RVO.nl heeft een reeks bedrijven en consortia een opdracht gegund voor het verbeteren van cyberveiligheid. Met Bits&Chips werpen we een blik op deze projecten. Vandaag deel 3: zelfwissende opslagmedia en drones om mensen op te sporen aan de hand van hun wifi- en telefoonsignalen.
RVO.nl schreef een jaar geleden een openbare aanbesteding uit in het kader van het Sbir Cybersecurity-programma. De opdracht: de digitale veiligheid van Nederland op de een of andere manier verbeteren. In eerste instantie wonnen twintig bedrijven of samenwerkingsverbanden een opdracht voor een verkennende studie. Nu hebben dertien van hen de opdracht in de wacht gesleept om daadwerkelijk een product te ontwikkelen. Daarvoor kunnen ze tot tweehonderdduizend euro krijgen.
In deel een van deze serie keken we naar twee projecten rond de omgang met gevoelige persoonsinformatie, en in deel twee naar twee projecten rond iot-beveiliging. In het derde en laatste deel zoomen we in op twee projecten die een beetje futuristisch aandoen: zelfwissende usb-sticks en drones om verdachten op te sporen aan de hand van de wifi- of gsm-sporen die ze achterlaten.
Het eerste project is een ideetje van Embedded Acoustics, een elektronicaontwerpbureau dat traditioneel veel in de audio actief was, maar gaandeweg is uitgewaaierd, met name richting de security- en defensiemarkt. ‘Als je een datadrager kwijtraakt, kan die in de verkeerde jaszak zitten of gestolen zijn, maar omdat je niet weet waar je aan toe bent, moet je uitgaan van een datalek’, begint directeur Sander van Wijngaarden. ‘Onze gedachte was: wat nou als je de grip op die datadragers kunt behouden, ook al heb je ze fysiek niet meer onder je controle?’
De oplossing is volgens Embedded Acoustics om de opslagmedia te voorzien van een extra, autonoom beheersysteem. Dat moet met een eigen processortje, eigen batterij en eigen draadloze netwerkverbinding altijd contact kunnen zoeken met de eigenaar – of het medium nou ingeplugd is of niet.
Device lifecycle management for fleets of IoT devices
Microchip gives insight on device management, what exactly is it, how to implement it and how to roll over the device management during the roll out phase when the products are in the field. Read more. .
Zo’n opzet is vandaag de dag mogelijk dankzij de opkomst van netwerken specifiek gericht op iot-doeleinden. Dergelijke netwerken kunnen maar heel af en toe hele kleine beetjes data versturen, maar dat ruilen ze uit tegen enorme energiezuinigheid en zeer lage kosten. Embedded Acoustics koos voor Lora, dat via verschillende aanbieders ondertussen bijna landelijke dekking heeft. ‘Daarmee kun je gewoon zien waar je datadrager is op het moment dat je hem kwijtraakt. Via het Lora-netwerk kun je dat uitpeilen’, vertelt Van Wijngaarden.
Maar bovenal is het mogelijk om de data te blokkeren. ‘Alle gegevens zijn versleuteld om te voorkomen dat je die kunt lezen als je de flashchip eraf haalt. Daar merk je niks van zolang je de stick normaal gebruikt; onze processor zorgt voor de decryptie. Maar daarvoor moet het systeempje periodiek een nieuwe sleutel ophalen van onze server. Op het moment dat je de stick kwijtraakt, kun je onmiddellijk inloggen en zeggen: gooi de sleutel weg. Dan ben je direct safe’, legt Van Wijngaarden uit.
Het datalijntje biedt ook andere mogelijkheden om de regie te houden over de verloren gegevens. ‘Je kunt ook opvragen wanneer de laatste toegang is geweest tot de data. Dus als je in de portal ziet dat hij niet is uitgelezen sinds hij is kwijtgeraakt, en je wist hem, dan weet je ook zeker dat niemand bij de data geweest kan zijn. Je kunt ook een stap verder gaan dan de sleutel weggooien, en de data echt wissen: dan overschrijf je die gewoon een aantal keer met willekeurige data.’
Trage hardware en wegvallende verbindingen
Tijdens de haalbaarheidsstudie heeft Embedded Acoustics met TNO geëxperimenteerd met twintig van dit soort sticks, die verspreid werden over heel Nederland. Er bleken wel wat issues te zijn met de betrouwbaarheid van de Lora-verbinding, erkent Van Wijngaarden. ‘Dan kan je usb-stick op een gegeven moment blokkeren omdat je te vaak geen dekking hebt. Maar we hebben geleerd hoe we daar slim mee om kunnen gaan zonder concessies te doen aan de veiligheid.’
De energie haalt het embedded systeempje uit een lithium-polymeer-batterijtje aan boord. ‘Elke keer dat je de stick in een computer stopt, laadt de batterij weer op. Daar is ongeveer twintig minuten voor nodig. Daarna kan die weer een tijdje mee, drie tot zes maanden op dit moment’, aldus Van Wijngaarden.
Daarvoor is natuurlijk wel extreem energiezuinige hardware vereist. Behalve om de netwerkverbinding gaat het dan ook om de microcontroller die de versleuteling regelt. Maar tijdens het haalbaarheidsonderzoek bleek dat de snelheid van de stick niet ten goede te komen. ‘Dus we zijn nu bezig met het verfijnen van het ontwerp zodat het wel lekker snel gaat als-ie aan de usb hangt, want dan heb je toch stroom zat. Zodra je hem eruit haalt, schakelt het systeem over naar een andere chip die heel zuinig is.’
Daarmee denkt Van Wijngaarden dat alle beren van de weg zijn om er een echt product van te maken. Dit jaar nog moet de usb-stick-uitvoering in de winkel liggen, zo snel mogelijk gevolgd door een ssd-versie. Interesse zal vooral komen van overheden en grote bedrijven, verwacht hij, en minder van consumenten, want al met al wordt het natuurlijk wel duurder dan een regulier usb-stickje. Toch valt het ook wel weer mee met de prijs, schat Van Wijngaarden in: ‘Je hebt een abonnementje nodig voor je iot-netwerk, dat is een paar euro in de maand. Voor de stick zelf moet je denken aan de prijs die je ook betaalt voor de grote a-merken, alleen krijg je dan maar de helft van de capaciteit.’
Klanten zullen overigens tevergeefs zoeken naar de naam ‘Embedded Accoustics’. ‘Als je het hebt over schaalbaarheid en het aanbieden van een portal, dan kijken we naar partijen die daarin veel beter zijn dan wij. We hebben eerder samen met andere partijen producten op de markt gebracht, en dat streven we ook hier na.’
Voor de laatste fase van het ontwikkeltraject is nog een andere partij aangeschoven: cybersecuritybedrijf Securelabs. Van Wijnaarden: ‘Dit is natuurlijk een product dat de informatiebeveiliging moet verhogen, maar tegelijkertijd heb je altijd de zorgen dat je nieuwe kwetsbaarheden introduceert, bijvoorbeeld door met dat iot-netwerk te verbinden. Securelabs gaat dat voor ons testen; zijn doen eigenlijk mee om alles wat wij bouwen kapot te maken.’
Rf-signalen luisteren met drones
Stadsgenoot Delft Dynamics heeft ook een fase-2-opdracht in de wacht gesleept, zij het slechts een van de twee waarvoor het een haalbaarheidsonderzoek had uitgevoerd. Het bedrijf ontwikkelt professionele drones die worden ingezet voor allerlei inspectie- en analysedoeleinden, en rekent politie en defensie tot zijn vaste klanten. ‘Toen we in 2006 begonnen, hebben we al een opdracht van de politie gekregen, en sindsdien zijn we altijd in contact gebleven’, vertelt Arnout de Jong.
Het Cybersniffer-project waarvoor Delft Dynamics een opdracht in de wacht heeft gesleept, is in feite een idee van de politie. In het project ontwikkelt het een drone die gezochte mensen kan opsporen aan de hand van gsm- en wifi-signalen. ‘De politie kwamen een paar jaar terug met het de vraag of het mogelijk was om in plaats van camerabeelden of geluid digitale profielkenmerken op te vangen’, verklaart De Jong.
Op dit moment gebruiken politie en defensie deze technologie onder bepaalde voorwaarden ook al. Door de rf-signalen in de buurt van bijvoorbeeld een gebouw op te vangen, kunnen ze achterhalen of er een simkaart met een specifieke imei-code of een wifi- of bluetooth-chip met een bepaald mac-adres aanwezig is. Vaak zal de eigenaar zelf dan niet ver weg zijn.
Maar die apparatuur moet nu vanaf de grond worden gebruikt. ‘Ik weet niet alle details, maar het is vaak zo dat ze de doellocatie over de grond moeilijk kunnen bereiken, of dat ze simpelweg het terrein niet op komen’, zegt De Jong.
De voor- en de nadelen
Voor de haalbaarheidsstudie onderzocht Delft Dynamics of het mogelijk was om deze sensoren aan een van zijn droneplatforms te koppelen. Politie en defensie gebruiken allebei hun eigen apparatuur, maar de laatste partij bleek een systeem te hebben dat licht genoeg is voor een van de Delftse platforms: een multicopter met vier rotors. ‘We hebben er eerder ook al een paar andere projecten mee uitgevoerd, bijvoorbeeld Skysniffer, dat draaide om gasdetectie en -sampling. Voor dit project zetten we eigenlijk eenzelfde box in, maar nu gevuld met andere apparatuur.’
In het vervolgtraject moet de sensorbox nog wel wat worden uitgekleed. ‘Hij is nu eerder robuust dan licht uitgevoerd, maar het is goed mogelijk om iets te maken van zo’n anderhalve kilo waarmee een hoop informatie ingewonnen kan worden’, denkt De Jong.
Wat rest, is de integratieproblematiek. ‘We moeten daarbij vooral kijken naar onderlinge invloeden; als je deze sensoren toevoegt, wil je niet dat dat je eigen besturingssensoren verstoort. Maar omdat we onze drones helemaal zelf maken, weten we ook goed hoe we dingen kunnen afschermen.’
Er zit overigens wel weer een nadeel aan het droneplatform: stil is het niet. ‘Het valt wel mee, maar ik zal niet zeggen dat het geruisloos is. De vraag is wel in hoeverre de drone echt heimelijk moet zijn. Het gaat er ook niet alleen om dat je vanuit de lucht monitort, je kunt ook op een gebouw landen en daar een tijdje blijven staan.’
‘Je zou het ook kunnen gebruiken om een verward persoon op te sporen die het bos in is gerend’, geeft De Jong een ander voorbeeld. ‘Zo’n drone kan automatisch een traject afvliegen. Voor het projectvoorstel hebben we dit idee een beetje in de sfeer getrokken van misdadigers opsporen, want politie en defensie willen het gebruiken als offensieve cybercapaciteit. Maar we sluiten deze week ook net een Europees project af om telefoons op een paar meter nauwkeurig te lokaliseren aan de hand van de sterkte en richting van de signalen. Dat is bedoeld om mensen te lokaliseren die bijvoorbeeld door een aardbeving zijn bedolven.’