Numrush

Mikko Hypponen over online security: ‘Hackers willen jouw auto echt niet in een ravijn laten rijden’

Vroeger waren het relatief onschuldige programmaatjes die je computer overnamen. Tegenwoordig zijn computervirussen big business. Een schadelijk virus kan zich verstoppen in elke mail die je ontvangt, elk document dat je opent en elke website die je bezoekt. Het zijn die virussen waar Mikko Hypponen, beveiligingsonderzoeker bij het Finse beveiligingsbedrijf F-Secure, zich dagelijks mee bezighoudt.

Daarnaast bezoekt hij regelmatig conferenties. Deze maand was hij in Nederland om te spreken op de Future of IT, een evenement van NRC Carrière. Zijn bevinding na 25 jaar virussen analyseren: het verweer is een stuk geavanceerder geworden, maar de aanvallen natuurlijk ook. “We zijn niet aan het verliezen, maar we zijn ook niet aan het winnen”, zegt hij. “Het blijft een kat-en-muisspel tussen hackers en beveiligingsbedrijven.” Ondertussen proberen criminelen op steeds creatievere manieren toegang te krijgen tot jouw computer. De dreiging breidt zich bovendien snel uit naar auto’s en verbonden ‘slimme’ apparaten.

Internetcriminelen opereren op grote schaal en gaan geniepig te werk. “Dit soort organisaties functioneren bijna als echte bedrijven”, zegt Hypponen. “Onderling concurreren ze met elkaar om jou, ‘de klant’. Ze zijn gebaat bij een ‘tevreden’ gedupeerde. Sommigen hebben zelfs een klantenservice die je helpt met je bitcoinbetaling, zodat je netjes van je malware af bent. En ze zoeken naar nieuwe markten, waar de concurrentie zich nog niet bevindt.”

Moeten we ons zorgen maken om onze privacy en onze gegevens? Als het gaat om dit soort internetcriminelen niet, zegt Hypponen. “Wat mensen zich niet realiseren is dat een crimineel niet is geïnteresseerd in jouw foto’s, of toegang tot jouw account op Facebook. Het kraken van een wachtwoord of het stelen van iemands gegevens is slechts middel om de ‘klant’ te bereiken”, vertelt hij. “Maar voor de gewone man zijn dit soort hackers op dit moment wél de grootste bedreiging.”

De ‘klant’, waar de onderzoeker op doelt, dat ben jij: de persoon waarvan eerst gegevens worden gestolen of ontoegankelijk zijn gemaakt met ransomware. Als een hacker eenmaal jouw gegevens in zijn bezit heeft, kan hij je chanteren. Hij ontsleutelt je bestanden bijvoorbeeld pas als je een bedrag in bitcoin hebt overgemaakt.

‘Mensen zijn de zwakke schakel’

Hoe moeten we ons hiertegen beschermen? De helft van het probleem kan een beveiligingsbedrijf zoals F-Secure niet oplossen. “Als beveiligingsonderzoeker kan ik bugs oplossen. Maar het gedrag van mensen kan ik niet veranderen”, zegt hij. “Terwijl mensen juist de zwakke schakel zijn.”

Hypponen somt het lijstje op: “Gebruik goede wachtwoorden. Maak back-ups. Maak back-ups van je back-ups. Update je software.” En blijf sceptisch. Vertrouw niet zomaar alles wat je online ziet. Conclusie: je bent zelf verantwoordelijk en je kunt het alleen jezelf verwijten als je het slachtoffer wordt.

Mensen kunnen de verantwoordelijkheid van online security niet aan - Mikko Hypponen“Toch is het niet eerlijk om mensen de schuld te geven”, zegt Hypponen. “Mensen kunnen de verantwoordelijkheid niet aan. Aan de andere kant zie je dat bedrijven hun beveiliging ook niet altijd op orde hebben.” Neem de opkomst van het internet of things. “We gaan steeds meer normale producten kopen die verbonden zijn met het internet”, zegt Hypponen. “Maar die apparaten zijn standaard vaak slecht beveiligd. Dat komt omdat de beveiliging geen verkoopargument is. De klant koopt het product voor gemak, niet omdat het product zelf goed beveiligd is.”

Is het feit dat risico’s niet altijd duidelijk zijn daar de oorzaak van? Volgens Hypponen speelt de verkeerde beeldvorming van dit soort criminelen een rol. “Ze gaan ook echt geen auto’s hacken om die vervolgens in een ravijn te laten rijden. Ze willen de auto hebben.” Hetzelfde geldt voor verbonden producten: een misdadiger gaat geen broodrooster hacken om jouw brood aan te laten branden. “Ze gebruiken deze makkelijk toegankelijke verbonden apparaten om toegang te krijgen tot jouw netwerk.”

‘De strijd om beveiliging is nog niet verloren’

Wat moet er gebeuren? Volgens de beveiligingsonderzoeker moeten bedrijven allereerst een stuk transparanter worden. “Over een aantal jaar vinden we allerlei verbonden producten op de markt waarvan de consument niet eens weet dat hij verbonden is. Ze maken alleen verbinding met het internet omdat dat voor de fabrikant voordelen heeft.”

“De strijd om privacy hebben we al verloren”, zegt Hypponen stellig. “Maar de strijd om beveiliging nog niet. “Het komt erop neer dat bedrijven hun verantwoordelijkheid moeten nemen. “Ik wil niet zeggen dat we dit via wetgeving op moet lossen. Het is een ethisch vraagstuk.” Bedrijven moeten hackers bijvoorbeeld betalen om zwakheden in de software te vinden, zoals al steeds vaker gebeurt bij de grote techbedrijven uit de VS. “Ik ben daar een groot fan van”, zegt hij.

Hackers kiezen liever voor legaal geld dan internetcriminaliteit - Mikko HypponenDoor hackers de mogelijkheid te bieden om hun vaardigheden voor het goede in te zetten, kun je het probleem volgens hem tackelen. “Internetcriminelen komen vaak uit landen waar ze hun talent niet kunnen benutten. In West-Europa kunnen ze zo aan de slag bij een groot bedrijf, maar in het oosten is die mogelijkheid er bijvoorbeeld niet”, zegt hij. “Ik ben ervan overtuigd dat de meeste hackers veel liever legaal geld verdienen door middel van een bug bounty program dan op de illegale manier, ook als ze er minder geld voor zouden krijgen.”

Foto’s: Marit Hilarius
Afbeeldingen: Denise de Kruif & Marit Hilarius