specifiek op één doel. Verschillende rapporten noemen verschillende doelen. In een rapport van Zscaler van vorig jaar staat bijvoorbeeld dat zestig procent van alle malware via ssl of tls in 2017 bestond uit banking trojans. Slechts een kwart van alle aanvallen zou bestaan uit ransomware, en cryptojacking werd toen nog helemaal niet genoemd.

Toch ziet Michel Schaalje een nieuwe vorm van geavanceerde malware opkomen. Die kan de vorm aannemen van ransomware, maar het uiteindelijke doel van zo’n virus is wezenlijk anders. “Zeker vorig jaar zagen we de opkomst van ‘destruction of service’. Denk daarbij aan aanvallen zoals WannaCry en (Not)Petya. Die vermomden zich weliswaar als ransomware, maar de aanvallers hadden niet het doel er geld mee te verdienen. Ze wilden er juist infrastructuren of bedrijven mee platleggen.”

©PXimport

Voor zulke aanvallen wordt gebruik gemaakt van verschillende zogenoemde ‘obfuscatiemethodes’: manieren om de daadwerkelijke daders te verbergen. De hackers maken dan bijvoorbeeld gebruik van de ‘supply chain’, oftewel andere softwaremakers die weer leveren aan het bedrijf. Vaak hebben bedrijven die hoger in de supply chain staan een minder geavanceerde beveiliging; deze zijn dus makkelijker te infecteren.

Dat geldt ook, of zelfs juist, voor aanvallen die gebruik maken van encryptie. Omdat het lastiger is die tegen te houden, is het makkelijker voor hackers om kleine bedrijven te infecteren.

Beveiligingsbedrijven moeten overstappen op een nieuwe methode om deze vorm van malware tegen te houden, maar de industrie zoekt nog steeds naar het juiste antwoord. “Antivirus is niet meer voldoende”, zegt Schaalje. “Die detecteert verkeer alleen achteraf, terwijl het al op een systeem staat. Dan is het eigenlijk al te laat.” Zeker als je het verkeer niet kunt uitlezen, kan er op dat moment van alles in het systeem gebeuren. “Het liefst wil je daarom realtime kunnen detecteren.”

Oplossingen

Beveiligingsbedrijven stappen steeds vaker over op machine learning en kunstmatige intelligentie om dergelijke aanvallen af te slaan. “Met AI kun je rariteiten in het verkeer zien, en patronen herkennen. Juist als dat foutieve patronen zijn is dat handig.”

Je kunt daarbij de parallel trekken met fingerprinting. Fingerprinting is een identificatiemethode waarbij een uniek id wordt gekoppeld aan een gebruiker (of, in dit geval, malware). Dat gebeurt op een combinatie van technische specificaties en gedragspatronen. Het is een techniek waar juist kunstmatige intelligentie veel kan betekenen. Door het verkeer te analyseren zie je patronen in de grootte van datapakketjes, metadata, de omvang van het verkeer, timestamps ... Die kunnen vaak redelijk goed aangeven wanneer je te maken hebt met malafide verkeer.

Steeds meer beveiligingsbedrijven zien daar de meerwaarde van in, al staat de ontwikkeling ervan nog in de kinderschoenen. Sterker nog, Cisco is op dit moment één van de weinige bedrijven die machine learning al actief toepast buiten de laboratoria om. Het bedrijf ontwikkelde een tool met de ietwat ongeïnspireerde naam Encrypted Traffic Analytics (afgekort ETA), die door klanten van bepaalde routers van het bedrijf kan worden bijgekocht als extra service - met de kanttekening dat al het geanalyseerde verkeer via Cisco loopt.

©PXimport

Vooralsnog doet de dienst redelijk simpele analyses. Die draaien om dingen als zelf ondertekende certificaten, een goede aanwijzing dat er iets verborgen wordt in het pakket dat liever anoniem had moeten blijven. Ook probeert de tool links te leggen met onversleuteld verkeer dat naar dezelfde bestemming loopt. Gaat dat naar een server die niet wordt herkend (of die niet legitiem lijkt), dan gaat er een streep doorheen.

Je kunt zulke machine learning alleen effectief inzetten als je enorme hoeveelheden data hebt. Hoe meer data er worden ingeladen en geanalyseerd, hoe slimmer de algoritmes worden en hoe makkelijker malware kan worden ontdekt - vandaar de verzameling van data door de eerste groepen gebruikers van ETA. Dat wordt aangevuld met handmatige analyses door teams van experts. De meeste securitybedrijven hebben die; het bekende Thalos Security is bijvoorbeeld onderdeel van Cisco, maar ook antivirusbedrijven als ESET, Kaspersky of McAfee maken gebruik van laboratoria waar malware handmatig wordt uitgepluisd door experts.

Uitdagingen

Het grote probleem waar zulke machine learning-algoritmes nu nog tegenaan lopen is het relatief hoge aantal ‘false positives’, resultaten die als malware worden aangemerkt terwijl het eigenlijk om legitiem verkeer gaat. Van de ene kant kun je beter net iets te veel legitiem verkeer aanmerken als malafide dan andersom, maar in de praktijk maakt dat het werk van bedrijven erg onpraktisch.

Schaalje zegt wel dat machine learning niet dé eindoplossing is. “Als wij het inzetten zie je dat criminelen er langzaam ook naartoe gaan. Die gebruiken het dan ook. Nu is het nog vrij ingewikkeld en duur om AI in te zetten maar in de toekomst wordt dat steeds toegankelijker.” Bovendien hebben landen die achter malware zitten ook veel middelen tot hun beschikking.

Het is heel lastig om versleutelde malware tegen te gaan – althans, als je het als op zichzelf staand probleem bekijkt. Het is een negatief bij-effect van de op zich wenselijke popularisering van encryptie. Veel bedrijven geven zelf aan dat ze voor het specifieke probleem van malware-encryptie niet goed beschermd zijn (hetzelfde A10 Networks-rapport dat we eerder noemden onderzocht dat ook). 79 procent van de ondervraagden dacht toen dat het versleutelde malware op hun eigen server kon detecteren. Slechts 17 procent zei er goed op voorbereid te zijn.

Schaalje denkt dat het probleem echter breder is en dat bedrijven zich het beste kunnen wapenen door een bredere beveiliging op te zetten. “Het is lastig te zeggen of bedrijven ‘wel of niet klaar zijn’ om zich tegen dit specifieke probleem te wapenen. Bedrijven zijn zich er steeds vaker bewust van dat er een grote kans is dat zij ooit slachtoffer worden van malware, vrijwel niemand denkt meer ‘dit is geen probleem voor ons’ of ‘ik ben niet interessant om iets te halen’. Iedereen weet dat hij de volgende kan zijn en je ziet dat mensen daar de juiste maatregelen tegen proberen te nemen.”

Die maatregelen zijn dan ook vooral een goede voorbereiding, met een goede analyse van hoe gegevens en systemen worden beveiligd en welke protocollen er zijn als er iets mis gaat.

Bij ID.nl zijn we gek op producten met een mooie prijs of die iets bijzonders te bieden hebben. Daarom gaan we een paar keer per week op zoek naar zulke deals. Dit keer een bijzondere categorie die nog niet eerder aan bod is geweest: verstelbare bureau's voor een ergonomische werkplek.

Veel mensen die thuiswerken heb niet altijd de mogelijkheid om een apart bureau te gebruiken en ziten bijvoorbeeld vaak aan de eet- of keukentafel. Toch kan het lonen om te investeren in een goed bureau, omdat daarmee - in combinatie met een goede stoel - je werkhouding een stuk beter wordt. Wij bekijken vijf handige bureaus 's die in hoogte verstelbaar zijn.

Casaria 160x75

Het tafelblad van dit bureau uit de Casaria‑lijn is in hoogte verstelbaar van 73 tot 118 cm en beweegt met een snelheid van 2,25 cm per seconde. Je bedient de motor via een lcd‑scherm en kan twee voorkeursstanden opslaan, zodat je met één druk op de knop naar je favoriete werkhoogtes gaat. Er zit ook een herinneringsfunctie in die je eraan herinnert om weer te gaan staan of juist te zitten. Met het robuuste stalen frame en een draagvermogen van 80 kg is het bureau geschikt voor zware monitoren. Handige details zijn de kabelgeleider, beker‑ en koptelefoonhouder en in hoogte verstelbare poten. Het blad van 160 × 75 cm bestaat uit twee delen en is afgewerkt met melamine zodat het tegen een stootje kan. Dit bureau komt inclusief montagebenodigdheden en is verkrijgbaar in verschillende kleurvarianten.

Avalo 140x60

Avalo levert dit elektrisch verstelbaar bureau (de P58) met een compact blad van 140 × 60 cm. De hoogte is traploos verstelbaar van 73 tot 117 cm en kun je drie verschillende hoogtestanden opslaan. Dat is handig als je het bureau deelt met collega's of medethuiswerkers, of wanneer je snel wilt wisselen tussen zit‑ en stahouding. De bediening gebeurt via een bedieningspaneeltje aan de voorkant; met één druk op de knop gaat het blad naar de gewenste stand. Het frame is gemaakt van staal, het blad van P2‑melamine en de rand is afgewerkt met hittebestendig ABS. Verder wordt benadrukt dat het bureau plug‑and‑play is: je hoeft alleen de stekker in het stopcontact te steken en kunt meteen aan de slag. Door het smalle ontwerp past het bureau goed in kleinere kamers, maar biedt het toch voldoende ruimte voor een monitor, toetsenbord en documenthouder. Voor wie een elektrische zit‑sta‑oplossing zoekt met geheugenfunctie en solide materialen is dit model een optie.

Avalo 120x60

Dit is een kleinere variant van de hierboven besproken Avalo AP58. Dit model heeft een 20 cm minder breed blad, maar uiteraard ook elektrisch verstelbaar. Net als de grotere uitvoering varieert de hoogte van 73 tot 117 cm en kan het bureau drie standen onthouden. Voor het instellen gebruik je een eenvoudige bediening waarbij je een favoriete zit‑ en stahoogte opslaat en later oproept. Het frame bestaat uit staal en het blad uit melamine met een rand van warmtebestendig ABS. D tafel weegt 27 kg en is het daardoor stabiel zonder moeilijk te verplaatsen. Ook deze uitvoering is plug‑and‑play; je hoeft geen ingewikkelde montage uit te voeren. Door de compactere afmetingen is dit model ideaal voor kleinere werkplekken of voor wie extra apparatuur (zoals een printer) op een tweede tafel wil plaatsen. De strakke vormgeving past in verschillende interieurs en de elektrische motor zorgt ervoor dat je eenvoudig van houding wisselt.

VDD Gaming 118x58cm

Het frame van deze VDD is elektrisch in hoogte verstelbaar van 73 tot 118 cm. Hiermee wissel je gemakkelijk tussen zitten en staan en kun je de juiste houding aannemen voor langdurige sessies. Het witte werkblad van 118 × 58 cm biedt voldoende ruimte voor een monitor en toetsenbord en dankzij de krachtige motor is het maximaal belastbaar tot 60 kg. De tafel wordt geleverd met instructies en alle benodigde onderdelen, waardoor je de montage zelf kunt uitvoeren. Er worden geen extra functies zoals geheugenstanden vermeld, waardoor je elke gewenste hoogte handmatig instelt. Voor wie een elektrisch verstelbaar bureau zoekt dat weinig ruimte inneemt, is dit een praktische optie; vooral gamers zullen baat hebben bij het kunnen aanpassen van de werkhoogte tijdens een sessie.

Schaffenburg Linesto Plus 140x80

Het Schaffenburg Linesto Plus‑bureau is een rechthoekige tafel met een T‑poot. Het frame is zonder gereedschap te monterenen in hoogte verstelbaar met een drukknop tussen 65,5 en 85,5 cm. De maximale belasting bedraagt 70 kg. De hoogtebediening gebeurt via een knop aan het onderstel; er zijn geen geheugenstanden. De tafel is voorzien van een 25mm dik melamine blad, een metalen onderstel en stelvoeten om de tafel waterpas te zetten. Kabelbeheer is mogelijk via accessoires, en er zijn diverse blad‑ en framekleuren beschikbaar. Het Schaffenburg-bureau heeft verder een stalen frame met twee telescoperende buisdelen en een krasvaste coating. Als enige in dit overzicht is deze Linestor geen zit/sta-bureau, maar kan hij in zithoogte tot maximaal 85,5 cm worden gebracht.

Sinds juni 2025 is het voor fabrikanten van smartphones verplicht om een energiebabel voor hun apparaten te voeren. De consument kan aan de hand van het energielabel zien hoe energiezuinig een telefoon is, maar ook hoe makkelijk het is om de telefoon te (laten) repareren en wat het updatebeleid voor de software is. Door middel van het nieuwe energielabel kun je dus veel bewuster kiezen voor een bepaalde telefoon.

Het energielabel werd ooit bedacht om apparaten op een uniforme manier te vergelijken, los van marketingclaims. Door elk product in te delen op een schaal van A tot en met G ontstaat ruimte om echte koplopers te herkennen en achterblijvers aan te sporen. Smartphones waren nog niet eerder voorzien van een energielabel, maar hebben dat vanaf juni 2025 wel gekregen. Dat is logisch, want bij smartphones draait energie-efficiëntie niet alleen om het stopcontact, maar vooral om hoe slim hardware en software met de energie van een accu omgaan en hoeveel jaren je uit dezelfde telefoon haalt. Door die informatie eenduidig te tonen, verschuiven de argumenten over de oplaadtijd en de schermgrootte naar hoelang een telefoon meegaat en hoe makkelijk hij te repareren is.

Energie en duurzaamheid

Een smartphone gaat gemiddeld gezien wel een dagje mee op een enkele acculading, afhankelijk natuurlijk van het gebruik door de eigenaar. Erg veel energie wordt er dus niet verspild, maar de grootste winst wat betreft het klimaat is vooral te behalen uit de levensduur van de smartphone en of deze makkelijk te repareren is. De EU koppelt het nieuwe energielabel aan het eco-design van de telefoon. Het label dat de telefoon krijgt, is afhankelijk van een aantal factoren en is een gemiddelde van de prestaties van al deze factoren. Welk factoren dat zijn, lichten we je hieronder verder toe.

Levensduur accu

Het nieuwe energielabel laat zien wat de gemiddelde levensduur van de accu van de telefoon is. Dat wordt bekeken aan de hand van het aantal laadcycli: hoe vaak kan een telefoon opnieuw worden opgeladen voordat de kwaliteit van de accu achteruit gaat? Daarbij wordt een capaciteitsvermindering van 80 procent aangehouden: na hoeveel keer laden is de capaciteit tot 80 procent gedaald? Hoe hoger dit getal, des te betrouwbaarder is de accu.

Uithoudingsvermogen

Uiteraard wordt er ook gekeken naar de gebruiksduur van een telefoon of tablet als deze volledig is opgeladen. Door het uitvoeren van een zogeheten reallife-situatie wordt het gemiddelde gebruik van een smartphone geëmuleerd. Hoeveel uur en minuten je met de smartphone kunt werken op die enkele lading, wordt op het label getoond.

Vrije val

Een van de andere eigenschappen waarop wordt getest, is de vrije val-test. Hoe snel gaat een telefoon kapot als je deze vanaf een bepaalde hoogte op een harde ondergrond laat vallen? Misschien vraag je je af wat dit met duurzaamheid te maken heeft? Nou, heel veel: als je telefoon snel kapot gaat als je hem laat vallen, moet je al snel een nieuwe. Niet heel duurzaam dus. Op het energielabel vind je de valbestendigheid tussen de A en E. Hoe lager de letter (A), des te beter kan zo'n telefoon een val overleven. De test is gebaseerd op een val van 1 meter boven een verharde ondergrond en wordt met vijf modellen van hetzelfde toestel tot wel 270 keer uitgevoerd.

Elke keer dat een telefoon is gevallen, wordt gecontroleerd of het scherm nog functioneert en reageert op aanrakingen, of de camera het nog doet, of de mobiele functies als wifi en mobiel nog werken, of de telefoon kan worden opgeladen en of de audio nog goed functioneert. Barsten in het frame of het glas worden wel geaccepteerd, mits de telefoon nog veilig kan worden gebruikt. Bijvoorbeeld als het glas wel gebarsten is, maar geen splinters heeft.

Bescherming tegen stof of water

Ook de zogeheten IP-tests (IP = Ingression Protection, of indringbescherming) worden uitgevoerd bij de telefoons en zijn een belangrijk onderdeel van de algehele score die een telefoon krijgt. De apparaten worden getest op het binnendringen van stof en water. De waterbestendigheidstest controleert bijvoorbeeld of een smartphone bestand is tegen spatwater vanuit verschillende richtingen, zonder dat de werking of veiligheid van het toestel wordt aangetast. Hiermee wordt gegarandeerd dat een telefoon in elk geval bestand is tegen vocht, bijvoorbeeld bij het gebruik tijdens een regenbui, het morsen van vloeistof of het gebruik van natte handen.

Repareerbaarheid

Een ander duurzaamheidsonderdeel waar de EU goed naar kijkt, is de repareerbaarheid van een smartphone. Dat omvat een groot aantal parameters, zoals welke onderdelen makkelijk te vervangen zijn, in hoeverre een consument bepaalde onderdelen zelf kan vervangen, en hoelang en hoe goed bepaalde onderdelen van de telefoon op voorraad zijn.

De EU wil dat smartphones langer meegaan en eenvoudiger te herstellen zijn – zowel door professionele reparateurs als (in bepaalde gevallen) door consumenten zelf. De eisen met betrekking tot repareerbaarheid blijven minimaal zeven jaar gelden na het einde van de verkoop van een model.

©WICHAN SHOP

Een fabrikant van een smartphone moet garanties kunnen geven met betrekking tot de ondersteuning van een telefoon. Als een toestel op de Europese markt wordt uitgebracht, mag de consument verwachten dat een telefoon zeven jaar na het verschijnen van de telefoon op de markt nog steeds gerepareerd kan worden.

Onderdelen

De reparatie- of 'vervangarantie' geldt voor alle essentiële onderdelen van een smartphone of tablet, zoals de accu, camera's, externe poorten voor audio en opladen, de microfoons en luidsprekers, de knoppen en de scharnieren als het een opklapbare telefoon betreft. De fabrikant moet zelfs de schroefjes op voorraad hebben als de originele niet meer kunnen worden gebruikt.

De bovenste onderdelen kunnen door een fabrikant of een telefoonreparateur worden gerepareerd, maar de EU vindt dat ook consumenten zelf onderdelen moeten kunnen bestellen en vervangen, zoals de accu, de achterzijde, de hele beeldschermunit en de oplader. Voor die zelfrepareerbaarheid krijgt een telefoon ook een waardering van A t/m E. De fabrikant is daarnaast verplicht om aan te geven waar reserveonderdelen te verkrijgen zijn, welk gereedschap er nodig is om de reparatie te kunnen uitvoeren en waar je de benodigde handleidingen kunt vinden.

Reparatie-index

Telefoonfabrikanten moeten dus uitgebreide informatie geven over hoe je je smartphone kunt repareren, maar ook over de complexiteit van de reparatie. Zijn de onderdelen die je wilt vervangen bijvoorbeeld makkelijk te bereiken, of moet je eerst andere onderdelen verwijderen om erbij te kunnen? Ook dat wordt allemaal opgenomen in de uiteindelijke classificering van de telefoon: hoe minder stappen er nodig zijn, des te hoger is de score die wordt toegekend.

Tot slot

De Europese Unie heeft met het nieuwe energielabel voor smartphones een goede stap gezet in de richting van duurzaamheid. Het uiteindelijke doel is om ervoor te zorgen dat fabrikanten meer hun best gaan doen om een zo makkelijk mogelijk te repareren telefoon uit te brengen. Deze strengere regels in de EU betekenen ook dat deze toestellen in andere landen buiten de EU makkelijker te repareren zullen zijn, omdat een telefoonfabrikant waarschijnlijk niet compleet verschillende uitvoeringen van een model smartphone gaat maken. Maar of consumenten in landen buiten de EU ook zo makkelijk zelf aan onderdelen kunnen komen, is dan nog maar de vraag; deze mate van tegemoetkoming aan of bescherming van de consument gelden vaak niet in andere landen. Fabrikanten hoeven deze informatie dus niet beschikbaar te stellen in landen buiten de EU.