Onder cybercriminelen roept de naam Mikko Hypponen een mengeling van respect, angst en afkeer op. Afkeer omdat hij vaak een rol speelt in het oprollen van beruchte internetbendes. Respect en angst omdat de bad guys weten dat ze in hem een geduchte tegenstander ontmoeten. Hypponen is chief research officer van het Finse beveiligingsbedrijf F-Secure en een van de meest gezaghebbende stemmen in cybersecurityland. Volgende week maakt hij zijn opwachting op de vakbeurs Cybersec Europe in Brussel.
We worden om de oren geslagen met berichten over cyberincidenten en digitale inbraken. Maar is het vandaag niet veel moeilijker om een systeem te kraken dan, pakweg, vijf of tien jaar geleden?
Mikko Hypponen: ‘Absoluut. De beveiliging is de laatste jaren almaar beter en performanter geworden. Maar de media berichten natuurlijk het liefst over dingen die fout lopen. Een bedrijf waar hackers niét konden inbreken, is geen nieuws. Wat wel een uitdaging is, is dat er de laatste jaren veel entry points zijn bijgekomen die zijn aan te vallen. We worden omringd met technologie die online gaat en ongeveer elke wereldburger heeft een smartphone op zak. Over het algemeen ben ik wel optimistisch. Wat helpt, is dat de overheden cybersecurity tegenwoordig serieus nemen. Er zijn nog nooit zoveel raids en arrestaties gebeurt dan de laatste paar jaren en die leiden ook tot veroordelingen. Waarmee potentiële nieuwkomers in de business gewaarschuwd worden: begin er niet aan, want de kans is reëel dat je in de gevangenis belandt.’
Ik herinner me de tijd dat virussen geschreven werden als een soort sport, om op te scheppen tegen je vrienden. Die periode ligt waarschijnlijk achter ons.
‘Allang (lacht). Het enige waar het nu nog om draait in cybercrime is geld. En reken maar dat er geld verdiend wordt. Een paar jaar geleden voorspelde ik dat we op een punt zouden komen dat er ‘cybercrime unicorns’ zouden ontstaan, bendes die meer dan een miljard dollar waard zijn. Dat punt hebben we bereikt, denk ik. De hoeveelheid geld die in cybercrime omgaat, verdubbelt elk jaar. Een andere reden waarom die bendes zo rijk zijn geworden, is dat ze zich in bitcoin laten uitbetalen. En de waarde daarvan is op een paar jaar tijd maal honderd of zo gegaan. Dat geld investeren ze dan verder in hun aanvallen, zodat ze beste ransomware-kits kunnen kopen, professionele freelancers kunnen inhuren, zelfs hun eigen datacenters kunnen laten draaien. Er is geen enkel verschil meer met wat we vroeger onder ‘criminaliteit’ verstonden, die werelden zijn helemaal verweven.’
We zijn nu bijna veertig jaar na Brain.A, het eerste virus. Hadden we ons niet beter kunnen voorbereiden op wat we nu meemaken?
‘Dat is zeker zo. Veel van wat we vandaag zien, was al lang voorspeld, maar we hebben er niks aan gedaan. Hoe komt dat? Tja, human nature, vrees ik (lacht). Veel mensen nemen ook maar een brandverzekering nadat hun huis in de fik ging. Als ik met bedrijfsleiders spreek die slachtoffer werden van ransomware, kunnen ze vaak niet geloven dat net hen dat overkomen is. Dat heeft dan wel meegebracht dat meer en meer mensen zich bewust worden van de waarde van data.’
De situatie zal allicht niet verbeteren nu we met iot ook nog eens alle apparaten en machines aan internet hangen.
‘Nee, waarschijnlijk niet. Wat me daar het meeste zorgen bij baart, is dat niet alleen ‘slimme’ apparaten online gaan, maar ook ‘domme’. Van een smart-tv kan je nog begrijpen dat hij een internetverbinding nodig heeft om bijvoorbeeld Netflix te kijken. Maar we evolueren naar een situatie waarin ook domme apparaten een internetconnectie krijgen, een connectie die voor de eindgebruiker geen toegevoegde waarde biedt. Ik zeg maar wat: keukenmixers. De kok of de huisvrouw heeft daar niks aan, de enige die ervan zal profiteren, is de fabrikant die op die manier data kan verzamelen. Zodra het goedkoop genoeg wordt om elk apparaat van een connectie te voorzien, zal dat gebeuren, misschien zelfs zonder dat de gebruiker het zelf weet. En die apparaten zullen geen verbinding moeten maken via wifi, maar via 5G of Zigbee of iets dergelijks. En dan is natuurlijk de vraag: hoe veilig wordt al dat spul?’
Geïsoleerde gevallen
Hoelang zal het duren voor er echt mensen sterven als gevolg van een cyberaanval?
‘Goh, sommige rapporten beweren dat dat al gebeurd is. Ik herinner me een bericht over een pasgeboren kind dat overleden is in een ziekenhuis waar de ransomware de apparatuur had platgelegd. In een ziekenhuis in Düsseldorf zou er in 2020 een gelijkaardig geval geweest zijn met een volwassen vrouw, al bleek nadien dat ze al zwaar ziek was en sowieso zou overleden zijn. Ik denk dat het bij zulke, geïsoleerde gevallen zal blijven. Dat er echt massaal dodelijke slachtoffers zullen vallen na een cyberaanval, verwacht ik niet.’
Wie zijn nu op dit moment de grootste boeven: ‘gewone’ cybercriminelen of staten en landen?
‘Hoe definieer je ‘grootste’? Vandaag de dag wordt nog de absolute meerderheid van de aanvallen uitgevoerd door ‘gewone’ criminelen. Met een ruime marge zelfs. Wat we wel zien, is dat er aanvallen gebeuren die er qua complexheid en technische moeilijkheid met kop en schouders boven uitsteken. En dat blijken dan de aanvallen te zijn waarachter regeringen en militaire instellingen schuilgaan. Meestal zijn de slachtoffers dan ook geen gewone burgers. Eigenlijk verandert er wat dat betreft niet zo veel, hoor.’
Hoezo?
‘Dertig of vijftig jaar geleden moest je ook ‘speciaal’ zijn om de interesse op te wekken van een spionagedienst. Ik las net dat de iPhone van een onderzoeker van de Human Rights Watch gehackt werd door Pegasus-spyware. Ik kan je verzekeren dat het vandaag echt ontzettend moeilijk is om een iPhone te kraken die up-to-date is en voorzien van alle patches. Dat kost je miljoenen als je dat voor mekaar wilt krijgen. Je mag er dus redelijkerwijs vanuit gaan dat deze kraak door een natie is opgezet en dat voor hen die investering het waard was.’
Daar ligt dan een verantwoordelijkheid voor Apple en ook Google.
‘Absoluut. Ik vind ook dat ze die handschoen hebben opgenomen. De grootste vooruitgang die we de afgelopen vijftien jaar hebben gemaakt qua cybersecurity is de manier waarop smartphones beter beveiligd zijn. Momenteel acht ik ze zelfs superieur aan pc’s en Macs. Je hebt als gewone gebruiker zo goed als geen toegang meer tot de diepste lagen van je telefoon, je rechten zijn beperkt, je kunt bijna niks modificeren of herprogrammeren. Vanuit een beveiligingsoogpunt is dat prima. En het mooie is: 99 procent van de gebruikers kan het ook niet schelen. Ik raad echt iedereen aan: regel je bankzaken vanaf je iPad in plaats vanop je pc, dat is veiliger.’
Trustworthy Computing-initiatief
Hebben de traditionele spelers uit de pc-wereld de bal dan laten vallen?
‘Nee, ze hebben natuurlijk ook wel hun beveiliging aangescherpt, maar dat is toch moeizamer gegaan. Herinner je je nog het Trustworthy Computing-initiatief van Bill Gates? Dat is nu twintig jaar geleden. In die tijd was Windows énorm kwetsbaar, voor virussen, voor wormen, voor trojans… noem maar op. Zo lek als een mandje was het. En op initiatief van Gates himself hebben ze toen de boot 180 graden kunnen kantelen. Windows werd plots een stuk moeilijker te kraken en dus begonnen cybercriminelen hun pijlen te richten op andere stukken software. Eerst Java, daarna Flash… Office ook, ook van Microsoft ironisch genoeg. Maar ook die software is ondertussen stukken veiliger geworden.’
Deed Microsoft dat uit eigenbelang of uit een morele verplichting?
‘Wat denk je zelf? Business, natuurlijk. Het was een puur zakelijke beslissing, maak je daar maar geen illusies over.’
Wat denkt u dat quantum computing mee gaat brengen? Hoe moeten we ons beveiligen als er systemen gaan komen die zo ongeveer alles kunnen kraken?
‘Nou, de bitcoin is in bepaalde gevallen zelfs niet met quantum computing te kraken, hoor. Dus niet alles is verloren. Maar je hebt gelijk, systemen als ssl en tsl zullen allicht geen partij zijn voor quantumcomputers. Wat ik me afvraag, is of wij dat nog gaan meemaken. Er wordt al jaren veel beloofd over quantum maar tot nog toe staan we bijna nog nergens. De eerste vijf à tien jaar verwacht ik er eigenlijk niks van. Wat dat betreft heeft het wel wat gemeen met ai. Ik las voor het eerst over ai ergens begin jaren tachtig, toen ik dertien was of zo. Pas nu begint die technologie vorm te krijgen. En nog zijn er enorme verbeteringen mogelijk.’
Waar gaat u het in Brussel over hebben?
‘Ik ga de laatste case-studies bespreken die we hebben gedaan om het publiek te laten zien wat tegenwoordig de marsrichting in cybercriminaliteit is. En zo kan ik een beetje een beeld van de toekomst schetsen. De cyberaanvallen die nu in Oekraïne plaatsvinden bijvoorbeeld, die volg ik op dit moment van heel nabij. Allicht zullen we tegen de beurs daar ook conclusies over kunnen brengen. Of hoe over een paar jaar ai voor criminele doeleinden misbruikt zal worden, bijvoorbeeld met deepfakes. Daar hebben we het laatste nog niet van gezien.’
Wat zijn voor u de drie grootste trends in cybersecurity?
‘Ransomware is natuurlijk iets waar je niet omheen kan. Dat is allicht het grootste probleem. De tweede is business mail compromising. Hackers die in de emailsystemen van bedrijven inbreken, alles leren over de onderneming en zijn betaalprocessen, die weten hoe en waar het geld naar toe vloeit en dan hun slag slaan en de rekeningen plunderen. Dat wordt volgens mij over enkele jaren een nog groter probleem dan ransomware vandaag. Opmerkelijk is trouwens dat de meeste bendes die zich hierin specialiseren uit Afrika komen. En ten derde zou ik zeggen: internet of things. Omdat het aantal apparaten dat online komt, exponentieel gaat groeien. Vroeger hadden we alleen de pc waar we ons zorgen over moesten maken, toen was er de pc én de smartphone. En nu is er de pc, de smartphone én eigenlijk alle andere apparaten. Er komt dus altijd maar speelveld bij.’
Wat moeten de aanwezigen vooral onthouden na uw presentatie?
‘Dat je het menselijke brein niet kunt patchen. Softwarecode kunnen we updaten en verbeteren, maar menselijk gedrag laat zich moeilijk aanpassen. Zowat de enige manier is via educatie en opleiding en dan nog is de fail rate hoog. We zouden de verantwoordelijkheid helemaal moeten weghalen bij de eindgebruiker. Als er nog een link is waarop je niet mag klikken, waarom staat die link er dan nog in de eerste plaats? Doe hem gewoon weg.’
(Dit artikel staat ook in Computable-magazine #02-03/22.)
Het menselijke brein en menselijk gedrag zijn twee heel verschillende dingen als we kijken naar het ‘patchen’ van laatste. Dom geboren, suf gewiegd en nooit wat bijgeleerd is er namelijk nog zoiets als social hacking waardoor de link waarop je niet mag klikken als de appel van Eva wordt. Het aanvalsvlak is dan ook niet technisch maar menselijk waarbij het apparaat uiteindelijk alleen maar de springplank is.