Miljoenen gebruikers hadden de nieuwste versie van het bekende en alom vertrouwde CCleaner al gedownload vóórdat er per toeval malware in het programma werd ontdekt. Dergelijke supply-chain-aanvallen worden steeds geraffineerder en populairder. Wat zijn het precies?

Ruim drie miljoen mensen downloadden tussen half augustus en half september CCleaner, een van de meest gebruikte tools ter wereld. CCleaner is bijzonder populair. In praktisch alle gidsen voor het opschonen van computers staat het programma bovenaan en miljoenen gebruikers hebben het programma op hun computer draaien om overbodige bestanden te verwijderen en hun systeem iets sneller te laten draaien.

Niet gek dus dat CCleaner wekelijks nog steeds zo’n vijf miljoen keer(!) wordt gedownload. Wat gebruikers echter niet wisten, was dat in die periode (de 32bit-versie van) CCleaner was geïnfecteerd met een trojan, waardoor honderdduizenden downloaders werden besmet met een virus. Tot dusver is onbekend waarvoor dat virus bedoeld is, maar waarschijnlijk hoopten de hackers via de update bedrijven te infecteren om die te kunnen bespioneren.

Eerder dit jaar werden honderden bedrijven over de hele wereld getroffen door pseudo-ransomware genaamd Petya. Computersystemen van onder meer transportgigant Maersk waren onbereikbaar, met als gevolg miljoenen euro’s schade.

Deze pseudo-ransomware werd verspreid via een boekhoudprogramma van het Oekraïense bedrijf MeDoc, dat eerder was gehackt. De indringers hadden de pseudo-ransomware verstopt in een update voor de software, die vervolgens werd gepusht naar klanten die daardoor werden geïnfecteerd.

CCleaner en Petya zijn de meest recente en ook bekendste voorbeelden van supply-chain-aanvallen waarbij malware werd verspreid. Experts zien deze gevallen echter als een aanwijzing voor een groeiend probleem. Er is nog veel onduidelijk over supply-chain-malware en een oplossing is nog lang niet in zicht.

Zo werkt een supply-chain-aanval

Een supply-chain-aanval is een aanval waarbij een bedrijf of individu wordt getroffen door een aanval die vanuit een leverancier (een ‘supplier’) wordt uitgevoerd. In veel gevallen is dat een aantrekkelijke manier van malwareverspreiding of spionage. Supply-chain-aanvallen hebben een paar voordelen ten opzichte van andere aanvallen: in sommige gevallen kan het bijvoorbeeld makkelijker zijn om een bedrijf te infecteren. Een keten is zo sterk als zijn zwakste schakel, en een willekeurig slecht beveiligd bedrijf in de toeleveringsketen kan dan makkelijk al zijn klanten én diens klanten infecteren.

Dat is best logisch: waarschijnlijk heeft een maker van bijvoorbeeld boekhoudsoftware zijn beveiliging minder goed op orde dan een bedrijf dat beveiligingssoftware maakt. McAfee zag bijvoorbeeld ooit een voorbeeld van een supply-chain-aanval die via een update voor de gpu van computers werd uitgevoerd. “Dat is slim, want je verwacht van een gpu-update niet dat er veel mis mee kan zijn”, vertelt Christiaan Beek, lead scientist & principle engineer bij McAfee. “Je vertrouwt het dus eerder. Een gpu-fabrikant controleert updates waarschijnlijk minder goed dan een bedrijf dat zich enkel richt op software.”

Het opzetten van een supply-chain-aanval is op zichzelf niet moeilijk, denkt Beek, maar het efficiënt uitvoeren van een aanval wel. “Een command-and-control-server beginnen en malware schrijven die daar bepaalde gegevens naartoe stuurt is simpel. Het lastige is juist om het zo lang stil te houden.” In veel gevallen wordt de malware vaak niet (of erg laat) opgemerkt door antivirussoftware, omdat die niet precies weet waarnaar moet worden gezocht.

Supply-chain-aanvallen zijn niet altijd software-gerelateerd, al zorgt de digitalisering er wel voor dat aanvallen makkelijker zijn dan ooit en ook door meer partijen kunnen worden uitgevoerd. Een bekend voorbeeld van een ‘analoge’ aanval is Stuxnet, het destructieve virus waarmee Amerika en Israël het Iraanse atoomprogramma wisten plat te leggen. Stuxnet infecteerde het air-gapped netwerk van de Natanz-faciliteit, en hoewel veel details over de aanval nooit helder zijn geworden, is het algemene vermoeden dat er door een medewerker van een van de toeleveranciers van Natanz een besmette usb-stick naar binnen is gesmokkeld.

Supply-chain-aanvallen kunnen interessant zijn voor hackers die een bedrijf willen infecteren dat via internet lastig (of niet, in het geval van een air-gapped netwerk) te besmetten is. Van oudsher zijn dat situaties waarbij vooral geavanceerde aanvallers betrokken zijn: inlichtingendiensten of staten met veel middelen tot hun beschikking. Er zijn gevallen bekend waarbij instanties als de NSA een lading (computer)hardware voor een doelwit onderscheppen, dat infecteren met malware en zo wachten tot een slachtoffer vanzelf wordt geïnfecteerd.

Twee soorten

Het is een beetje raar om anno 2017 nog te spreken over ‘de opkomst van het internet’, maar de digitalisering en de toenemende hoeveelheid gegevens van klanten en gebruikers bij bedrijven is wel reden voor minder geavanceerde criminelen om supply-chain-aanvallen serieus te nemen. Volgens Michael van der Vaart, CTO van ESET Nederland, zijn Petya en CCleaner slechts het begin van wat een steeds populairdere methode van infectie gaat worden. “Criminelen kijken goed naar elkaar en leren zo wat goed werkt.” De voorbeelden van Petya en CCleaner lieten precies dat op pijnlijke wijze zien.

Er zijn ruwweg twee soorten supply-chain-aanvallen. Aan de ene kant is er de soort die zich richt op bedrijven, die op zichzelf moeilijk te infiltreren zijn maar waarbij een leverancier mogelijk een zwakke plek in zijn systeem heeft. Die vorm van bedrijfsspionage is al jaren oud, maar er is tegenwoordig ook een nieuwe vorm van supply-chain-aanvallen, waarbij juist een grote massa eindgebruikers wordt aangepakt. De CCleaner-aanval in augustus 2017 is daarvan het bekendste voorbeeld, maar ESET en ook andere beveiligingsbedrijven zoals Kaspersky ontdekten zowel vorig jaar als dit jaar steeds meer gevallen van dergelijke malware die op deze manier verspreid werd.

Volgens Van der Vaart zijn eindgebruikers, gewone consumenten dus, steeds vaker het doelwit van zulke aanvallen. “Je ziet dat in malware die we bij ESET hebben gevonden in bijvoorbeeld video-encoder Handbrake, of eerder in een populaire videospeler voor macOS. Criminelen vinden de massa steeds interessanter en zullen vaker supply-chain-aanvallen gebruiken om gewone consumenten te infecteren.”

Wie en waarom

Supply-chain-aanvallen zijn voor veel criminelen ook aantrekkelijker omdat ze vaak moeilijker te detecteren zijn in een systeem. Beek: “Het duurt vaak heel lang voordat je een infectie opspoort, en dat is criminelen veel waard. Hoe langer je in een systeem zit, hoe meer informatie je kunt verzamelen.” Van der Vaart is het daarmee eens. Hij benadrukt dat het lastig is voor antivirussoftware om lekken op te sporen. “Dat lukt vaak wel als we heel gericht gaan zoeken; dan kunnen we bijvoorbeeld redelijk makkelijk de command-and-control-server van een malafide applicatie vinden. De moeite is echter om in de eerste plaats te vinden wáár je onderzoek moet gaan doen.”

Maar als een crimineel dan eindelijk in een systeem is binnengedrongen, wat is dan het einddoel? Van CCleaner is tot op de dag van vandaag niet precies bekend wat het doel was, maar alles wijst erop dat de trojan bedoeld was om gebruikers te bespioneren. Alleen ... welke gebruikers? Was de hack bedoeld om zo veel mogelijk argeloze downloaders te infecteren, of zocht de trojan naar iets specifieks? Zowel Van der Vaart als Beek kunnen er alleen maar over speculeren, maar beiden vermoeden dat het waarschijnlijk vooral bedrijven waren die de dupe werden. De overige downloaders waren dan eerder ‘collateral damage’.

Vooral Beek denkt niet dat de trojan was bedoeld om bijvoorbeeld op een later moment ransomware te verspreiden, zoals al snel na de hack werd gespeculeerd. “Daarvoor is een dergelijke infiltratie te waardevol. Het kost redelijk veel moeite om in een bedrijfsnetwerk terecht te komen, en al helemaal om daar zo lang onopgemerkt te blijven. Dat voordeel wil je niet verspillen aan ransomware.” Beek denkt dat spionage, en dan met name gerichte bedrijfsspionage, interessanter is voor hackers. Ransomware is al lucratief genoeg en heeft met gewone phishingcampagnes al voldoende effect wat betreft het aantal infecties.

Je kunt je dan ook afvragen wie er doorgaans achter supply-chain-aanvallen zitten, maar daarover is eigenlijk weinig concreets te zeggen. Beek denkt dat het voornamelijk ‘nation states’ zijn, of inlichtingendiensten met genoeg financiële middelen én de juiste motieven om een gecompliceerde hack uit te voeren – of in elk geval om die stil te houden. Het is moeilijk te zeggen wie er achter supply-chain-attacks zitten omdat de motieven verschillen en omdat veel aanvallen onopgemerkt blijven.

Zowel Beek als Van der Vaart denkt dat het opzetten van een aanval zelf niet veel geld of moeite kost, maar het stilhouden van die aanval wel. Inlichtingendiensten en hackersgroeperingen hebben die middelen om een aanval stil te houden veel vaker tot hun beschikking. Van der Vaart denkt niet dat supply-chain-hackers zulke hoge profielen hoeven te hebben, maar erkent wel dat het ‘inderdaad niet om script-kiddies gaat’.

Wat in elk geval duidelijk lijkt, is dat het profiel van de daders verschilt met dat van bijvoorbeeld ransomwaremakers, die zich in stijgende mate richten op snelle, simpele aanvallen in de hoop snel te scoren door zo veel mogelijk mensen te bereiken. Beek: “Cybercriminelen kijken vaak vooral naar het grote geld, en dat wil je snel verdienen. Supply-chain-aanvallen zijn vaak te gecompliceerd en daarmee te duur, en daarom niet snel terug te verdienen.”

In een volgend artikel kijken we naar de mogelijkheden om een supply-chain-aanval te herkennen.

Odido schudt de markt van vast internet voor thuis op met Klik&Klaar, een dienst van 25 euro per maand die 5G-signaal omzet naar wifi voor al je apparaten. Klik&Klaar is zo een alternatief voor internet via de kabel of glasvezel, en waarschijnlijk ook goedkoper dan wat je nu betaalt voor bekabeld internet. Wij hebben Klik&Klaar een maand getest in een appartement en delen de plus- en minpunten van de dienst met je.

De eerste plus is de prijs. Met 25 euro per maand is Klik&Klaar lekker betaalbaar. Heb je al een geselecteerd mobiel abonnement van Odido, dan betaal je slechts 20 euro per maand voor Klik&Klaar. De dienst is maandelijks opzegbaar, waardoor je lekker flexibel bent.

Het bestellen via de Odido-website is eenvoudig en we ontvingen het pakket na twee werkdagen thuis, in ons appartement in Castricum. In de doos vind je een Zyxel 5G-modem en een 5G-simkaart, die je in de router stopt om internet te ontvangen. Het blijft fascinerend hoe je al je apparaten van wifi kunt voorzien dankzij een simkaartje ter grootte van je nagel.

©Rens Blom

Het simkaartje dat je bij de router krijgt.

Installatie

Om Klik&Klaar te installeren, download je de gratis Klik&Klaar-app op je iPhone of Android-smartphone. Die loodst je binnen het beloofde kwartiertje door de installatie heen. De app laat duidelijk zien waar je de router het beste kunt neerzetten. Neem die instructies serieus, want weggestopt in een hoek ontvangt de router geen goed internetsignaal en heb je dus ook weinig aan de dienst. Na de eenvoudige installatie geef je je wifinetwerk een naam en verbind je je apparaten. Vervolgens zijn je smartphone, computer, tablet, smart-tv en andere gadgets online. Je hebt onbeperkt internet op de hoogst mogelijke snelheid, zoals je gewend bent van internet voor thuis.

©Rens Blom

De installatie van Klik&Klaar is eenvoudig.

Ervaringen

Na ruim een maand gebruik zijn we over het algemeen erg tevreden over Odido Klik&Klaar, maar sturen we de router toch terug. Dat ligt niet aan de internetsnelheden. Odido belooft via deze dekkingskaart dat de router op ons adres een snelheid van 300 Mbit/s of meer biedt en dat klopt. In de woonkamer – waar de router voor het raam staat – halen we tussen de 300 en 600 Mbps download en 70 tot 200 Mbps upload. Dat zijn uitstekende snelheden. In andere kamers, verder weg van de router, halen we nog steeds meer dan 100/50 Mbps. Netjes.

Ons probleem met Odido Klik&Klaar is de betrouwbaarheid. Niet alleen viel de router in een maand twee keer uit (om na een herstart weer te functioneren), tijdens flinke regenbuien en een najaarsstorm had de router grote moeite om een stabiel thuisnetwerk te bieden. Dipjes in het wifisignaal verstoorden onze videobelvergaderingen, onderbraken de muziek uit de Sonos-speakers en lieten onze telefoons af en toe automatisch overschakelen naar het mobiele netwerk. Ongemakken die we tijdens slecht weer niet ervaren via een vaste internetverbinding, en ongemakken waar we niet op zitten te wachten in het gure Nederland.

©Rens Blom

De Klik&Klaar-router uit de doos.

Goed om te weten: de router heeft twee 2,5Gbit/s-ethernetpoorten om apparaten bekabeld aan te sluiten. Wij hebben de smart-tv rechtstreeks aangesloten en de andere poort verbonden met een switch. De smart-tv heeft tijdens het kijken van Videoland, YouTube en NPO Plus nooit problemen met zijn internetverbinding gehad, ook niet tijdens slecht weer.  

Wifirepeaters

Voor een volledige test hebben we ook twee wifirepeaters van Odido Klik&Klaar besteld. Die heten Wifipunten, zijn optioneel en kosten 2,50 euro per stuk per maand. Je huurt ze en moet ze als ze niet bevallen of bij het stoppen van Klik&Klaar dus terugsturen.

©Rens Blom

©Rens Blom

De installatie van de Wifipunten.

Onze ervaringen met de kleine repeaters, die je neerzet in de vensterbank of op je bureau, zijn gemengd. Enerzijds verbeteren ze het wifisignaal in ons appartement duidelijk. Op onze werkplek, een vide boven de keuken/woonkamer en net buiten de directe zichtlijn van de router in de woonkamer, haalden we via router een downloadsnelheid van 270 Mbps en een uploadsnelheid van 120 Mbps. Na het installeren van een wifirepeater op de wifi, met bijna een zichtlijn op de router, schoot de downloadsnelheid omhoog naar 425 tot 616 Mbps – op basis van vier tests verspreid over een uur. De uploadsnelheid bedroeg bij deze tests 107 tot 110 Mbps en verbeterde dus niet ten opzichte van de oude situatie.

©Rens Blom

Een snelheidstest na het koppelen van een wifirepeater.

Een Wifipunt-wifirepeater heeft twee 2,5Gbit/s-lanpoorten om apparatuur bekabeld aan te sluiten. Onze computer op de werkplek tikte bekabeld op de repeater vrijwel dezelfde snelheden aan als via de wifi.

©Rens Blom

De wifirepeater is handzaam en daarom op veel plekken neer te zetten.

Opmerkelijk is dat heel wat van onze apparaten in de war raakten van de Wifipunten. Smartphones, laptops en tablets leken soms niet meer te weten met welk wifipunt (router, wifipunt één of wifipunt twee) ze het beste konden verbinden, wat leidde tot verbindingsproblemen. Dat terwijl we de repeaters geïnstalleerd hebben volgens de instructies van deKlik&Klaar-app, die in de weken erna steevast aangaf dat ons wifinetwerk er keurig uitzag. Na het verwijderen van de Wifipunten waren de verbindingsproblemen ook opgelost.

©Rens Blom

Conclusie

Odido Klik&Klaar is kinderlijk eenvoudig te installeren, is – afhankelijk van je locatie – razendsnel en werkt over het algemeen goed. De verbindingsproblemen tijdens slecht weer zijn ons wel tegengevallen. Dit is voor ons reden om te blijven bij de stabielere vaste internetaansluiting in onze woning. Klik&Klaar lijkt ons wel ideaal voor een campingstandplaats, vakantiehuisje of andere plek zonder (betaalbare) vaste internetaansluiting.

Met iOS 18 krijg je toegang tot functies die eerder niet mogelijk waren, waardoor je je smartphone nog persoonlijker kunt maken. Ook de Notities-app heeft een update gekregen, zodat je teksten nu veel makkelijker kunt organiseren.

Lees ook: Personaliseer je iPhone: zo pas je in iOS 18 het beginscherm aan

De Notities-app van iOS 18 is onder handen genomen. Daardoor moet het ook gemakkelijker worden om bepaalde informatie terug te vinden. Als je een lange tekst in de app hebt geschreven, dan kan het lastig zijn om een specifieke passage op te zoeken, zelfs wanneer je al koppen en tussenkopjes hebt gebruikt om je tekst te structureren. Maar met iOS 18 is dat makkelijker geworden. Je kunt nu namelijk de kopjes – en daarmee de tekst die daarbij hoort – inklappen en uitvouwen wanneer je wilt.

Zodoende moet je veel sneller door je eigen werk heen kunnen. Wanneer je zo'n kop inklapt, verdwijnt de alinea die daarmee geassocieerd wordt. In beeld verschijnt dan een kleine pijl naast de betreffende kop. Als je daar op tikt, dan komt de alinea tevoorschijn. In dit artikel leggen we uit hoe je de koppen inklapbaar maakt en hoe je ze daarna ook weer kunt uitklappen. Heel moeilijk is het niet, maar je moet wel even weten waar het staat.

Inklapbare koppen voor Notities

Open de Notities-app op je iPhone, zodra je die hebt geüpdatet naar iOS 18. Je kunt nu een notitie selecteren en openen (eventueel vanuit een map), of een nieuwe aanmaken. Dat laatste doe je door rechts onderin op het knopje te drukken dat lijkt op een potlood in een vierkant. Maak de tekst op zoals je dat altijd zou doen en voeg de koppen toe die je wilt gebruiken. Koppen maak je aan door een regel te selecteren en onderin, op de balk met opties, op Aa te klikken. Zie je deze balk niet? Klik dan op het plusicoon.

Aa is de opmaakknop. Daarmee bepaal je wat voor type tekst het is: een titel, koptekst, subkop of hoofdtekst. Selecteer nu Koptekst of Subkop. Links van de (sub)kop zie je nu een pijltje staan, dat naar beneden gericht is. Dat betekent dat deze sectie uitgeklapt is. Als je op het pijltje tikt, kun je de alinea inklappen, zodat deze uit beeld verdwijnt. Klik je er nogmaals op, dan komt de alinea weer tevoorschijn.

Tot slot is het mogelijk de tekst, in welke opmaakvorm dan ook, van kleurtjes te voorzien. Selecteer dan wederom een regel of alinea, tik als dat nodig is op plus, dan op Aa en tik rechts op de kleurknop (bij ons staat die standaard op paars).