Wat doe je als je een netwerk met zó veel gevoelige informatie hebt dat je iedereen koste wat kost bij je data vandaan wilt houden? Dan is het ‘air-gappen’ van je systeem één van de beste opties. Het infiltreren van zo’n netwerk is vaak zo ingewikkeld dat het amper de moeite waard is – maar dankzij air gap malware niet onmogelijk.

In 2011 raakten de turbines van de Iraanse kerncentrale Natanz ernstig verstoord. Deze turbines werkten plotseling veel te snel, waardoor ze zichzelf volkomen kapot draaiden. Stukje bij beetje werd duidelijk dat het controversiële atoomprogramma van het land was gesaboteerd door een agressief virus, maar hoe? Natanz was compleet afgesloten van het internet … De Amerikanen en Israëliërs deden er veel moeite voor om het ‘air-gapped’ netwerk te infiltreren.

Een air-gapped netwerk is een netwerk dat compleet is afgesloten van het internet en daarmee van de buitenwereld. Geen netwerkkabels naar buiten, geen wifi op apparaten, maar een geïsoleerd systeem. Het is de heilige graal van beveiliging, de ultieme stap om een computersysteem veilig te houden van de buitenwereld. Beveiligingsexperts en hackers proberen constant nieuwe manieren te vinden om air-gapped systemen af te luisteren en binnen te dringen. Maar hoe doe je dat? Hoe infecteer je het oninfecteerbare? Dat laatste blijkt nog wel het lastigste te zijn.

Kernwapens

Iedere paar maanden duikt er weer een bericht op, meestal van sensatiesites als Buzzfeed, dat laat zien hoe de Amerikaanse kernwapenfaciliteiten zogenaamd verouderd zijn. Er duiken dan fotoseries op waarop antieke, kamervullende computers te zien zijn, waarop enkel dos-achtige programma’s draaien in zwart-witte lijnen code. De software wordt geladen van floppy’s van acht inch.

Het ‘Defense Department’s Strategic Automated Command and Control System’ (DDSACCS) is verouderd, geeft de Amerikaanse overheid zelf ook toe. Onderdelen die aan vervanging toe zijn, zijn nergens meer te krijgen. Floppy’s zijn door hun magnetische opslag maar beperkt houdbaar en er zijn amper programmeurs te vinden die het oude IBM-platform uit de jaren 70 snappen.

Dat laatste is echter niet alleen een probleem, maar ook een uitkomst. Qua veiligheid gaat er namelijk niets boven een systeem dat niet te kraken is – en als niemand weet hóé je het moet kraken, lijkt dat een slimme stap.

Infrastructuur

De DDSACCS maakt gebruik van een eigen air-gapped netwerk, en het is niet de enige instantie die dat doet. Volgens beveiligingsexpert Jornt van der Wiel van Kaspersky worden air-gapped netwerken voornamelijk gebruikt bij systemen die sowieso niet van internet afhankelijk zijn om te functioneren. In de meeste gevallen gaat het dan om industriële systemen, zoals bij de faciliteit in Natanz ook het geval was. Kritieke infrastructuur wordt daarbij zoveel mogelijk offline gehouden om geen hackers van buitenaf binnen te laten. Het is daarnaast niet ondenkbaar dat ook instanties zoals de politie en de AIVD in ieder geval een deel van hun netwerk air-gapped hebben afgesloten, maar daarover doen beide diensten uit veiligheidsoverwegingen geen uitspraken.

Overigens worden in sommige air-gapped systemen alsnog verbindingen gebruikt waardoor dataverkeer op één of andere manier toch naar buiten kan, bijvoorbeeld met een data-diode waarbij gegevens via een proxy naar buiten kunnen worden gestuurd. Dat vermindert de veiligheid van zo’n netwerk echter wel, en het komt dan ook niet vaak voor.

Het infiltreren in een air-gapped systeem is dus voornamelijk bedoeld voor belangrijke en extreem gevoelige informatie, en zulke netwerken zijn dan ook gewilde doelwitten. Om die af te luisteren heeft een aanvaller dan ook fysieke toegang tot het systeem nodig. Dat is de voornaamste reden dat air-gapped netwerken zo veilig zijn, want het krijgen van fysieke toegang is vaak het lastigste proces – al is het vrijwel altijd noodzakelijk.

Op staatsniveau

Air-gapped malware-aanvallen en air-gapped datadiefstal zijn vaak zo ingewikkeld uit te voeren dat je al snel aan staatsniveau moet denken: de NSA, de FSB of Noord-Korea. Meestal betekent dat ook dat de aanvalsvector niet de simpelste is, want hoe krijg je toegang tot een vijandelijke instelling? In het geval van Stuxnet is nog steeds niet duidelijk hoe dat is gebeurd, maar er zijn wel vermoedens. Het virus werd via een usb-stick bij Natanz naar binnen gesmokkeld doordat de CIA vijf verschillende onderaannemers van de faciliteit wist te hacken – bedrijven die dus géén air-gapped netwerk hadden. Dat staat te lezen in het boek ‘Countdown To Zero Day’ van Wired-journalist Kim Zetter, die de cyberaanval onder de loep nam.

Door zich niet te richten op Natanz zelf, maar op bedrijven die componenten maakten voor Natanz, wisten de aanvallers uiteindelijk alsnog binnen te dringen in het verder afgesloten netwerk.

Hoe air gap malware werkt

Onderzoekers spelen al jaren een kat-en-muis-spel met air-gapped systemen, maar is er geen enkele groep zo belangrijk in het veld als het cybersecurity-lab van Mordechai Guri van de Ben Gurion Universiteit in Israël. Guri en zijn team komen keer op keer in het nieuws met nieuwe manieren om data van air-gapped systemen te onderscheppen.

Bijna alle onderzoeken van Guri’s team volgen hetzelfde patroon: een air-gapped systeem wordt binnengedrongen en er wordt malware op een computer of ander component geladen. Die malware manipuleert geluiden, lichten of de hitte van een computer, zodat die op een bepaalde manier corresponderen met de data die worden verwerkt. Het gaat bijna altijd om binaire data: knippert het ene lampje, dan is dat een 0, en als het andere lampje knippert een 1.

Ook bij andere methodes wordt zulke binaire informatie gebruikt: een ventilator die op 1.000 rpm draait telt als een 0, en 1.600 rpm telt als een 1. Een cpu met een temperatuur van 37 graden is een 0, 38 graden een 1 … Nadat de malware op het systeem is gezet, worden de nieuwe signalen afgeluisterd. Dat kan door een camera gebeuren die naar de lampjes van een pc of router kijkt, of met een smartphone in de buurt die de geluidssignalen van een computer opvangt.

Die aanpak werkt in bijna alle gevallen, en de onderzoekers proberen vooral nieuwe methodes te vinden waarop malware de data en de output van computers en randapparatuur kan manipuleren. Een relatief recente manier om dat te doen is via lichtsignalen, wat Guri en zijn team op twee manieren deden. In het eerste geval wisten de onderzoekers een virus genaamd xLed op een DD-WRT-router te laden dat door toegang tot de gpio-pinnen de routerledjes kon manipuleren op basis van de verwerkte data.

Door de lichtjes vervolgens af te lezen met een videocamera die op de router gericht stond konden de onderzoekers 8000 bits aan data per seconde achterhalen. Dat is net genoeg om binaire informatie zoals wachtwoorden en encryptiesleutels, en de inhoud van kleine bestanden te achterhalen.

Hoewel de onderzoekers proberen hun bevindingen tot een zo realistisch mogelijk scenario te maken (zoals het gebruik van een goedkope, doorsnee DD-WRT-router en een simpele camera zoals een GoPro) is het maar de vraag of een dergelijke penetratie in het echt makkelijk uit te voeren is. Daarvoor is namelijk fysieke toegang tot het systeem nodig en moet er alsnog een verbonden beveiligingscamera worden opgesteld, zodat het amper mogelijk lijkt een dergelijke aanval op te zetten.

Hulp van drone

Desondanks heeft het kleine team van Ben Gurion-onderzoekers voorbeelden van laten zien van vrij realistische aanvallen. Neem bijvoorbeeld een ander onderzoek dat naar lichtsignalen keek. Dit keer niet van een (gehackte) router, maar een simpele externe harde schijf. Die zenden lichtsignalen uit wanneer een gebruikers iets op de computer uitvoert – vaak zelfs als de computer in slaapstand staat. De onderzoekers laadden opnieuw malware op de pc, maar omdat het dit keer om een gewone computer ging en niet om een ontoegankelijkere router was het makkelijker die malware op het systeem te zetten.

Bovendien zijn daarvoor minder rechten nodig – volgens de wetenschappers zijn gewone gebruikersrechten op de pc genoeg om de schijf-lichtjesdata te manipuleren. Opvallend is overigens ook dat de malware die werd gebruikt de lichtjes zelfs zo snel kon laten knipperen dat dat met het blote oog niet te zien was, maar wel door camera’s. Met een drone van buiten het gebouw wisten de onderzoekers vervolgens 4000 bits aan data per seconde af te lezen van de schijf, wederom genoeg voor het verzamelen van wachtwoorden of andere geheime informatie.

Geluid

Geluid is een vaak uitgebuit aspect bij het stelen van data. Guri en zijn team vonden twee opvallende manieren dat te doen: het geluid van een harde schijf en zelfs het geluid van een ventilator in een computer. De eerste methode werd ‘DiskFiltration’ genoemd. Daarbij werd naar de akoestische signalen van een gemanipuleerde harde schijf geluisterd, door middel van een mobiele telefoon die in de buurt lag.

Op die manier kon over een afstand van twee meter zo’n 180 bits per minuut worden afgeluisterd. Een andere manier was om te luisteren naar het draaien van verschillende ventilatoren in de computer, bijvoorbeeld van de cpu en die in het chassis. Maar die methode is een stuk trager – op die manier konden de onderzoekers slechts 15 tot 20 bits per minuut afluisteren.

Fysieke toegang

Eén van de grootste uitdagingen in het bouwen van air-gapped malware is het vergroten van de hoeveelheid te stelen data. Bij sommige methoden – zoals dat met de ventilatoren, zijn slechts een paar bits per minuut te achterhalen – maar als de onderzoekers kijken naar lichtjes wordt dat al een stuk meer.

Een belangrijk deel van die zoektocht draait om het vinden van nieuwe methodes om air-gapped netwerken af te luisteren, bijvoorbeeld door niet alleen naar lichtjes maar ook naar ventilatoren of geluiden te kijken (en te luisteren). Ook is het belangrijk om de malware te verbeteren die nodig is om de data te manipuleren. Zo kan in het geval van de ventilatoren méér informatie worden gestolen als ze allebei draaien, van zowel de cpu als die in het chassis. Maar malware maken die beide ventilatoren tegelijk kan manipuleren is gelijk ook een stuk ingewikkelder.

Zoals we eerder al zagen is die malware in vrijwel alle gevallen nodig om data af te lezen. Dat betekent dat er aanvankelijk altijd toegang nodig is tot het systeem op de één of andere manier. Dat kan fysieke toegang zijn, met een usb-stick die door iemand in een computer wordt gestopt. Ook systemen die air-gapped zijn moeten af en toe updates krijgen, en dat is waar mogelijkheden zitten.

In het geval van Stuxnet werd bijvoorbeeld gebruikgemaakt van bedrijven die delen van de infrastructuur van Natanz hadden gebouwd. Die bedrijven moesten regelmatig de soft- en hardware van de industriële systemen van Natanz bijwerken en hadden daarom regelmatig toegang tot de faciliteit. In zo’n geval is een air-gapped netwerk net zo sterk als de zwakste schakel in dat proces – zeker als die schakel een derde partij is.

Locatie en temperatuur

De beveiliging van een air-gapped netwerk hangt dus voornamelijk af van de toegang die anderen daartoe hebben. Neem bijvoorbeeld de eerste twee voorbeelden die we in dit artikel noemden, van het onderscheppen van data door lichtsignalen. Bij het eerste onderzoek hadden de onderzoekers toegang nodig tot de router, wat veel lastiger is dan toegang tot een pc. Een pc is niet alleen voor een onderzoeker makkelijker te besmetten, maar wordt ook door eindgebruikers gebruikt die op één of andere manier een besmette usb-stick in het netwerk kunnen krijgen. Ook helpt de fysieke locatie van het netwerk mee. In het eerste onderzoek maakten de onderzoekers nog gebruik van een camera die op het netwerk stond gericht, maar in het andere konden de data door een drone van buitenaf worden afgelezen.

Guri’s team probeert in onderzoeken vaak rekening te houden met (semi-)realistische scenario’s die in principe uitgevoerd zouden kunnen worden in een echte omgeving. Op die manier probeerden de onderzoekers ook hitte te gebruiken om data af te lezen, met behulp van twee desktopcomputers die zo’n veertig centimeter van elkaar af stonden. Dat is in een doorsnee kantoor best mogelijk, redeneren de wetenschappers in hun onderzoek. Voor het aflezen van hitte moest wel de ene computer worden besmet met malware. De onderzoekers wisten de temperatuur van het geïnfecteerde systeem te manipuleren door de cpu of gpu harder te laten werken of door veel componenten tegelijk te activeren zodat het moederbord warmer wordt.

Cottonmouth-1

Over het algemeen worden dergelijke technieken zoals Guri die ontwikkelde ingezet om data af te luisteren uit van een systeem, maar er zijn gevallen bekend waarbij de NSA het voor elkaar kreeg om malware te injecteren op een air-gapped systeem. Daarvoor had de inlichtingendienst echter ook weer fysieke toegang nodig tot de computer, om die te voorzien van een usb-stick die uitgerust was met een fm-zender. Zo’n stick, met de naam ‘Cottonmouth-1’, werd gebruikt om draadloos te communiceren met een andere zender die tot wel tien kilometer verderop kon staan. Op die manier wist de NSA in sommige gevallen andere vormen van malware te injecteren in een systeem én daardoor weer nieuwe informatie te achterhalen van de computers.

Ondanks al het onderzoek naar het overbruggen van de air-gap lijkt een afgesloten netwerk toch de beste manier om gevoelige informatie te beschermen. De moeite die moet worden gedaan om zo’n systeem binnen te dringen weegt vaak niet op tegen de beloning, en omdat een aanvaller toch fysieke toegang nodig heeft tot een netwerk zijn veel andere manieren van datadiefstal vaak effectiever. Bovendien zijn er genoeg maatregelen te nemen om zelfs het air-gappen nog veiliger te maken, door het systeem bijvoorbeeld bij ramen weg te houden. Zoals beveiligingsexperts het ook zeggen: geen enkel systeem is honderd procent veilig.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we binnen een bepaald thema naar zulke deals. Ben je op zoek naar een grote televisie voor een scherpe prijs? Vandaag hebben we vijf interessante modellen voor je gespot.

Philips 75PUS7009/12

Voor een Philips-televisie van 75 inch is dit 2024-model erg goedkoop. Je kunt als alternatief ook een kleiner maatje overwegen, namelijk 65 inch of 55 inch. In tegenstelling tot duurdere televisies van het bekende elektronicamerk ondersteunt dit exemplaar geen Ambilight. Wie toch niet op deze achtergrondverlichting zit te wachten, haalt een prima led-tv in huis. Met een resolutie van 3840 × 2160 pixels en een beelddiagonaal van 1,89 meter zie je in films, series en documentaires volop details.

Als je de 75PUS7009/12 met wifi of een bekabeld netwerk verbindt, heb je toegang tot diverse bekende apps. Het relatief nieuwe smartplatform Titan OS is hiervoor verantwoordelijk. Je kunt onder meer NLZiet en Videoland installeren. Verder bevat de afstandsbediening rechtstreekse knoppen voor Disney+, Netflix, Amazon Prime Video en YouTube. Uiteraard sluit je net zo makkelijk allerlei externe apparaten aan, zoals een soundbar, gameconsole en/of tv-ontvanger. Deze televisie bevat onder meer drie HDMI-ingangen, twee usb-poorten en een optische aansluiting. Tot slot heeft de 75PUS7009/12 een lage invoervertraging, zodat je snelle (multiplayer)games kunt spelen.

Hisense 75U79KQ

Hisense hanteert voor deze 75inch-televisie een adviesprijs van 1799 euro, maar enkele webwinkels vragen minder dan de helft van dit bedrag. Ondanks de relatief lage aanschafprijs heeft de 75U79KQ een aantal interessante pijlers. Zo is de maximale vernieuwingsfrequentie van 144 hertz voor fervente gamers een pluspunt. De geanimeerde beelden verschijnen hierdoor vloeiend op het scherm. Verder maakt deze smart-tv gebruik van minileds. Die zijn zo groot als een rijstkorrel. Duizenden minileds zijn verdeeld over honderden dimzones. Het resultaat van deze techniek is een natuurgetrouwe kleurenweergave met realistische contrasten.

Voor het gebruik van streamingdiensten is de ondersteuning voor Dolby Vision (IQ) en HDR10+ een uitkomst. Geschikte films en series hebben een gedetailleerder kleurverloop. De 75U79KQ kiest op basis van het omgevingslicht automatisch de beste beeldinstellingen. Daarnaast is de Filmmaker-modus een interessante optie. Daarmee kijk je naar een film zoals de regisseur dat oorspronkelijk bedoeld heeft. Als smartplatform is VIDAA U 7 op deze televisie aanwezig. Hiervoor zijn alle bekende (inter)nationale video-apps beschikbaar. Dankzij AirPlay-ondersteuning kun je vanaf een Apple-apparaat ook nog eigen beeldmateriaal streamen. Naast deze 75inch-uitvoering is de smart-tv ook in een kleinere versie van 55 inch te koop.

Samsung UE85DU7100KXXN

Met een indrukwekkend beelddiagonaal van 2,15 meter volg je voortaan sportwedstrijden, tv-programma's en films op de voet. Behalve dit betaalbare 85inch-model is de Samsung-televisie ook in diverse kleinere uitvoeringen te koop. Kies als alternatief bijvoorbeeld een formaat van 75 inch, 65 inch of 55 inch. Zoals we van Samsung gewend zijn, tref je alle bekende videodiensten in het Tizen-smartplatform. Voeg bijvoorbeeld NPO Start, Videoland en Viaplay aan de app-bibliotheek toe. De bekende namen Netflix, Amazon Prime Video en Disney+ kun je bovendien vlot oproepen, want de afstandsbediening heeft hiervoor eigen knoppen.

Het scherm van de UE85DU7100KXXN telt 3840 × 2160 pixels, waardoor je games en video's in de hoogste resolutie kunt afspelen. Er is ook nog ondersteuning voor HDR10+ ingebakken. Moderne videostreams hebben hierdoor een subtieler kleurverloop. Voor het aansluiten van externe bronnen bevat de achterzijde drie HDMI-poorten en een usb-aansluiting. Houd er rekening mee dat een optische uitgang ontbreekt. Sommige audiosystemen kun je om die reden niet aansluiten. Tot slot pas je de hoogte en breedte van de bijgesloten standaard eenvoudig aan. Zo creëer je voldoende plek voor een soundbar.

Lees ook: Dit zijn de beste apps voor jouw smart-tv

LG 65UT73006LA

Deze 65inch-televisie van Samsung heeft een goede prijs-kwaliteitverhouding. Dankzij de Alpha 5 AI Gen7-processor verschijnen er scherpe 4K-beelden op het scherm. De genoemde chipset optimaliseert op eigen houtje de helderheid en audioweergave, zodat je hiervoor niet zelf de instellingen in hoeft te duiken. Voor liefhebbers van films is de zogenoemde Filmmaker-modus een welkome toevoeging. Daarnaast ondersteunt de televisie ook HDR10, zodat je onder meer in de beste kwaliteit naar Netflix- en Disney+-streams kunt kijken.

Speel je graag videospellen, dan komen de Game Optimizer en het Game Dashboard goed van pas. Je wijzigt daarmee onder andere rap de verversingssnelheid, waarna je zonder haperingen kunt spelen. In het overzichtelijke webOS-smartplatform voeg je alle bekende apps toe. Nuttig om te weten is dat LG voor de 65UT73006LA de komende vijf jaar vier verse webOS-upgrades uitrolt. Ook na aanschaf gaat deze smart-tv dus met zijn tijd mee. Als je 65 inch te groot vindt, kun je een kleiner formaat van 55 inch, 50 inch of 43 inch overwegen.

LG OLED65B42LA

Voor oled-begrippen is deze 65inch-televisie van LG scherp geprijsd. Daarnaast kun je de smart-tv ook in een kleinere of grotere versie van respectievelijk 55 inch of 77 inch kopen. Het voordeel van een oled-tv is dat iedere pixel individueel wordt aangestuurd. De Alpha 8 AI-videoprocessor kan de pixels ook tijdelijk uitschakelen. Ten opzichte van andere schermtechnieken toont dit oledpaneel zo nodig pikzwarte beelden (en niet donkergrijs). Zeker in combinatie met de HDR-formaten Dolby Vision en HDR10 zien films en series er zéér realistisch uit.

De OLED65B42LA is een ideale televisie voor het kijken van sportwedstrijden en spelen van games. Wegens een hoge vernieuwingsfrequentie van 120 hertz heb je geen last van hinderlijke schokjes. Zelfs de snelste actiebeelden verschijnen vloeiend op het scherpe oledscherm. Ook op het gebied van connectiviteit is er geen reden tot klagen. Zo sluit je aan de hand van vier HDMI-ingangen en twee usb-poorten allerlei externe apparaten aan. Ten slotte is de aanwezigheid van het gebruiksvriendelijke webOS-smartplatform met vijf ondersteuning een pluspunt. Benieuwd naar ervaringen van andere gebruikers? Lees dan deze reviews. De breed gewaardeerde smart-tv scoort een gemiddeld cijfer van een 8,6!

Of je nu houdt van gourmetten met pannetjes of alles direct op de grillplaat klaarmaakt: als iedereen klaar is en de plaat is afgekoeld, maak je hem in een paar stappen weer grondig schoon.

Lees ook: 🧀 Ze smelten de kazen! Waarom raclette dé topper is voor de feestdagen

Vroeger gebruikten we een gourmetstel vooral met de pannetjes. Tegenwoordig kun je meer: op de bovenplaat kun je vlees en groenten grillen, terwijl je op de verdieping daaronder bijvoorbeeld kleine omeletten of pannenkoekjes bakt in de pannetjes. Beide oppervlakken zijn gelukkig vrij makkelijk schoon te maken. Dat is niet alleen hygiënisch, maar houdt je gourmetstel ook netjes. Ingebrande vetvlekken of etensresten zien er tenslotte niet zo fris uit.

©Patrick

Pannetjes schoonmaken

Na het gourmetten kunnen de pannetjes er flink gebruikt uitzien. Vul de gootsteen of een teiltje met warm water en een scheutje afwasmiddel. Leg de pannetjes erin en laat ze 5 tot 10 minuten weken. Maak ze daarna schoon met een zachte doek, zoals een microvezeldoekje. Droog de pannetjes goed af en laat ze nog even aan de lucht drogen, bij voorkeur met de handvatten omhoog. Let op: hebben je pannetjes houten handgrepen? Die mogen vaak niet volledig onder water. Reinig deze pannetjes voorzichtig in een sopje, waarbij de handgrepen uit het water blijven steken. Zo voorkom je dat het hout beschadigt.

Bakplaat schoonmaken

Begin met schoonmaken als de bakplaat nog handwarm is. Met keukenpapier verwijder je eenvoudig de vettige resten die nog niet zijn gestold. Neem daarna een vochtige doek om het oppervlak helemaal schoon te maken. Vermijd schuursponsjes, schoonmaakspray of staalwol, want die kunnen de coating beschadigen of krassen veroorzaken.

Als het apparaat volledig is afgekoeld, kun je de buitenkant en randen schoonmaken met een licht vochtige doek. Vergeet het snoer niet, want daar zitten vaak vetspetters op. Spray een dubbelgevouwen stuk keukenpapier licht in met een ontvetter en veeg het snoer daarmee schoon. Zorg ervoor dat de stekker droog blijft om risico op kortsluiting te voorkomen..

©Lukassek

Eettafel schoonmaken

Als je gourmetstel schoon is en je goed hebt geventileerd om de gourmetlucht uit huis te krijgen, is er misschien nog één klusje: de eettafel inspecteren. Bij gourmetten komen er altijd vetspetters vrij. Idealiter heb je een werptafelkleed gebruikt, want dat kan meteen na het eten de vuilnisbak in. Hoe je vetvlekken kunt verwijderen uit stoffen tafelkleden en servetten, lees je hieronder. Heb je verlichting boven de eettafel hangen? Die lampen kunnen dan ook behoorlijk vet worden, dus vergeet ze niet af te nemen met een vetoplossende spray en keukenpapier.