De wereld beschermen tegen de digitale bad guys

Prof.dr. Sandro Etalle - Hoogleraar Embedded Systems Security

De wereld waarin Sandro Etalle werkt, de cybersecurity, is een inspiratiebron voor spannende boeken en films. Denk aan het verschijnen van de computerworm Stuxnet, die tot doel had Iraanse ultracentrifuges te saboteren. Etalle werkt aan de allernieuwste technieken om digitale systemen veilig te maken, en dat is een altijd voortwoedende strijd. Strijd, want malware, dat is net zo goed een wapens als een raket, vindt de hoogleraar Embedded Systems Security.

Stuxnet dreunt nog steeds na in de wereld van digitale veiligheid. “Stuxnet heeft de lat veel hoger gelegd”, vertelt Sandro Etalle. “Ineens kwam een heel ander type dreiging in beeld. Stuxnet heeft laten zien dat mensen die kwaad willen en miljoenen hebben, overal in kunnen.” En voor Etalle zelf was Stuxnet het bewijs dat hij dit soort hoogstgeavanceerde malware kon opsporen - daarover later meer.

Sabotage

Een geheugenopfrisser: Stuxnet is een computerworm die verschijnt in 2010. Na ruime bestudering blijkt, enkele maanden later, dat deze malware zo goed als zeker dient voor een specifiek doel: het saboteren van ultracentrifuges in Iran. Ultracentrifuges voor de verrijking van uranium. Het sterke vermoeden is dat de VS en Israël Stuxnet hebben gemaakt. Inmiddels hebben al de nodige opvolgers van Stuxnet het licht gezien, allemaal met een soortgelijke signatuur. Zoals Gauss, dat onder meer op zoek ging naar toegangsgegevens van online banksystemen. In één land: Libanon. Etalle: “We weten nog steeds niet precies waar het toe dient”.

Oorlogsvoering

Begin jaren negentig was ‘hacken’ nog vooral iets voor hobbyisten, op zoek naar eer en vermaak. Daarna is het snel verschoven naar rasechte cybercriminaliteit, en nu lijkt het dus ook het terrein van strijd tussen naties geworden. “Ik moet er nog aan wennen dat de ‘good guys’ zich nu ook bedienen van de middelen van de ‘bad guys’”, zegt Etalle. Wat hem betreft is het regelrechte oorlogsvoering, maar zonder een oorlogsverklaring. “Malware is een wapen, dat is nu de keihard realiteit. Je hebt geen bom meer nodig, want je kunt op afstand systemen ontregelen. Dat lijkt misschien duur, maar het is minder duur dan een raket afschieten. En het is veel moeilijker te achterhalen wie het gedaan heeft.” Overigens is dit niet een ver-van-ons-bed-show. Ook ons Nederlandse ministerie van Defensie streeft naar aanvallende cyber security capaciteiten, weet Etalle.

Weggekaapt

Etalle komt uit Milaan, studeerde wiskunde in Padua, maar leerde al programmeren op de middelbare school. Hij ging aan het werk in de ICT, maar na zijn komst naar Nederland (hij trouwde een Brabantse vrouw) focuste hij op digitale veiligheid. Een spannend nieuw onderwerp, zegt hij. Niet omdat hij graag politieagent speelt, maar vanwege de inhoud, de combinatie van theorie en praktijk.

Zijn groep, Security, is met 14 man redelijk van omvang. Maar hij zou nog veel groter kunnen zijn. Het geld is er wel, dat is het probleem niet. De bottleneck is de beschikbaarheid van kandidaten voor vacatures. De wereld schreeuwt om experts in digitale veiligheid. “De output aan securityspecialisten van onze opleidingen is ver onder de vraag. Studenten worden vaak weggekaapt lang voor ze afgestudeerd zijn”, aldus Etalle.

Beperkte rekencapaciteit

De groep van Etalle heeft twee hoofdlijnen: security policy specification and enforcement (het bepalen van veiligheidsregels voor de communicatie van systemen, en zorgen voor effectuering) en digitale veiligheid van embedded systems. Dat laatste heeft als speciale uitdaging dat onderdelen van embedded systems vaak een zeer beperkte rekencapaciteit hebben, en dus geen hypercomplexe beveiliging aan kunnen. En dat is ook het geval bij het opkomende ‘internet of things’, waarbij allerlei (consumenten)apparaten met het internet verbonden zijn, en dus ook doel van malware kunnen worden. De groep van Etalle werkt heel nauw samen met de TU/e-wiskundeleerstoel Cryptologie, die werkt aan versleutelingstechnieken. Samen vormen ze het Eindhoven Institute for the Protection of Systems and Information: http://www.win.tue.nl/eipsi/.

Een ander concreet items dat zijn groep bestudeerde: de veiligheid van RFID-chips, in het PEARL-project (http://www.stw.nl/en/node/3885). RFID-chips in kleding zouden bijvoorbeeld gebruikt kunnen worden om te volgen waar je bent. Dus heeft zijn roep algoritmes ontwikkeld om te voorkomen dat derden de geschiedenis die op de chips staat, kunnen uitlezen.

Gaatjes dichten

In het S-Mobile project, enkele jaren geleden, ging het om de veiligheid van de toen nog opkomende tablets en smartphones. De programma’s die daarop staan, moeten bij informatie kunnen zoals telefoonnummers, maar mogen dat niet verspreiden. Hoe regel je dat? Dat lijkt eenvoudig, maar soms wordt informatie verstuurd waaruit het nummer te herleiden is, en je weet niet precies waar. Etalle wist hier technieken te realiseren waarmee ook de kleinste gaatjes gedicht kunnen worden. Waar hij bij benadrukt: zijn onderzoekers leveren geen kant-en-klaar product dat zo naar klanten kan. “Wij leveren een proof of concept, de industrie moet dat verder uitwerken.”

Ook ‘the cloud’ is onderwerp van studie in de Securitygroep. Hoe zorg je ervoor dat ieders persoonlijke data bij elkaar opgeslagen op één centrale plek, veilig is maar toch toegankelijk? Een heel ander iets is een project waarbij het doel was om te voorkomen dat criminelen digitale watermerken uit audio- of videobestanden kunnen wissen, of aanpassen.

Militaire systemen

Een belangrijk deel van het werk van de Securitygroep ligt op een veel minder zichtbaar terrein: het koppelen van systemen, de compliance systems of systems. Steeds vaker worden de digitale systemen van verschillende organisaties op elkaar aangesloten. De moeilijkheid is ervoor te zorgen dat alleen de beoogde informatie kan worden uitgewisseld. Bijvoorbeeld bij grootschalige militaire ‘joint operations’, waarin verschillende militaire partners samenwerken. Dat is geen sinecure, vertel Etalle. Want militaire systemen zijn heel star en defensief van aard, dus ze zijn heel moeilijk goed te koppelen. Of het regelen van het machtigingenbeheer van openbare systemen. Wie mag precies ‘op welke knop’ duwen? Of iets dichter bij huis, in de toekomst: medische toepassingen die meetgegevens door gaan geven aan zorgaanbieders. Hoe waarborg je de privacy?

Aanslag op pacemaker

En ook de medische wereld zelf ligt onder de loep. De security daarvan kwam een tijd terug in beeld doordat bekend werd dat oud-vicepresident Dick Cheney bang was voor een terroristenaanslag op zijn pacemaker. Dat klinkt vergezocht, maar het was zeker niet onmogelijk. De zwakke plek in ziekenhuizen, volgens Etalle: de verouderde pc’s met oude versies van Windows, daar schuilt een reëel risico. Maar: “Pas na groot incident gaat er bewustwording komen”. Het laat zien hoe breed het vakgebied van de digitale veiligheid is. Overal waar systemen digitaal communiceren, speelt het een rol. Bij wifi, bij elektronische autosleutels, bij draadloze telefoons, bij digitaal stemmen, noem maar op.

Wie de 'bad guys' wil bestrijden, moet weten hoe ze werken. Daarom krijgen de studenten in het eerste jaar van onder meer de masteropleiding Information Security Technology het vak Hacker's Hut. Daarin komen de basispricipes van het hacken aan bod. Het is belangrijk dat onderzoekers zich bezig houden met hacken, vindt Etalle. Anders laat je het speelveld aan de 'bad guys' over, en daar is niemand bij gediend.

Gas, water, elektriciteit

Ook voor industriële organisaties is de digitale veiligheid een groeiend probleem, met elk jaar meer aanvallen. Etalle heeft op dit gebied de nodige kennis. Daarom heeft hij een aantal jaar geleden een bedrijf opgericht (http://www.tw-digitaal.nl/share/80cd865be31e451ef146f88a5c4fb36c087f91f6), SecurityMatters (http://www.secmatters.com), samen met twee oud-promovendi, allebei ook Italiaan. Het bedrijf richt zich op essentiële voorzieningen met grote controlesystemen, zoals gas, water en elektriciteit, op de industrie en op banken (voor hun online systemen). Afgelopen jaar lanceerde het bedrijf zijn hoofdproduct, SilentDefense. En er zijn al mooie klanten vastgelegd: Boeing, Gasunie, en een van de Nederlandse topbanken.

SilentDefense heeft een geheel nieuwe manier om aanvallen op te sporen. In plaats van de standaard oplossing (een zwarte lijst met boosdoeners) kijkt dit programma stil mee me al het dataverkeer, op de achtergrond, op zoek naar afwijkend gedrag. Of zoals de bedrijfswebsite zegt: self-configuring deep protocol network whitelisting. Dat maakt dat het systeem niet afhankelijk is van een zwarte lijst die altijd achter loopt, maar zelfstandig ongewenste binnendringers eruit vist. Er is veel ontwikkeltijd in gaan zitten, vooral om het voor de klanten onderhoudsvrij te krijgen en zonder valse alerts.

Goed voorzien

Het mooiste bewijs van de kracht van SilentDefense, is het feit dat het Stuxnet gevonden zou hebben, weet Etalle. "Een systeem uitgerust met SilentDefense, zou StuxNet meteen gevonden hebben. Dat is het eerste dat we getest hebben. De ontwikkeling van SilentDefense is veel eerder begonnen dan het moment waarop StuxNet verscheen. Dat wil zeggen dat wij goed hebben voorzien wat de ontwikkeling zou worden van geavanceerde aanvallen. Dat is de kunst, voorzien wat de securitykwesties zijn over drie tot vier jaar. De ontwikkeling in dit terrein gaan ontzettend hard."

SecurityMatters maakt nu de overstap van een start-up naar een echt bedrijf, vertelt Etalle. Er is net een directeur aangesteld, waardoor hij zelf niet meer de operationele zaken hoeft te doen. En het gaat goed. Er zijn 14 man in dienst bij het in Eindhoven gevestigde bedrijf, en eind 2014 zullen dat er waarschijnlijk 20 zijn. Ook is een jaar geleden een kantoor in de VS geopend. Geld is overigens niet de hoofddrijfveer, zegt de Italiaanse hoogleraar, maar de inhoud, de passie en het team mensen. Hij wil graag de wereld een stukje veiliger maken met zijn werk.

Etalle heeft naast zijn aanstelling in Eindhoven ook een nevenaanstelling aan de Universiteit Twente, waar hij eerder fulltime werkte. Daarnaast is hij nauw betrokken bij het debat over onderzoek naar digitale veiligheid in Nederland. Zo werkte hij mee aan het opstellen van de Nederlandse National Security Research Agenda’s (http://www.nctv.nl/Images/ncsra-ii_tcm126-521030.pdf).

Dwarsfluit

Het had overigens niet veel gescheeld of Sandro Etalle's carrière was een muzikale geweest. Hij haalde ook zijn conservatoriumdiploma, en speelde dwarsfluit. Met als doel in een toporkest te spelen. Maar een loopbaan in zowel muziek als wetenschap, bleek niet haalbaar. En dus werd het de wetenschap.

Lees meer over Sandro Etalle en zijn werk op zijn persoonlijke website: http://www.win.tue.nl/~setalle/

Terug naar het overzicht