Apostolis Zarras is cybersecurity-expert bij het Department of Data Science and Knowledge Engineering (DKE) van de Universiteit Maastricht. Een gesprek over zijn onderzoek, de mensen als zwakke schakel en – heel toepasselijk – malware-aanvallen.
Auteur: Florian Raith
In de nasleep van de historische cyberaanval op kerstavond vorig jaar, organiseerde de UM een symposium om de lessen die geleerd zijn publiekelijk te delen. Voor een publiek van collega’s, journalisten en vertegenwoordigers van overheden en het bedrijfsleven ging vicevoorzitter van het College van Bestuur Nick Bos in zijn openingstoespraak in op de bijzonderheden van de hack en de daaropvolgende gebeurtenissen. Bos zei onder meer dat er in de publieke financiering en in de budgetten van universiteiten onvoldoende rekening wordt gehouden met relatief nieuwe dreigingen als cybercriminaliteit, wat per slot van rekening een miljardenindustrie is.
Bos legde uit dat de UM het redelijk goed doet en iedere dag ongeveer duizend cyberaanvallen afslaat, maar gaf ook toe dat er op het gebied van bewustwording nog wel wat te verbeteren valt. “Ik weet zeker dat we het beter hadden kunnen doen,” vindt ook cybersecurity-expert Apostolis Zarras van de DKE. “We hadden de aanval wellicht niet kunnen voorkomen, maar misschien wel de potentiële schade kunnen beperken.”
De UM en andere universiteiten moeten op het gebied van samenwerken en mobiliteit de balans zien te vinden tussen veiligheid en gemak, waarbij we moeten beseffen dat veiligheid in wezen op gespannen voet staat met openheid. “Je kunt natuurlijk nooit 100 procent veiligheid garanderen. Dat zou namelijk een offline-systeem betekenen, met zijn eigen elektriciteitsvoorziening, in een betonnen omhulsel, onder de zeebodem…”
“Als je maar lang genoeg je systemen niet updatet, worden ze steeds kwetsbaarder voor aanvallen,” zegt Zarras. Maar het allergrootste risico, dat ben je zelf. “Het maakt niet uit hoe veilig een systeem is, want op enig moment moet een mens er iets mee doen.” En daar gaat het vaak mis: gedachteloos op iets klikken, hetzelfde paswoord gebruiken voor verschillende systemen, en noem maar op.
“Voorlichting is heel belangrijk. Mensen moeten minimaal de cybersecurity-basics kennen: open geen mails, url’s of attachments in berichten die je niet verwachtte of die dubieus lijken. Update altijd al je apparaten, inclusief je telefoon en je tablet, maak offline-back-ups, enzovoort.” Zarras raadt ook aan om een paswoordmanager te gebruiken in plaats van hetzelfde paswoord voor verschillende accounts en systemen, of variaties daarop.
“Ransomware is een type kwaadaardige software dat probeert een systeem binnen te dringen. Daar versleutelt het data en vraagt vervolgens losgeld (vandaar ransomware) om de data weer beschikbaar te maken. Vaak – vooral bij grote aanvallen – probeert de ransomware geen sporen na te laten, zodat het zijn werk kan doen en zich onopgemerkt naar andere systemen kan verspreiden, en zich pas op het laatste moment bekend maakt. Soms lift het ook mee met andere kwaadaardige software, zoals een keylogger, die paswoorden van administrators verzamelt en probeert andere systemen binnen te dringen als de paswoorden hetzelfde zijn, of op elkaar lijken.”
Een andere veelvoorkomende bedreiging is phishing. “Dat is bijvoorbeeld een website die eruit ziet als de login-pagina van jouw bank die om je paswoord vraagt. Daarom hanteren banken nu het systeem met dubbele authenticatie: als je inlogt krijg je een sms met een tweede code, of iets soortgelijks.”
In zijn onderzoek kijkt Zarras veel breder naar cybersecurity. “Dan moet je denken aan kinderen die aan Jan en alleman laten weten waar ze zich bevinden, of cyberpesten, of nepnieuws dat het democratische proces verstoort. Op een of andere manier raakt het ons allemaal.” Het antwoord is, alweer, voorlichting: “Kinderen moeten al vanaf hun vijfde of zesde les krijgen over online veiligheid.”
Zijn onderzoek heeft ook nog iets heel praktisch opgeleverd: Zarras heeft software ontwikkeld die kwaadaardige mails identificeert. Hij hoopt daarmee malware te kunnen opsporen en de verspreiding ervan tegen te gaan. Voordat in de EU de General Data Protection Regulation (GDPR) van kracht werd, had hij al onderzocht hoe je data zichzelf kunt laten vernietigen, om er zeker van te zijn dat bedrijven onze gegevens niet langer kunnen bewaren dan noodzakelijk of afgesproken is.
Hij was ook betrokken bij een vergelijkbaar Europees project dat draaide om het beschermen van medische data. Zarras en een van zijn PhD-studenten houden zich ook bezig met phishing-mails waarmee geprobeerd wordt om slachtoffers over te halen om hun bankgegevens af te geven, in ruil voor bijvoorbeeld een deel van een erfenis. De Nigeriaanse prins is in dat genre een klassieker.
Zarras heeft een chatbot ontworpen die communiceert met de criminelen achter de mails – en niet alleen voor de grap. “Je kunt deze phishing-mails naar miljoenen mensen sturen, maar je kunt de schaal van de interactie met je potentiële slachtoffers niet zo makkelijk aanpassen. Gedurende de tijd dat de criminelen met onze bots ‘praten’, hebben ze geen tijd om andere mensen ervan te overtuigen om hun gegevens met hen te delen.”
Wie zijn die online-boeven eigenlijk? Een quickscan van stockfoto’s met het thema ‘cybercriminaliteit’ levert een hoop jonge Russen met hoodies op, die in een kelder zitten te hacken op een laptop met een zwart scherm en groene eentjes en nulletjes. Maar Zarras zegt dat het allemaal een stuk gecompliceerder ligt: “De locatie van de server of waar het bankrekeningnummer is geregistreerd zegt niet veel over de nationaliteit van de daders.”
Je hoeft geen programmeergenie te zijn om cybercrimineel te kunnen worden, maar hun kennisniveau is verbluffend, helemaal bij cyberaanvallen die door landen worden aangestuurd. Zarras steekt geen beschuldigende vinger uit naar Iran, Noord-Korea of China, maar wijst in plaats daarvan op de Stuxnet-computerworm die het gemunt had op industriële controlesystemen van Iraanse nucleaire installaties.
Een ander recent voorbeeld is dat van de CIA en de BND, een Duitse geheime dienst, die in het geheim eigenaar waren van het Zwitserse encryptiebedrijf Crypto AG, dat ze via een advocatenkantoor in Liechtenstein hadden gekocht. Vijftig jaar lang manipuleerden de twee geheime diensten encryptieapparatuur, waarmee ze 120 landen bespioneerden die de hardware van Crypto AG kochten voor hun ambassades, kantoren en overheidsinstellingen.
Maar, zegt Zarras, regelmatige gebruikers zouden zich waarschijnlijk meer zorgen moeten maken over hun eigen nonchalante houding wat betreft cybersecurity – van het posten van gegevens op social media tot het opgeven van de privacy door het accepteren van cookies van websites.