HP: ‘Elke aankoop van hardware is tegenwoordig een beveiligingsoverweging’

HP Security Festival

Beveiliging is een kat-en-muisspel. Waar je beveiliging nu werkt, is de kans groot dat een hacker morgen een nieuwe manier heeft gevonden om toch in te breken. En alleen software is tegenwoordig niet meer voldoende om je te beschermen, stelt HP. Daarom moet er geïnvesteerd worden in beveiliging vanaf de hardware zelf.

“End-point-apparaten (laptops, smartphones etc.) zijn de eerste lijn van verdediging”, vertelt Boris Balacheff, CTO van het security research and innovation lab van HP, tijdens het Security Festival van het bedrijf. “Dat zijn de plekken waar hackers binnenkomen. En dankzij IoT en automatisering worden dat er steeds meer.”

Het is dan ook belangrijk dat die apparaten goed beveiligd zijn. Maar nu hackers steeds slimmer worden en de beveiliging steeds beter, komen er nieuwe manieren bij voor een aanval. Daarbij proberen hackers binnen te komen via de mensen achter de apparaten – bijvoorbeeld via phishing – via andere apparaten met een slechtere beveiliging op het netwerk, of door fysieke toegang te krijgen tot een apparaat, bijvoorbeeld door een USB-stick met malware in een computer te stoppen.

LoJax

Een groter gevaar is echter dat hackers steeds dieper in de apparaten duiken voor een hack, stelt Balacheff. “Hackers vallen steeds vaker aan in de BIOS.” De BIOS is een bibliotheek met een set stuurprogramma’s die nodig zijn om de hardware aan te sturen als het besturingssysteem wordt opgestart. Tijdens het opstarten is dit vaak ook de enige software die beschikbaar is.

Als voorbeeld noemt Balacheff LoJax, een vorm van malware die zich via de BIOS permanent op getroffen computers probeert te vestigen. De zogenaamde rootkit werkt als een soort toegangssleutel voor de complete computer, waardoor een hacker dus nog veel meer aanvallen kan uitvoeren als hij eenmaal binnen is. De rootkits zijn bovendien moeilijk te ontdekken, omzeilen antivirussoftware en kunnen bijvoorbeeld een herinstallatie van het besturingssysteem overleven.

smartphone beveiliging

Dit is een aanval die in de toekomst mogelijk steeds vaker voor gaat komen. En omdat het lastig is om je er met software tegen te beschermen, is bescherming vanuit de hardware vereist.

Maatregelen

HP voegt tegenwoordig diverse maatregelen toe aan zijn hardware. Het gaat bijvoorbeeld om Sure Run, dat de belangrijkste processen op een apparaat in de gaten houdt. Mochten er wijzigingen voorkomen in belangrijke applicaties, bijvoorbeeld je virusscanner, dan geeft het een alarm. Ook herstart het apparaat zich als het denkt dat dit nodig is.

“HP heeft verder een maatregel ingevoerd waardoor het apparaat zichzelf controleert op wijzigingen in de hardware”, vertelt Ruben Raadsheer, CTO van HP Nederland. “Als een component van het apparaat dan gewijzigd is – bijvoorbeeld de harde schijf of het RAM-geheugen – dan krijg je hier een melding van te zien. In het geval van zakelijk gebruik wordt dit ook centraal gemeld naar de IT-afdeling.”

Met HP Sure Recover is het verder mogelijk om snel en veilig de meest recente versie van het besturingssysteem terug te zetten op een PC via een netwerkverbinding. Mocht je dan bijvoorbeeld het slachtoffer worden van ransomware, dan kun je de computer snel en veilig opnieuw installeren.

Kwantumcomputers

Als we nog verder de toekomst in kijken, zien we nog een nieuw gevaar opdoemen: kwantumcomputers. Kwantumcomputers kunnen veel meer berekeningen tegelijkertijd uitvoeren dan een gewone computer. Daardoor zijn de computers veel krachtiger en kunnen ze in de toekomst mogelijk de encryptie van nu snel ontsleutelen, met alle gevolgen van dien.

Wetenschappers zijn daar natuurlijk al enige tijd van op de hoogte. Er wordt dan ook al gewerkt aan een oplossing voor het probleem, vertelt Raadsheer. “We werken bij HP aan kwantumbeveiliging. Simpel gezegd wordt daarbij een verbinding opgezet tussen locatie A en locatie B. Verandert er dan iets op een van de locaties of onderweg, dan valt je verbinding weg.”

Op die manier moeten de gevaren voor nu ver weg gehouden worden. Kwantumcomputers zijn echter iets van de toekomst, dus voorlopig worden ze nog niet voor hacken of beveiliging gebruikt.

Einde van de wachtwoorden

Een andere beveiligingsmaatregel van de toekomst is volgens Raadsheer dat we stoppen met wachtwoorden of ze niet meer als enige beveiligingsmaatregel gebruiken. “We hebben ons aangeleerd dat een wachtwoord moet bestaan uit letters, cijfers en vreemde tekens. Maar voor een computer maakt dat weinig uit. Een wachtwoord op zichzelf is daarom niet veilig.”

Raadsheer pleit dan ook voor driestapsverificatie – nog een stap meer dan de nu veel gehoorde tweestapsverificatie dus. “Een goede beveiliging is iets wat je hebt, wat je weet en wat je bent. Bijvoorbeeld een combinatie van een wachtwoord (wat je weet), een irisscan (wat je bent) en een code uit een generator op je telefoon (wat je hebt).” De kans is namelijk klein dat een hacker alledrie deze factoren weet te onderscheppen en weet in te breken op je telefoon.

Veel van die maatregelen zijn bovendien al beschikbaar. Diverse fabrikanten werken tegenwoordig met gezichtsherkenning en vingerafdrukscanners. Deze zogenaamde biometrische beveiligingsmethodes worden dan ook steeds populairder. “Maar gebruik nooit alleen biometrische beveiliging”, waarschuwt Raadsheer. Gezichtsscanners kunnen bijvoorbeeld vaak nog voor de gek gehouden worden met een foto van de eigenaar. “Koppel het dus altijd aan een tweede methode.”

biometrische beveiliging

Hardware is een beveiligingsoverweging

Balacheff en Raadsheer zijn het eens: de beveiliging in de hardware zelf wordt tegenwoordig steeds belangrijker. We zien dat er extra maatregelen genomen worden in de vorm van biometrische beveiliging, maar ook door de hardware te beveiligen tegen BIOS-aanvallen en andere kwetsbaarheden.

“Een apparaat moet een aantal jaren veilig zijn”, vertelt Raadsheer. “En dat betekent ook dat het beheersbaar gemaakt moet worden, bijvoorbeeld door updates uit te kunnen voeren.” Daarom raden ze aan om bij iedere aankoop van hardware – of dat nu een laptop, een slimme thermostaat of een telefoon is – na te denken over welke maatregelen een fabrikant genomen heeft om het te beveiligen, voor nu en in de toekomst.

Een apparaat kan nu wel veilig zijn, maar door het veranderende landschap van hackers ziet de beveiligingswereld er morgen weer heel anders aan. “Je kunt niet ergens een stempel opdrukken en zeggen dat het veilig is. Het verandert steeds en daar moeten fabrikanten rekening mee houden”, aldus Raadsheer. Maar dat geldt ook voor ons, de consument. Want die goede beveiliging wordt voor ons gemaakt.